보안 모델(Windows Server AppFabric 캐싱)
Windows Server AppFabric 캐싱 기능은 보안을 관리하는 몇 가지 옵션을 제공합니다. 기본적으로 캐시 클라이언트와 캐시 클러스터 간의 통신은 암호화와 서명을 모두 사용합니다. 또한 허용되는 계정 목록에 Windows 계정을 명시적으로 추가해야 관련 사용자가 캐시 클러스터에 액세스할 수 있습니다.
캐시 클러스터 보안 설정
캐시 클러스터에는 None
과 Transport
의 두 가지 보호 모드를 설정할 수 있습니다. None
으로 설정하면 캐시 클러스터와 캐시 클라이언트 간에 전송된 데이터가 암호화되거나 서명되지 않습니다. 이 경우 데이터를 로깅하거나 수정하는 악성 네트워크 공격에 데이터가 노출될 수 있습니다. 또한 명시적으로 액세스 권한이 부여되지 않은 경우에도 모든 캐시 클라이언트가 캐시 클러스터와 통신할 수 있습니다. 보호 모드를 기본값인 Transport
설정으로 지정하면 허용된 Windows 계정만 캐시 클러스터에 액세스할 수 있습니다.
캐시 클러스터와 캐시 클라이언트 간에 전송된 데이터에 대해 None
, Sign
및 EncryptAndSign
의 세 가지 보호 수준을 사용할 수 있습니다. None
을 설정하면 추가 보안이 제공되지 않습니다. Sign
을 설정하면 네트워크의 데이터가 변조되지 않도록 보호됩니다. EncryptAndSign
을 설정하면 서명하기 전에 데이터가 암호화됩니다. Sign
및 EncryptAndSign
은 보안 모드가 Transport
로 설정된 경우에만 지정할 수 있습니다.
캐시 클러스터의 보안 모드나 보호 수준을 변경하려면 Set-CacheClusterSecurity
Windows PowerShell 명령을 사용합니다.
참고
보안이 사용하도록 설정된 경우 적절한 ID로 AppFabric 캐싱 서비스를 실행해야 합니다. 도메인 환경의 경우 기본 제공 "NT Authority\Network Service" 계정이어야 합니다. 작업 그룹 환경의 경우 로컬 컴퓨터 계정이어야 합니다. 그러나 도메인 환경에 대한 서비스 계정 설정에는 한 가지 예외가 있습니다. 보안 모드를 None
으로 설정하여 보안을 사용하지 않도록 설정한 경우 네트워크 서비스가 아닌 특정 도메인 계정으로 AppFabric 캐싱 서비스를 실행할 수 있습니다.
캐시 클라이언트 보안 설정
캐시 클러스터 보안 설정과 마찬가지로 캐시 클라이언트는 securityProperties
요소를 사용하여 응용 프로그램 구성 파일에서 보안 설정을 구성할 수 있습니다. 또는 클라이언트에서 DataCacheFactoryConfiguration 클래스의 SecurityProperties 속성과 함께 DataCacheSecurity 클래스를 사용하여 프로그래밍 방식으로 보안을 구성할 수 있습니다. 자세한 내용은 응용 프로그램 구성 설정(Windows Server AppFabric 캐싱)을 참조하십시오.
캐시 클라이언트와 캐시 클러스터에서 연결을 사용하도록 설정하는 보안 설정을 사용해야 합니다. 아래 표에서 열은 서버 보안 설정을 나타내고 행은 클라이언트 보안 설정을 나타냅니다. 각 조합은 연결이 허용되는지 여부에 따라 "성공" 또는 "실패"로 표시됩니다.
클라이언트 설정 | Mode=None, ProtectionLevel=Any | Mode=Transport, ProtectionLevel=None | Mode=Transport, ProtectionLevel=Sign | Mode=Transport, ProtectionLevel=EncryptAndSign |
---|---|---|---|---|
None, Any |
성공 |
실패 |
실패 |
실패 |
Transport, None |
실패 |
성공 |
실패 |
실패 |
Transport, Sign |
실패 |
성공 |
성공 |
실패 |
Transport, EncryptAndSign |
실패 |
성공 |
성공 |
성공 |
허용되는 클라이언트 계정
보안 모드가 Transport
로 설정된 경우 캐시 클러스터에 연결을 시도하는 모든 캐시 클라이언트를 명시적으로 허용해야 합니다. 이렇게 하려면 Windows PowerShell에서 Grant-CacheAllowedClientAccount
명령을 사용합니다. 자세한 내용은 Windows PowerShell을 사용하여 Windows Server AppFabric 캐싱 기능 관리를 참조하십시오.
보안 구성 마법사
AppFabric은 Windows Server 2008에서 SCW(보안 구성 마법사)의 사용을 지원합니다. SCW에서 AppFabric 캐싱을 실행하는 데 필요한 최소 설정을 지정하기 위해 제공된 템플릿 파일을 등록할 수 있습니다. 템플릿 파일 WindowsServerAppFabric.xml은 AppFabric과 함께 설치되지만 도구를 사용하기 전에 SCW에서 수동으로 등록해야 합니다. 다음 단계에서는 이 프로세스에 대해 설명합니다.
.\Windows\System32\AppFabric 디렉터리에서 WindowsServerAppFabric.xml 파일을 찾습니다.
WindowsServerAppFabric.xml 파일을 엽니다.
SCWKBRegistrationInfo
요소의 운영 체제 버전 정보가 현재 컴퓨터와 일치하는지 확인합니다. 일치하지 않는 경우 다음 표에 따라 특성을 변경하고 변경 내용을 저장합니다.운영 체제 OSMajorVersion OSMinorVersion ServicePackMajorVersion ServicePackMinorVersion Windows Server 2008
6
0
0
0
Windows Server 2008 SP1
6
0
1
0
Windows Server 2008 SP2
6
0
2
0
Windows Server 2008 R2
6
1
0
0
관리 명령 프롬프트를 엽니다.
다음 명령을 실행합니다.
scwcmd register /kbname:appfabric /kbfile:%windir%\System32\AppFabric\WindowsServerAppFabric.xml
보안 구성 마법사 관리 도구를 사용하는 경우 "Windows Server AppFabric 캐싱 서비스"라는 설치된 역할이 표시됩니다.
참고 항목
개념
Windows PowerShell을 사용하여 Windows Server AppFabric 캐싱 기능 관리
Windows Server AppFabric 캐싱 개념
2011-12-05