알려진 위험 및 취약점
게시 날짜: 2017년 1월
적용 대상: Dynamics 365 (on-premises), Dynamics CRM 2016
이 항목에서는 Microsoft Dynamics 365을 사용할 때 존재할 수 있는 위험 및 취약점에 대해 설명합니다. 문제에 대한 완화 및 해결 방법이 있는 경우 이에 대한 설명도 제공됩니다.
이 항목의 내용
사용자가 보안되지 않은 네트워크를 통해 Dynamics 365에 연결할 때의 위험
서버 역할 배포에 대한 보안 권장 사항
익명 인증
인터넷 연결 배포에 대한 HelpServer 역할 분리
클레임 기반 인증 문제 및 제한 사항
web.config 파일 보안
샌드박스 처리 서비스에서 실행되는 사용자 지정 코드의 아웃바운드 인터넷 호출을 사용할 수 있습니다.
서버 간 통신 보안
DNS 리바인딩 공격
개인 대시보드에서 Power BI URL에 허용되는 JavaScript
사용자가 보안되지 않은 네트워크를 통해 Dynamics 365에 연결할 때의 위험
TLS(Transport Layer Security) 또는 SSL(Secure Sockets Layer)(HTTPS)을 사용하지 않고 Microsoft Dynamics 365을 실행할 때 발생할 수 있는 문제는 다음과 같습니다.
- 시각적 차트 정의를 비롯한 데이터를 제공하는 Microsoft Dynamics 365 사용자는 "중간자(man in the middle)" 유형의 공격을 사용하여 보안되지 않은 HTTP 연결을 통해 수정될 수 있습니다. 이러한 취약점을 완화하려면 TLS/SSL만 사용하도록 Microsoft Dynamics 365을 구성합니다.Microsoft Dynamics 365 Server을 구성하여 TLS/SSL을 사용하는 방법에 대한 자세한 내용은 Dynamics 365 클라이언트와 서버 간 네트워크 통신의 보안 강화를 참조하십시오.
서버 역할 배포에 대한 보안 권장 사항
다음 권장 사항은 Microsoft Dynamics 365 배포의 안정성 및 보안을 향상시키는 데 도움이 될 수 있습니다.
서버 역할 |
권장 사항 |
|---|---|
샌드박스 처리 서비스 |
이 역할은 Microsoft Dynamics 365 Server 역할을 실행하는 다른 컴퓨터와 별도의 VLAN(가상 LAN)에 있는 전용 서버에 설치합니다. 그런 후 컴퓨터를 악용하는 악의적인 플러그 인이 샌드박스에서 실행되는 경우 별도의 VLAN으로부터 네트워크를 분리하여 다른 Dynamics 365 리소스가 손상되는 것을 방지할 수 있습니다. |
도움말 서버 |
IFD 및 인터넷 연결 배포에 대해 별도의 컴퓨터에 이 역할을 설치합니다. 자세한 내용은 이 항목의 뒷부분에 있는 인터넷 연결 배포에 대한 HelpServer 역할 분리를 참조하십시오. |
익명 인증
Microsoft Dynamics 365인터넷 연결 배포(IFD)에는 클레임 기반 인증에 대해 IIS에서 활성화된 익명 인증이 필요합니다. 클레임 기반 인증 토큰에는 원시 자격 증명이나 Microsoft Dynamics 365 Server에 대한 연결 문자열이 없습니다. 그러나 web.config 파일에는 인증 모드에 대한 구성 정보가 들어 있습니다. 자세한 내용은 이 항목의 뒷부분에 있는 web.config 파일 보안를 참조하십시오.Microsoft Dynamics 365 웹 사이트를 보호하려면 TLS/SSL를 사용합니다.
인터넷 연결 배포에 대한 HelpServer 역할 분리
Microsoft Dynamics 365인터넷 연결 배포(IFD)에는 익명 인증이 필요합니다. 익명 웹 사이트 인증이 사용되기 때문에 Microsoft Dynamics 365 도움말 사이트에서 사용되는 가상 디렉터리는 DoS(서비스 거부) 공격의 대상이 될 수 있습니다.
Microsoft Dynamics 365 도움말 페이지를 분리하고 다른 Microsoft Dynamics 365 Server 역할을 잠재적인 DoS 공격으로부터 보호하려면 별도의 컴퓨터에 도움말 서버 역할을 설치하는 것이 좋습니다.
별도의 컴퓨터에 Microsoft Dynamics 365 역할을 설치하는 옵션에 대한 자세한 내용은 Microsoft Dynamics 365 서버 역할을 참조하십시오.
DoS 공격의 위험을 줄이는 방법에 대한 자세한 내용은 MSDN: 웹 응용 프로그램의 보안 개선: 위협 요소 및 대처 방안을 참조하십시오.
클레임 기반 인증 문제 및 제한 사항
이 항목에서는 Microsoft Dynamics 365에서 클레임 기반 인증을 사용할 때의 문제 및 제한 사항에 대해 설명합니다.
ID 공급자가 강력한 암호 정책을 사용하는지 확인합니다.
클레임 기반 인증을 사용할 때는 STS(보안 토큰 서비스)에서 ID 공급자를 신뢰할 수 있는지, 그리고 Microsoft Dynamics 365에서 강력한 암호 정책을 적용하는지 확인해야 합니다.Microsoft Dynamics 365은 강력한 암호를 적용하지 않습니다. 기본적으로 ID 공급자로 사용될 때는 Active Directory에서 강력한 암호 정책을 강제로 적용합니다.
AD FS 페더레이션 서버 세션은 비활성화되거나 삭제된 사용자에게도 최대 8시간 동안 사용할 수 있도록 제공됩니다.
기본적으로 Active Directory Federation Services(AD FS) 서버 토큰은 8시간 후 만료되는 웹 SSO(Single Sign-on) 쿠키를 할당합니다. 따라서 사용자가 인증 공급자로부터 비활성화되거나 삭제되더라도 사용자 세션이 계속 활성 상태로 있는 한은 사용자가 계속 보안 리소스에 대해 인증된 상태로 유지됩니다.
이 문제를 해결 하려면 다음 옵션 중 하나를 사용합니다.
Microsoft Dynamics 365 및 Active Directory의 사용자를 비활성화합니다.Microsoft Dynamics 365에서 사용자를 비활성화하는 방법은 사용자 관리을 참조하십시오.Active Directory의 사용자를 비활성화하는 방법에 대한 자세한 내용은 Active Directory 사용자 및 컴퓨터 도움말을 참조하십시오.
웹 SSO 수명을 줄입니다. 이렇게 하려면 Active Directory Federation Services(AD FS) 관리 도움말을 참조하십시오.
web.config 파일 보안
Microsoft Dynamics 365에서 만드는 web.config 파일에는 연결 문자열 또는 암호화 키가 포함되지 않습니다. 하지만 파일에는 인증 모드 및 전략, ASP.NET 보기 상태 정보, 디버그 오류 메시지 표시에 대한 구성 정보가 포함되어 있습니다. 악의적인 의도로 이 파일이 수정될 경우 Microsoft Dynamics 365이 실행되는 서버에 위협이 될 수 있습니다.web.config 파일 보안을 위해서는 다음을 수행하는 것이 좋습니다.
관리자 등과 같이 이 파일을 사용해야 하는 사용자 계정만 포함하도록 web.config 파일이 있는 폴더에 대한 권한을 부여합니다. 기본적으로 web.config 파일은 <drive:>Program Files\Microsoft Dynamics CRM\CRMWeb 폴더에 있습니다.
콘솔 로그온 권한과 같이 Dynamics 365 서버에 대한 대화식 액세스 권한이 있는 사용자 수를 제한합니다.
Dynamics 365 웹 사이트에 대한 디렉터리 찾아보기 기능을 사용하지 않도록 설정합니다. 기본적으로 이 기능은 사용하지 않도록 설정되어 있습니다. 디렉터리 찾아보기 기능을 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 IIS(인터넷 정보 서비스) 관리자 도움말을 참조하십시오.
샌드박스 처리 서비스에서 실행되는 사용자 지정 코드의 아웃바운드 인터넷 호출을 사용할 수 있습니다.
기본적으로 인터넷에서 서비스에 액세스하는 Microsoft Dynamics 365샌드박스 처리 서비스에서 실행되는 사용자 지정 코드의 아웃바운드 호출을 사용할 수 있습니다.Microsoft Dynamics 365의 높은 수준의 보안 배포에는 보안상 위험할 수 있습니다.Dynamics 365 플러그 인 또는 사용자 지정 워크플로 활동과 같은 사용자 지정 코드에서 아웃바운드 호출을 허용하지 않도록 하려면 다음 절차에 따라 샌드박스 처리 서비스에서 실행되는 사용자 지정 코드의 아웃바운드 연결을 사용하지 않도록 설정할 수 있습니다.
모든 아웃바운드 호출을 차단하는 대신 샌드박스가 적용된 플러그 인에 웹 액세스 제한을 적용할 수 있습니다.추가 정보:MSDN: 플러그 인 격리, 트러스트 및 통계
사용자 지정 코드의 아웃바운드 연결을 사용하지 않도록 설정하면 Microsoft Azure 및 Microsoft Azure SQL 데이터베이스와 같은 클라우드 서비스에 대한 호출도 사용할 수 없습니다.
샌드박스 처리 서비스를 실행하는 컴퓨터에서 사용자 지정 코드의 아웃바운드 연결 사용 안 함
Microsoft Dynamics 365샌드박스 처리 서비스 서버 역할이 설치된 Windows Server 컴퓨터에서 레지스트리 편집기를 시작하고 하위 키
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSCRM을 찾습니다.MSCRM 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음 DWORD 값을 클릭하고 SandboxWorkerDisableOutboundCalls를 입력한 다음 Enter 키를 누릅니다.
SandboxWorkerDisableOutboundCalls를 마우스 오른쪽 단추로 클릭하고 수정을 클릭하고 1을 입력한 다음 Enter 키를 누릅니다.
레지스트리 편집기을 닫습니다.
샌드박스 처리 서비스를 다시 시작합니다. 이렇게 하려면 시작을 클릭하고 services.msc를 입력한 다음 Enter 키를 누릅니다.
Microsoft Dynamics 365 샌드박스 처리 서비스를 마우스 오른쪽 단추로 클릭한 다음 다시 시작을 클릭합니다.
Microsoft Management Console(MMC) 서비스 스냅인을 닫습니다.
서버 간 통신 보안
기본적으로 웹 응용 프로그램 서버 역할과 Microsoft SQL Server를 실행하는 서버 간의 통신과 같은 Microsoft Dynamics 365 서버 간 통신은 보안 채널을 통해 실행되지 않습니다. 따라서 서버 간에 전송되는 정보는 중간자(man-in-the-middle) 공격과 같은 특정 공격에 취약할 수 있습니다.
조직에서 서버 간에 전송되는 정보를 보호하기 위해서는 Windows 방화벽 같은 보안 네트워킹을 구현하는 것이 좋습니다.추가 정보:Windows 방화벽(고급 보안 포함) 개요
DNS 리바인딩 공격
다른 웹 기반 응용 프로그램처럼 Microsoft Dynamics 365은 DNS 리바인딩 공격에 취약할 수 있습니다. 웹 브라우저에서 서로 다른 두 서버의 페이지를 검색하도록 잘못 안내하여 해당 서버가 동일한 도메인의 서버라고 신뢰하게 되고 결과적으로 동일한 원본 정책을 깨트립니다. 이 기술을 사용하면 공격자는 Dynamics 365 페이지에 대한 교차 사이트 스크립팅 공격을 통해 희생자의 ID를 사용하여 Dynamics 365 데이터를 간섭할 수 있습니다.
이러한 공격으로부터 보호하는 방법에 대한 자세한 내용은 DNS 리바인딩 공격으로부터 브라우저 보호를 참조하십시오.
개인 대시보드에서 Power BI URL에 허용되는 JavaScript
개인 대시보드가 Power BIURLs를 사용할 수 있도록 JavaScript을 사용할 수 있으므로 악의적인 소스의 다음 스크립트 삽입 공격 위험에 주의하십시오.
피싱 웹 사이트 같은 예기치 않은 웹 사이트에 대한 임의 리디렉션.
웹 브라우저 충돌을 시도하는 여러 대규모 JavaScript 개체의 작성.
위험을 줄이려면 다음과 같은 효율적인 방법의 구현을 고려합니다.
대시보드에서 Power BI 보고서를 포함하는 데 사용되는 호스트 Microsoft Office Excel 문서에만 승인된 SharePoint 사이트가 허용됩니다.추가 정보:Office 365 관리 센터용 Power BI 소개
신뢰할 수 있는 소스가 대시보드에 추가될 문서를 추가할 수 있도록 Power BI 구성 요소를 호스팅하는 SharePoint 사이트를 보호합니다.SharePoint 권한 수준 읽기
해당 대시보드에 승인되지 않은 구성 요소를 추가하지 말도록 Microsoft Dynamics 365 사용자에게 알립니다. 알 수 없는 소스의 전자 메일 메시지에 있는 첨부 파일을 열거나 하이퍼링크를 클릭하지 않도록 사용자를 교육하는 것과 비슷합니다.
참고 항목
Microsoft Dynamics 365에 대한 보안 고려 사항
Microsoft Dynamics 365의 네트워크 포트
Microsoft Dynamics 365 지원되는 구성
© 2017 Microsoft. All rights reserved. 저작권 정보