Microsoft Dynamics 365용 운영 체제 및 플랫폼 기술 보안 고려 사항

 

게시 날짜: 2017년 1월

적용 대상: Dynamics 365 (on-premises), Dynamics CRM 2016

넓은 의미에서 볼 때 보안은 위협과 액세스 사이에서 얻을 수 있는 것과 잃을 수 있는 것을 계획하고 고려하는 작업입니다. 예를 들어 저장소에서 컴퓨터를 잠그고 한 명의 시스템 관리자만 사용할 수 있도록 할 수 있습니다. 이러한 컴퓨터는 안전하지만 다른 컴퓨터에 연결되어 있지 않으므로 사용하기에 불편할 수 있습니다. 비즈니스 사용자가 인터넷과 회사 인트라넷에 액세스해야 하는 경우에는 안전하며 사용하기 쉽도록 네트워크를 설정하는 방법을 고려해야 합니다.

이 항목에서는 유용한 정보 및 컴퓨팅 환경을 더욱 안전하게 하는 데 사용할 수 많은 리소스 링크를 알려드립니다. 일반적으로 Microsoft Dynamics 365 데이터 보안은 사용되는 운영 체제 및 소프트웨어 구성 요소의 보안에 따라 달라지기 때문입니다.

이 항목의 내용

Windows Server 보안

SQL Server 보안

Exchange Server 및 Outlook 보안

모바일 장치 보안

Windows Server 보안

Microsoft Dynamics 365의 기초가 되는 Windows Server는 정교한 네트워크 보안을 제공합니다.Active Directory 및 Active Directory Federation Services(AD FS)에 통합된 Kerberos 버전 5 인증 프로토콜을 사용하면 클레임 기반 인증을 사용하여 Active Directory 도메인을 연결할 수 있습니다. 두 가지 모두 강력한 표준 기반 인증 기능을 제공합니다. 이러한 인증 표준을 통해 사용자는 네트워크에서 리소스에 액세스할 때 사용자 이름과 암호 로그인 조합을 한 번만 입력하면 됩니다.Windows Server에는 또한 네트워크의 보안 수준을 더욱 높이는 데 도움이 되는 몇 가지 기능이 포함됩니다.

이러한 기능 및 Windows Server 배포를 보다 안전하게 하는 방법에 대한 자세한 내용을 보려면 다음 링크로 이동하십시오.

• Windows Server 2012

  • Windows Server 2012 R2 및 Windows Server 2012 보호

  • Windows Server 2012 보안 기준

Windows 오류 보고

Microsoft Dynamics 365에는 WER(Windows 오류 보고) 서비스가 필요하며 이 서비스가 누락된 경우 설치 프로그램에서 설치합니다.WER 서비스에서는 IP 주소와 같은 정보를 수집합니다. IP 주소는 사용자를 식별하는 데 사용되지 않습니다.WER 서비스에서는 이름, 주소, 전자 메일 주소, 컴퓨터 이름 또는 다른 형태의 개인 식별 정보(PII)를 의도적으로 수집하지 않습니다. 메모리 또는 열려 있는 파일에서 수집된 데이터에서 이러한 정보가 캡처될 수는 있지만 Microsoft에서는 사용자를 식별하는 데 해당 정보를 사용하지 않습니다. 또한 Microsoft Dynamics 365 응용 프로그램과 Microsoft 간에 전송되는 일부 정보는 보호되지 않을 수 있습니다. 전송되는 정보 유형에 대한 자세한 내용은 Microsoft 오류 보고 서비스에 대한 개인 정보 취급 방침을 참조하십시오.

바이러스, 맬웨어 및 id 보호

맬웨어 또는 바이러스로부터 id 및 시스템을 보호하려면 다음 리소스를 참조하십시오.

• Microsoft 보안. 이 페이지는 컴퓨터를 최신 상태로 유지하고 컴퓨터가 악용되거나 스파이웨어 및 바이러스에 감염되지 않도록 보호하는 방법에 대한 팁, 교육 및 참고 자료를 제공합니다.

• Security TechCenter. 이 페이지에서는 컴퓨터 및 응용 프로그램을 최신 상태로 안전하게 유지하는 데 도움이 되는 기술 자료 게시판, 자문, 업데이트, 도구 및 참고 자료에 대한 링크를 제공합니다.

업데이트 관리

Microsoft Dynamics 365 업데이트에는 향상된 보안, 성능 및 기능이 포함됩니다.Microsoft Dynamics 365 응용 프로그램에 최신 업데이트가 포함되었는지 확인하면 시스템을 효율적이고 안정적으로 실행하는 데 도움이 됩니다. 여기에서 업데이트를 관리하는 방법에 대한 자세한 정보를 찾을 수 있습니다.

• Windows 서버 업데이트 서비스

• 구성 관리자에서 소프트웨어 업데이트

• Windows Server 2012에서 업데이트 관리: 클러스터 인식 업데이트 소개 및 WSUS의 새로운 세대

SQL Server 보안

Microsoft Dynamics 365에서는 SQL Server를 사용하므로 다음과 같은 조치를 취하여 SQL Server 데이터베이스의 보안을 강화해야 합니다.

• 최신 운영 체제 및 SQL Server 서비스 팩(SP)과 업데이트를 적용합니다.Microsoft 보안 웹 사이트에서 최신 정보를 확인하십시오.

• 파일 시스템 수준의 보안을 위해 모든 SQL Server 데이터 및 시스템 파일을 NTFS 파티션에 설치합니다. NTFS 사용 권한을 통해 관리 또는 시스템 수준 사용자만 파일을 사용할 수 있도록 해야 합니다. 이렇게 하면 MSSQLSERVER 서비스가 실행되지 않을 때 해당 파일에 액세스하는 사용자로부터 보호할 수 있습니다.

• 권한이 낮은 도메인 계정을 사용하거나,SQL Server 서비스에 대한 네트워크 서비스 또는 로컬 시스템 계정을 지정합니다. 하지만 도메인 사용자 계정은 SQL Server 서비스를 실행하기에 부족한 권한으로 구성될 수 있으므로 이러한 권한을 사용하지 않는 것이 좋습니다. 두메인 사용자 계정은 도메인에서 최소 권한을 가져야 하며 손상이 있는 경우 서버에 대한 공격을 중지하지는 않아도 억제할 수 있어야 합니다. 즉, 도메인 사용자 계정은 도메인에서 로컬 사용자 수준 권한만 가져야 합니다. 도메인 관리자 계정으로 서비스를 실행하여 SQL Server를 설치한 경우에는 SQL Server가 손상되면 전체 도메인도 손상됩니다. 파일의 ACL(액세스 제어 목록), 레지스트리 및 사용자 권한은 자동으로 변경되므로 이 설정을 변경해야 하는 경우에는 SQL Server Management Studio를 사용하여 변경하십시오.

• SQL Server는 Windows 인증 또는 SQL Server 자격 증명이 있는 사용자를 인증합니다. Single Sign-on을 편리하게 사용하고 가장 안전한 인증 방식을 제공할 수 있도록 Windows 인증을 사용하는 것이 좋습니다.

• 따라서 적어도 실패한 로그인에 대한 감사는 사용하도록 설정할 수 있습니다. 기본적으로 SQL Server 시스템에 대한 감사는 해제되어 있으므로 감사되는 조건이 없습니다. 이 경우 침입 감지가 어려우며 공격자가 자신의 발자취를 감추는 데 도움을 줄 수 있습니다.

• 보고서 서버 관리자는 RDL 샌드박스를 설정하여 보고서 서버에 대한 액세스를 제한해야 합니다.추가 정보:RDL 샌드박싱 설정 및 해제

• 각 SQL 로그온은 master 데이터베이스를 기본 데이터베이스로 사용하도록 구성됩니다. 사용자는 master 데이터베이스에 대한 권한이 없어야 하지만 가장 좋은 방법은 OrganizationName_MSCRM을 기본 데이터베이스로 사용하도록 모든 SQL 로그인(SYSADMIN 역할이 있는 사용자 제외)에 대한 기본값을 변경하는 것입니다.추가 정보:SQL Server 보안

Exchange Server 및 Outlook 보안

다음은 Microsoft Dynamics 365 환경에서 Microsoft Exchange Server 또는 Exchange Server에 대한 고려 사항입니다.

• Exchange Server에는 인프라에 대한 정확한 관리 제어를 위한 일련의 다양한 메커니즘이 포함됩니다. 특히 관리 그룹을 사용하여 서버, 커넥터 또는 정책과 같은 Exchange Server 개체를 수집한 다음 특정 사용자만 액세스할 수 있도록 해당 관리 그룹에서 ACL을 수정할 수 있습니다. 예를 들어 응용 프로그램에 직접적인 영향을 주는 서버에 대한 일부 제어 권한을 Microsoft Dynamics 365 관리자에게 제공할 수 있습니다. 관리 그룹을 효율적으로 구현하는 경우 Microsoft Dynamics 365 관리자가 작업을 수행하는 데 필요한 권한을 정확하게 부여할 수 있습니다.

• Microsoft Dynamics 365 사용자에 대해 별도의 OU(조직 구성 단위)를 만들고 해당 OU에 대해 제한된 관리 권한만 Microsoft Dynamics 365 관리자에게 제공하는 것이 편리한 경우가 있습니다. 관리자는 해당 OU 외부의 사용자가 아닌 내부의 모든 사용자를 변경할 수 있습니다.

• 항상 무단 전자 메일 릴레이로부터 적절히 보호할 수 있어야 합니다. 전자 메일 릴레이는 SMTP 클라이언트가 SMTP 서버를 사용하여 전자 메일 메시지를 원격 도메인에 전달할 수 있게 해주는 기능입니다. 기본적으로 Microsoft Exchange Server은 전자 메일 릴레이를 할 수 없도록 구성됩니다. 구성되는 설정은 메시지 흐름 및 ISP(인터넷 서비스 공급자)의 전자 메일 서버 구성에 따라 달라집니다. 그러나 가장 좋은 방법은 전자 메일 릴레이 설정을 잠근 다음 점차적으로 열어서 전자 메일이 제대로 전달되도록 하는 것입니다. 자세한 내용은 Exchange Server 도움말을 참조하십시오.

• 전달 사서함 모니터링을 사용하는 경우 전자 메일 라우터에는 Exchange Server 또는 POP3 호환 사서함이 필요합니다. 다른 사용자가 서버 쪽 규칙을 추가하지 못하도록 이 사서함에 대한 권한을 설정하는 것이 좋습니다.Exchange Server 사서함에 대한 자세한 내용은 수신자 사용 권한을 참조하십시오.

• Microsoft Dynamics 365전자 메일 라우터 서비스는 로컬 시스템 계정으로 작동합니다. 이렇게 하면 전자 메일 라우터에서 지정된 사용자의 사서함에 액세스하여 해당 사서함에 있는 전자 메일을 처리할 수 있습니다.

Exchange Server의 보안 수준을 높이는 방법에 대한 자세한 내용은 배포 보안 검사 목록을 참조하십시오.

모바일 장치 보안

조직이 점점 더 모바일 인력을 지원하기 위해 이동하므로 강력한 보안이 필수적입니다. 스마트폰, 태블릿 등의 모바일 장치에 대한 유용한 정보를 구현할 수 있는 리소스는 다음과 같습니다.

• Configuration Manager 및 Windows Intune을 사용하여 모바일 장치를 관리하는 방법

• Windows for business

• 보안 고려 사항 (Microsoft Surface)

• iOS in Business(iPad 및 iPhone)

참고 항목

Microsoft Dynamics 365 배포 계획
전자 메일 시스템을 Microsoft Dynamics 365와 통합(동기화)
휴대폰 및 태블릿 설정 및 관리
Microsoft Dynamics 365에 대한 보안 고려 사항

© 2017 Microsoft. All rights reserved. 저작권 정보