보안 고려 사항
적용 대상: System Center 2012 R2 Operations Manager, Data Protection Manager for System Center 2012, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
System Center 2012 - Operations Manager에 적합한 환경을 준비하는 작업은 대부분 보안 관련 작업과 관련이 있습니다. 이 섹션에서는 이러한 작업을 대략적으로 살펴봅니다. 자세한 내용은 Index to Security-related Information for Operations Manager(Operations Manager용 보안 관련 정보 인덱스)를 참조하십시오.
보안 관련 작업을 준비하는 과정에는 다음 단계가 포함됩니다.
트러스트 영역 간 모니터링 이해, 계획 및 준비
UNIX 또는 Linux 컴퓨터 모니터링 이해, 계획 및 준비
필요한 서비스 계정, 사용자 계정 및 보안 그룹 계획 및 준비
디자인에 필요한 네트워크 포트 이해 및 준비
트러스트 영역
Active Directory 도메인은 Operations Manager에 표시되는 Kerberos 트러스트 영역의 기본 단위를 구성합니다. 이 영역은 같은 네임스페이스(즉, 같은 Active Directory 트리)의 다른 도메인 및 다른 Active Directory 트리에 있지만 Active Directory 포리스트가 같은 도메인 간에 전이적 트러스트를 통해 자동으로 확장됩니다. 뿐만 아니라 트러스트 영역은 포리스트 간 트러스트 사용을 통해 다른 Active Directory 포리스트의 도메인 간에 확장될 수도 있습니다.
Kerberos
Windows 2000 도메인 컨트롤러 이상에서 지원되는 Kerberos 인증 프로토콜은 트러스트 영역 내에서만 발생할 수 있습니다. Kerberos 인증은 Operations Manager 에이전트/서버 상호 인증을 수행하는 데 사용되는 메커니즘입니다.Operations Manager 셸에서 모든 에이전트/서버 통신에 에이전트/서버 상호 인증이 수반됩니다.
Operations Manager 관리 그룹에는 관리 그룹이 있는 Kerberos 트러스트 경계를 벗어나서는 검색 및 모니터링을 수행할 수 없습니다. 그러나 Active Directory 도메인에 가입하지 않은 Windows 기반 컴퓨터에 대한 기본 인증 프로토콜이 NTLM이기 때문에 상호 인증을 지원하기 위해서는 다른 메커니즘을 사용해야 합니다. 이는 에이전트와 서버 간의 인증서 교환을 통해 수행됩니다.
인증서
Operations Manager 통신이 트러스트 영역 간에 발생해야 하는 경우(예: 모니터링하려는 서버가 모니터링을 수행하는 관리 그룹과 다른, 트러스트되지 않은 Active Directory 도메인에 있는 경우)에는 인증서를 사용하여 상호 인증 요구 사항을 충족할 수 있습니다. 이 경우 수동 구성을 통해 인증서를 가져와서 컴퓨터와 해당 컴퓨터에서 실행되는 Operations Manager 서비스에 연결할 수 있습니다. 다른 컴퓨터의 서비스와 통신해야 하는 서비스가 시작되어 인증을 시도하면 인증서가 교환되고 상호 인증이 완료됩니다.
.jpeg "System_CAPS_important") 중요 |
|---|
이러한 용도에 사용되는 인증서는 결과적으로 같은 루트 CA(인증 기관)를 트러스트해야 합니다. |
상호 인증용 인증서를 가져와서 사용하는 방법에 대한 자세한 내용은 게이트웨이 서버 배포를 참조하십시오.
인증 기관
필요한 인증서를 얻으려면 CA(인증 기관)에 액세스해야 합니다. 인증 기관은 Microsoft 인증서 서비스 또는 타사 인증 서비스(예: VeriSign)일 수 있습니다.
Microsoft 인증서 서비스
Microsoft CA에는 다음 네 가지 유형이 있습니다.
엔터프라이즈 루트
엔터프라이즈 하위
독립 실행형 루트
독립 실행형 하위
엔터프라이즈 유형의 CA에는 Active Directory 도메인 서비스가 필요하고 독립 실행형 CA에는 Active Directory 도메인 서비스가 필요하지 않습니다. 이 네 가지 유형의 CA 중 하나에서 트러스트 영역 간 에이전트/서버 상호 인증에 필요한 인증서를 발행할 수 있습니다.
CA 인프라는 일반적으로 고유의 인증서를 서명하고 자체적으로 인증하는 루트 CA와 해당 루트에 의해 인증되는 하나 이상의 하위 CA로 구성됩니다. 루트 CA는 오프라인으로 가져와서 안전하게 보관할 수 있는 반면, 하위 CA 서버는 서비스 인증서에 의해 요청됩니다. 인증서를 설계하는 방법에 대한 자세한 내용은 Infrastructure Planning and Design(인프라 계획 및 설계) 및 Windows 컴퓨터의 인증 및 데이터 암호화를 참조하십시오.
UNIX 및 Linux 컴퓨터 모니터링
System Center 2012 - Operations Manager에서 UNIX 및 Linux 컴퓨터를 모니터링할 수 있습니다. UNIX 및 Linux 컴퓨터는 관리 그룹이 있는 Active Directory 도메인에 가입하지 않기 때문에 이전에 설명한 상호 인증 방법의 변형이 사용됩니다.
UNIX 및 Linux 컴퓨터에서 상호 인증 설정
검색 마법사를 사용하여 UNIX 및 Linux 컴퓨터를 찾아서 관리 그룹에 관리되는 개체로 추가할 수 있습니다. 검색 마법사가 실행되는 동안 Operations Manager에서 검색된 UNIX 및 Linux 컴퓨터를 통해 관리 서버와 상호 인증하는 데 사용되는 자체 서명된 인증서를 생성합니다. SSH 검색을 사용하는 경우 인증서 생성, 서명 및 교환 프로세스는 다음과 같이 작동합니다.
관리 서버의 검색 마법사 프로세스에서 검색된 UNIX 또는 Linux 컴퓨터를 통해 자체 서명된 인증서를 생성합니다.
검색하는 관리 서버에서 UNIX 또는 Linux 컴퓨터에 인증서 가져오기 요청을 실행합니다.
UNIX 또는 Linux 컴퓨터가 관리 서버에 인증서를 반환합니다.
검색하는 관리 서버에서 키 쌍과 고유의 자체 서명된 인증서를 만듭니다. 관리 서버는 첫 번째 UNIX 또는 Linux 컴퓨터를 검색한 경우에만 키 쌍과 자체 서명된 인증서를 생성합니다. 그런 다음 해당 인증서를 신뢰할 수 있는 인증서 저장소로 가져온 후 개인 키를 사용하여 UNIX 또는 Linux 인증서를 서명합니다. 이후 관리 서버의 UNIX 또는 Linux 컴퓨터 인증서 서명에는 첫 번째 서명 시 생성된 관리 서버의 개인 키가 다시 사용됩니다.
그런 다음 검색하는 관리 서버에서 처음에 인증서를 생성한 UNIX 또는 Linux 컴퓨터에 관리 서버 서명된 인증서를 다시 가져다 두는 인증서 가져다 두기 요청을 실행합니다. 그러면 새 UNIX\Linux 컴퓨터 생성 인증서가 활성화되도록 UNIX 또는 Linux 컴퓨터 WSMAN 통신 계층이 다시 시작됩니다.
이제 관리 서버에서 UNIX 또는 Linux 컴퓨터가 자체적으로 인증하도록 요청하면 UNIX 또는 Linux 컴퓨터가 관리 서버에 신뢰할 수 있는 인증서를 제공하고 관리 서버는 이 인증서에서 서명을 읽어 이 서명을 신뢰함을 확인하고(서명이 관리 서버의 신뢰할 수 있는 인증서 저장소에 저장된 고유의 개인 키이므로) UNIX 또는 Linux 컴퓨터가 관리 서버에서 인식하는 컴퓨터임을 증명하는 증거로 인증서를 허용합니다.
검색하는 관리 서버는 적절한 실행 프로필에 구성된 UNIX 또는 Linux 자격 증명을 사용하여 UNIX 또는 Linux 컴퓨터를 자체적으로 인증합니다. 자세한 내용은 UNIX 또는 Linux 실행 프로필 계획 섹션을 참조하세요.
| 중요 |
|---|
앞에서 설명한 작업 순서는 보안 수준이 낮은 버전의 UNIX 또는 Linux 검색에 적용됩니다. |
UNIX 또는 Linux 실행 프로필 계획
검색하는 관리 서버에서 UNIX 또는 Linux 컴퓨터를 관리하게 되면 관리 팩 검색 및 워크플로가 실행되기 시작합니다. 이러한 워크플로를 완료하려면 자격 증명을 사용해야 합니다. 실행 프로필에는 자격 증명, 자격 증명이 적용되는 개체, 클래스 또는 그룹 및 자격 증명이 배포되는 컴퓨터가 포함됩니다. UNIX 관리 팩을 관리 그룹으로 가져올 때 함께 가져오는 실행 프로필에는 다음 두 가지가 있습니다.
Unix 작업 계정 프로필 – 이 실행 프로필과 관련 UNIX 또는 Linux 자격 증명은 지정된 UNIX 또는 Linux 컴퓨터에서 보안 수준이 낮은 작업을 실행하는 데 사용됩니다.
Unix 특권 계정 프로필 – 이 실행 프로필과 관련 UNIX 또는 Linux 자격 증명은 UNIX 또는 Linux 컴퓨터에서 높은 보안 수준으로 보호되어 있기 때문에 높은 권한이 있는 계정이 필요한 작업을 실행하는 데 사용됩니다. 이는 루트 계정(반드시 루트 계정이어야 하는 것은 아님)일 수 있습니다.
관리 팩 워크플로가 제대로 작동하려면 적절한 UNIX 또는 Linux 컴퓨터 자격 증명으로 이러한 프로필을 구성해야 합니다.
계정 및 그룹
Operations Manager를 배포하는 동안 여러 계정 및 보안 그룹이 필요할 수 있습니다.Operations Manager를 설치하는 동안에는 네 개만 필요합니다. 역할 기반 보안 할당 및 알림을 계획할 때 추가적인 계정을 고려해야 하며 프로세스 실행을 위해 자격 증명을 수정해야 합니다. 역할 기반 보안 할당을 계획하는 방법에 대한 지침은 System Center 2012 - Operations Manager 배포 계획을 참조하십시오.
역할 기반 보안 계정 및 그룹
Operations Manager는 사용자 계정에 대한 역할 할당을 통해 모니터링 대상 그룹, 작업, 보기 및 관리 기능에 대한 액세스를 제어합니다.Operations Manager에서 역할이란 프로필 유형(운영자, 고급 운영자, 관리자)과 범위(해당 역할에서 액세스 할 수 있는 데이터)가 결합된 것입니다. 일반적으로 Active Directory 보안 그룹이 역할에 할당된 다음 개별 계정이 이러한 그룹에 할당됩니다. 배포 전에 일반적인 역할이나 사용자 구성 역할에 속하는 Active Directory 보안 그룹을 계획하면 이러한 보안 그룹에 개별 사용자 계정을 추가할 수 있습니다.
Operations Manager에서는 역할에 대한 정의를 다음과 같이 내리고 있습니다.
역할 이름 |
프로필 유형 |
프로필 설명 |
역할 범위 |
|---|---|---|---|
Operations Manager관리자: 설치 시 생성. 삭제 불가. 하나 이상의 전역 그룹 포함 |
관리자 |
Operations Manager에 대한 모든 권한을 보유함. 관리자 프로필에 대한 범위 설정은 지원되지 않음 |
모든 Operations Manager 데이터, 서비스, 관리 및 인증 도구에 대한 액세스 권한을 보유함 |
Operations Manager 고급 운영자 설치 시 생성, 전역 범위 지정, 삭제 불가 |
고급 운영자 |
Operations Manager 구성에 대해 제한된 변경 권한을 보유함. 규칙을 재정의 할 수 있음, 구성 범위 내에서 대상 및 대상 그룹 모니터링 |
현재 존재하는 것은 물론 앞으로 가져올 모든 그룹, 보기 및 작업에 액세스 가능 |
Operations Manager 제작자: 설치 시 생성, 전역 범위 지정, 삭제 불가 |
만든 이 |
구성된 범위 내에서 작업, 규칙, 모니터 및 보기에 대한 생성, 편집 및 삭제 권한을 가짐 |
현재 존재하는 것은 물론 앞으로 가져올 모든 그룹, 보기 및 작업에 액세스 가능 |
Operations Manager 운영자: 설치 시 생성, 전역 범위 지정, 삭제 불가 |
연산자 |
구성된 범위에 따라 경고에 대응하고, 작업을 실행하며, 보기에 액세스 할 수 있음 |
현재 존재하는 것은 물론 앞으로 가져올 모든 그룹, 보기 및 작업에 액세스 가능 |
Operations Manager 읽기 전용 운영자: 설치 시 생성, 전역 범위 지정, 삭제 불가 |
읽기 전용 운영자 |
구성된 범위에 따라 경고를 보고, 보기에 액세스 할 수 있음 |
현재 존재하는 것은 물론 앞으로 가져올 모든 그룹 및 보기에 액세스 가능 |
Operations Manager 보고서 운영자: 설치 시 생성, 전역 범위 지정 |
보고서 운영자 |
구성된 범위에 따라 보고서를 볼 수 있음 |
전역 범위 지정 |
Operations Manager 보고서 보안 관리자: SQL Reporting Services 보안과 Operations Manager 사용자 역할을 통합, Operations Manager 관리자에 보고서 액세스 제어 권한 부여, 범위 지정 불가 |
보고서 보안 관리자 |
SQL Reporting Services 보안을 Operations Manager 역할과 통합할 수 있음 |
범위 없음 |
Active Directory 보안 그룹이나 개별 계정을 미리 지정된 위 역할 중 하나에 추가할 수 있습니다. 이 경우 해당 그룹이나 계정은 주어진 특별 권한을 범위가 지정된 개체 전체에 사용할 수 있습니다.
참고
미리 지정된 역할은 전역 범위가 지정되어 모든 그룹, 보기 및 작업에 액세스할 수 있습니다(Report Security Administrator는 제외).
또한 Operations Manager에서는 운영자, 읽기 전용 운영자, 제작자 및 고급 운영자 프로필을 기반으로 사용자 지정 역할을 만들 수 있습니다. 이러한 역할을 생성할 때 해당 역할이 액세스 할 수 있는 그룹, 작업 및 보기의 범위를 축소할 수 있습니다. 예를 들어 “Exchange 운영자”라는 역할을 생성하여 Exchange 관련 그룹, 보기 및 작업으로만 범위를 축소할 수 있습니다. 이 역할에 할당하는 사용자 계정은 Exchange 관련 개체에서 운영자 수준의 작업을 실행할 수 있습니다.
알림 계정 및 그룹
Exchange 운영자 역할을 할당받은 Exchange 관리자처럼 회사 내에서 Operations Manager와 빈번하게 상호 작용하게 되는 개인에게는 새로운 경고를 찾아내는 방법이 필요합니다. 운영 콘솔에서 새로운 경고를 감시하거나 Operations Manager에서 지원되는 통신 채널을 통해 경고에 대해 알려주는 방법으로 새로운 경고를 찾아낼 수 있습니다.Operations Manager에서는 메일, 메신저 대화, SMS(Short Message Service) 또는 호출기 메시지를 통한 알림을 지원합니다. 특정 역할이 알아야 하는 알림의 경우 Operations Manager에 지정된 수신자에게 전달됩니다.Operations Manager에서 수신자는 전자 메일 알림용 SMTP 주소처럼 알림을 전달 받을 수 있는 주소를 가진 개체면 됩니다.
따라서 역할 할당을 전자 메일이 지원되는 보안 그룹을 통해 알림 그룹 멤버 자격과 결합하는 것이 논리적으로 바람직합니다. 예를 들어 Exchange Administrators 보안 그룹을 만들고 여기에 Exchange의 문제를 해결할 수 있는 지식 및 권한을 가진 개인을 포함합니다. 이 보안 그룹에 사용자가 직접 만든 Exchange Administrator 역할을 할당하면 이들이 데이터에 액세스하고 전자 메일을 사용할 수 있습니다. 그런 다음 전자 메일이 지원되는 보안 그룹의 SMTP 주소를 사용하여 수신자를 생성하면 됩니다.
서비스 계정
배포 과정에서 다음 서비스 계정을 준비해야 합니다. 도메인 계정을 사용 중이고 해당 도메인의 GPO(그룹 정책 개체)가 기본적인 암호 만료 정책을 가지고 있다면 일정에 따라 서비스 계정의 암호를 변경하거나 낮은 유지 관리 시스템 계정을 사용해야 합니다.
계정 이름 |
요청 시기 |
사용 목적 |
낮은 유지 관리 |
높은 보안 |
|---|---|---|---|---|
관리 서버 작업 계정 |
관리 서버 설치 |
공급자로부터 데이터 수집, 응답 실행 |
로컬 시스템 |
낮은 권한의 도메인 계정 |
Data Access 서비스 및 구성 서비스 계정 |
관리 서버 설치 |
운영 데이터베이스에 쓰기, 서비스 실행 |
로컬 시스템 |
낮은 권한의 도메인 계정 |
대상 장치용 로컬 관리자 계정 |
에이전트 검색 및 설치 |
에이전트 설치 |
도메인 또는 로컬 관리자 계정 |
도메인 또는 로컬 관리자 계정 |
에이전트 작업 계정 |
에이전트 검색 및 설치 |
관리 컴퓨터에서 정보 수집 및 응답 실행 |
로컬 시스템 |
낮은 권한의 도메인 계정 |
데이터 웨어하우스 쓰기 작업 계정 |
보고 서버 설치 |
보고 데이터 웨어하우스 데이터베이스에 쓰기 |
낮은 권한의 도메인 계정 |
낮은 권한의 도메인 계정 |
데이터 판독기 계정 |
보고 서버 설치 |
SQL Reporting Services 데이터베이스에 쿼리 |
낮은 권한의 도메인 계정 |
낮은 권한의 도메인 계정 |
서비스 사용자 이름
Operations Manager를 배포할 때 일부 구성에서 SPN(서비스 사용자 이름)을 등록해야 할 수 있습니다. SPN은 클라이언트가 서버와 상호 인증하는 데 필요한 Kerberos 인증에 사용됩니다. 자세한 내용은 What Are Service Publication and Service Principal Names?(서비스 공개 및 서비스 사용자 이름이란 무엇입니까?)를 참조하십시오.
Operations Manager를 설치할 때 System Center Configuration service and System Center Data Access service의 계정을 선택합니다. 자세한 내용은 System Center 2012 - Operations Manager 배포 항목을 참조하세요.
.jpeg "System_CAPS_caution"){kind=icon} 주의 |
|---|
특정 계정이 자신의 SPN을 무제한 수정할 수 있도록 기본 Active Directory 사용 권한을 수정하지 마십시오. |
System Center Data Access 서비스 계정으로 로컬 시스템을 선택한 경우 이 계정에서 적절한 SPN을 만들 수 있습니다. 추가 구성은 필요하지 않습니다.
도메인 계정을 사용하는 경우 각 관리 서버에 대해 SPN을 등록해야 합니다. SETSPN 명령줄 도구를 사용하십시오. 해당 도구를 실행하는 방법에 대한 자세한 내용은 Setspn Overview(Setspn 개요)를 참조하십시오.
다음 구문을 사용하여 netbios 이름 및 관리 서버의 정규화된 도메인 이름을 모두 등록하십시오.
setspn –a MSOMSdkSvc/<netbios name> <DAS account domain>\<DAS account name>
setspn –a MSOMSdkSvc/<fqdn> <DAS account domain>\<DAS account name>
.jpeg "System_CAPS_tip"){kind=icon} 팁 |
|---|
다음 구문으로 사용자 계정 또는 컴퓨터에 등록된 SPN을 나열할 수 있습니다. setspn –l <DAS account name> setspn –l <fqdn> |
네트워크 부하 분산 또는 하드웨어 부하 분산 장치를 사용하는 경우 도메인 계정으로 System Center Data Access 서비스를 실행해야 합니다. 앞서 설명한 설정 외에도 다음 구문을 사용하여 부하 분산 이름을 등록해야 합니다.
setspn –a MSOMSdkSvc/<load balanced name> <DAS account domain>\<DAS account name>
참고
부하 분산 장치 뒤에서 실행하는 모든 System Center Data Access 서비스는 동일한 도메인 계정으로 실행되어야 합니다.
실행 계정
모니터링 대상 컴퓨터의 에이전트는 미리 정의된 조건에 대한 응답뿐만 아니라 요구에 따라 작업, 모듈 및 모니터를 실행할 수 있습니다. 기본적으로 모든 작업은 에이전트 작업 계정 자격 증명을 사용하여 실행됩니다. 경우에 따라서는 에이전트 작업 계정에 컴퓨터에서 지정된 작업을 실행할 수 있는 권리 및 권한이 부족할 수 있습니다.Operations Manager에서는 실행 계정이라는 대체 자격 증명 집합의 컨텍스트에서 에이전트에 의한 작업 실행을 지원합니다. 실행 계정은 "수신자"와 마찬가지로 Operations Manager에서 생성되는 개체이며, Active Directory 사용자 계정에 매핑됩니다. 실행 프로필은 이후에 실행 계정을 특정 컴퓨터와 매핑하는데 사용됩니다. 관리 팩의 개발 시 실행 프로필과 연결된 규칙, 작업 또는 모니터를 대상 컴퓨터에서 실행하려는 경우 지정된 실행 계정을 사용할 수 있습니다.
Operations Manager는 기본적으로 몇 가지 실행 계정 및 실행 프로필을 제공하며 필요에 따라 추가 계정 및 프로필을 만들 수 있습니다. 또한 실행 계정이 연결된 Active Directory 자격 증명을 수정할 수 있습니다. 이를 위해서는 추가적인 Active Directory 자격 증명을 계획, 생성 및 유지 관리해야 합니다. 이러한 계정은 암호 만료, Active Directory 도메인 서비스, 위치 및 보안과 관련된 서비스 계정으로 간주됩니다.
관리 팩 제작자가 실행 계정 요청을 개발하는 경우에는 이들과 논의를 해야 합니다. 자세한 내용은 Index to Security-related Information for Operations Manager(Operations Manager용 보안 관련 정보 인덱스)를 참조하십시오.