HTTP 어댑터 보안 권장 사항
HTTP 어댑터를 사용하여 HTTP(Hypertext Transfer Protocol)를 통해 BizTalk Server 애플리케이션 간에 정보를 교환합니다. 응용 프로그램은 지정한 HTTP URL에 HTTP POST 또는 HTTP GET 요청을 보내 메시지를 서버로 보낼 수 있습니다. HTTP 어댑터에 대한 자세한 내용은 HTTP 어댑터를 참조하세요. 사용자 환경에서 HTTP 어댑터의 보안 및 배포를 위해서는 다음 지침을 따르는 것이 좋습니다.
HTTP 어댑터에 대해 IIS(인터넷 정보 서비스) 설정을 구성해야 합니다. 자세한 내용은 HTTP 수신 위치에 대해 IIS를 구성하는 방법을 참조하세요.
7.0을 사용하는 경우 응용 프로그램 격리 구성에 대한 IIS 7.0 권장 사항을 따라야 합니다.
기본 인증을 사용하거나 메시지 수준에서 암호화를 사용하지 않는 경우에는 권한이 없는 사람이 사용자 자격 증명을 스니핑할 수 없도록 수신 메시지와 송신 메시지 모두에 대해 SSL(Secure Sockets Layer)을 사용하는 것이 좋습니다.
보내는 메시지와 받는 메시지 모두에 대해 Windows 통합 인증을 사용하는 것이 좋습니다.
ISAPI 확장 파일은 이름을 바꾸거나 복사 또는 이동하지 않는 것이 좋습니다. 이렇게 하면 보안 업데이트 설치 관리자가 이 파일과 관련된 잠재적 보안 업데이트를 올바르게 적용할 수 있습니다.
ISAPI 확장 파일이 포함된 디렉터리와 메시지 수신용으로 만드는 가상 디렉터리에 대해서는 강력한 DACL(임의 액세스 제어 목록)을 사용해야 합니다. HTTP 어댑터를 실행하는 호스트에 대한 BizTalk Isolated Host 그룹의 멤버에게는 이러한 디렉터리에 대한 읽기 및 실행 권한이 필요하며, HTTP 어댑터가 인증하는 사용자에게는 이러한 디렉터리에 대한 읽기 권한이 필요합니다.
HTTP 송신 어댑터에 대해 SSL 클라이언트 인증서를 사용하는 경우에는 이러한 인증서를 수동으로 구성해야 합니다.
다른 BizTalk Server 구성 요소와 마찬가지로 HTTP 어댑터를 경계 네트워크에 배치하지 않는 것이 좋습니다. HTTP 어댑터를 경계 네트워크에 배치하면 MessageBox 데이터베이스에 대한 SQL Server 트래픽용으로 경계 네트워크에서 데이터 도메인으로의 포트를 열어야 하는데, 이 경우 위험이 증가합니다. 따라서 HTTP 어댑터는 경계 네트워크가 아닌 처리 도메인에 구성하는 것이 좋습니다. 그런 다음 처리 도메인(FW3)의 방화벽을 통해 HTTP 요청을 전달하도록 가장 바깥쪽 방화벽(FW4)을 구성할 수 있습니다. 이 경우에는 경계 네트워크에 IIS가 필요하지 않습니다. 이 메커니즘을 역방향 프록시라고 하며 Forefront TMG(Threat Management Gateway) 2010 서버 구현을 웹 게시라고 합니다.
HTTP 수신 위치에 대해 응용 프로그램 풀을 만들 때는 HTTP 수신 어댑터와 인터넷 정보 서비스 작업자 프로세스 그룹(IIS_WPG 그룹)을 실행하는 Isolated 호스트에 대한 Windows 그룹 멤버인 계정을 사용하여 실행되도록 응용 프로그램 풀을 구성해야 합니다. 그런 다음, BizTalk Server 관리 콘솔을 사용하여 HTTP 수신 어댑터가 이 계정을 사용하도록 호스트 instance 구성해야 합니다. 계정을 IIS_WPG 그룹으로 변경하는 경우 호스트 인스턴스도 새 계정으로 실행되도록 업데이트해야 합니다. 자세한 내용은 HTTP 수신 위치에 대해 IIS를 구성하는 방법을 참조하세요.
참고 항목
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기