SOAP 어댑터 보안 권장 사항

BizTalk Server SOAP 어댑터를 사용하여 웹 서비스를 게시(수신)하고(보내기) 사용합니다. SOAP 어댑터에 대한 자세한 내용은 SOAP 어댑터를 참조하세요. 웹 서비스에 대한 자세한 내용은 웹 서비스 사용을 참조하세요. 사용자 환경에서 SOAP 어댑터를 보호 및 배포하기 위해서는 다음 지침을 따르는 것이 좋습니다.

• 웹 서비스 게시에 대한 보안 권장 사항은 웹 서비스 사용을 참조하세요.

• SOAP 어댑터는 HTTP(Hypertext Transfer Protocol)를 이용하여 BizTalk Server와 메시지를 주고 받습니다. 따라서 IIS(인터넷 정보 서비스)의 보안을 유지하려면 보안 권장 사항을 따라야 합니다. IIS 7.0을 사용하는 경우 응용 프로그램 격리 구성에 대한 IIS 7.0 권장 사항을 따라야 합니다. 자세한 내용은 애플리케이션 풀 만들기(IIS 7)를 참조하세요.

• SOAP 수신 위치에 대해 응용 프로그램 풀을 만드는 경우 SOAP 수신 어댑터를 실행하는 Isolated 호스트에 대한 Windows 그룹과 인터넷 정보 서비스 작업자 프로세스 그룹(IIS_WPG 그룹)의 구성원 계정으로 실행되도록 구성해야 합니다. 그런 다음 이 계정을 사용하도록 SOAP 수신 어댑터의 호스트 인스턴스를 구성해야 합니다. 계정을 IIS_WPG 그룹으로 변경하는 경우 호스트 인스턴스도 새 계정으로 실행되도록 업데이트해야 합니다.

• SSL(Secure Sockets Layer) 클라이언트 인증서를 SOAP 송신 어댑터와 함께 사용할 경우 이 인증서를 수동으로 구성해야 합니다.

• 웹 서비스를 사용할 때는 익명, 기본, 다이제스트, Windows 통합 또는 클라이언트 인증서를 인증에 사용할 수 있습니다. 기본 인증을 사용하여 웹 서비스를 이용할 때는 권한 없는 사람이 메시지의 사용자 인증서를 읽을 수 없도록 SSL을 사용하는 것이 좋습니다.

• 프런트 엔드 사용자의 콘텐츠를 백 엔드 시스템의 자격 증명에 매핑해야 하는 시나리오에서 Enterprise SSO(Single Sign-On)를 사용할 수 있습니다. 자세한 내용은 단일 Sign-On 자격 증명을 매핑하는 방법을 참조하세요.

• 기본 인증을 사용하거나 메시지 수준에서 암호화를 사용하지 않을 때는 권한 없는 사람은 사용자 자격 증명을 읽을 수 없도록 받는 메시지와 보내는 메시지 모두에 대해 SSL을 사용하는 것이 좋습니다.

• 보내는 메시지와 받는 메시지 모두에 대해 Windows 통합 인증을 사용하는 것이 좋습니다.

• SOAP 어댑터를 실행하는 컴퓨터에도 BizTalk Server 런타임이 있습니다. 경계 네트워크에 SOAP 어댑터를 배치하지 않는 것이 좋습니다. 이 경우 MessageBox 데이터베이스에 대한 트래픽을 SQL Server 위해 경계 네트워크에서 데이터 도메인으로 포트를 열어야 하며 잠재적인 공격에 BizTalk Server 런타임을 노출합니다. 경계 네트워크가 아니라 처리 도메인에서 SOAP 어댑터를 구성하는 것이 좋습니다. 그러면 처리 도메인에서 방화벽을 통해 SOAP 요청을 전달하도록 가장 바깥쪽 방화벽을 구성할 수 있습니다. 이 메커니즘을 역방향 프록시라고 하며 Forefront TMG(Threat Management Gateway) 2010 서버 구현을 웹 게시라고 합니다.

참고 항목

수신 및 보내기 서버최소 보안 사용자 권한에 대한 포트