외부 보안 공동 작업 환경에 대한 보안 계획(Office SharePoint Server)

업데이트 날짜: 2009년 4월

적용 대상: Office SharePoint Server 2007

 

마지막으로 수정된 항목: 2015-03-09

이 문서의 내용

• 백 엔드 서버 보호

• 클라이언트-서버 통신 보호

• 중앙 관리 사이트 보호

• 공유 서비스 공급자 관리 사이트 보호

• 보안 디자인 검사 목록

• 서버 역할의 보안 강화 계획

• Office SharePoint Server 기능의 보안 구성 계획

외부 보안 환경에 대한 보안 지침은 기업 네트워크에 대한 일반적인 액세스 권한이 없는 참가자와 콘텐츠에 대한 공동 작업을 수행위한 목적으로 익스트라넷에서 콘텐츠를 호스팅하는 경우를 위한 것입니다.

외부 보안 공동 작업 환경에 대한 여러 가지 고유한 권장 사항이 있습니다. 이러한 권장 사항 중 일부는 특정 솔루션에는 적합하지 않을 수 있습니다.

백 엔드 서버 보호

외부 보안 공동 작업을 위해서는 인터넷 연결 서버가 필요합니다. 백 엔드 서버를 보호하여 인터넷 트래픽에 대한 노출을 제한할 수 있습니다.

• 데이터베이스 서버 보호   최소한 프런트 엔드 웹 서버와 데이터베이스를 호스팅하는 서버 사이에 방화벽을 배치해야 합니다. 일부 환경에서는 데이터베이스 서버를 익스트라넷 환경에 직접 연결하는 대신 내부 네트워크에 호스팅되도록 지정합니다.

• 응용 프로그램 서버 보호   최소한 인터넷 프로토콜 보안(IPsec)을 사용하여 서버 팜 컴퓨터 간의 통신을 보호해야 합니다. 또한 응용 프로그램 서버를 데이터베이스 서버를 보호하는 데 사용되는 방화벽 뒤에 배치할 수 있습니다. 또는 프런트 엔드 웹 서버와 응용 프로그램 서버 사이에 방화벽을 추가로 도입할 수 있습니다.

• 인덱스 역할 보호   인덱스 구성 요소는 사이트의 콘텐츠를 크롤링하기 위해 프런트 엔드 웹 서버를 통해 통신합니다. 이 통신 채널을 보호하려면 하나 이상의 인덱스 서버에서 사용할 전용 프런트 엔드 웹 서버를 구성하는 것이 좋습니다. 이렇게 하면 크롤링 통신이 사용자가 액세스할 수 없는 프런트 엔드 웹 서버로 격리됩니다. 또한 해당 인덱스 서버(또는 다른 크롤러)만 액세스할 수 있도록 SiteData.asmx(크롤러 SOAP 서비스)를 제한하는 방식으로 IIS(인터넷 정보 서비스)를 구성합니다. 콘텐츠 크롤링 전용 프런트 엔드 웹 서버를 지정하면 기본 프런트 엔드 웹 서버에서 부하가 줄어들어 성능도 향상되므로 사용 환경이 향상됩니다.

클라이언트-서버 통신 보호

익스트라넷 환경에서 보안 공동 작업은 클라이언트 컴퓨터 및 서버 팜 환경 사이의 보안 통신에 따라 달라집니다. 가능한 경우 SSL(Secure Sockets Layer)을 사용하여 클라이언트 컴퓨터와 서버 사이의 통신을 보호합니다. 보안을 강화하려면 다음을 고려합니다.

• 클라이언트 컴퓨터에서 인증서 요구. SSL은 클라이언트 인증서 없이 구현할 수 있습니다. 모든 클라이언트 컴퓨터에서 인증서를 요구하여 외부 공동 작업에 대한 보안을 강화할 수 있습니다.

• IPsec 사용. 클라이언트 컴퓨터에서 IPsec을 지원하는 경우 SSL에 비해 보다 높은 수준 또는 단위의 보안을 제공하도록 IPsec 규칙을 구성할 수 있습니다.

중앙 관리 사이트 보호

외부 사용자에게 네트워크 영역에 대한 액세스 권한이 있으므로 중앙 관리 사이트의 보안을 유지하여 외부 액세스를 차단하고 내부 액세스를 보호해야 합니다.

• 프런트 엔드 웹 서버에서 중앙 관리 사이트를 호스팅하지 않도록 합니다.

• 중앙 관리 사이트에 대한 외부 액세스를 차단합니다. 프런트 엔드 웹 서버와 중앙 관리 사이트를 호스팅하는 서버 사이에 방화벽을 배치하여 액세스를 차단할 수 있습니다.

• SSL을 사용하여 중앙 관리 사이트를 구성합니다. 이렇게 하면 내부 네트워크에서 중앙 관리 사이트로의 통신이 보호됩니다.

공유 서비스 공급자 관리 사이트 보호

SSP(공유 서비스 공급자) 관리 사이트(SSP당 사이트 하나)는 프런트 엔드 웹 서버에 설치됩니다. 각 SSP 관리 사이트는 전용 웹 응용 프로그램에 만들어집니다. 이러한 사이트를 보호하기 위한 권장 사항은 다음과 같습니다.

• SSL을 사용하여 모든 SSP 관리 사이트를 구성합니다. 이렇게 하면 내부 네트워크에서 해당 사이트로의 통신이 보호됩니다.

• 웹 응용 프로그램에 대해 정책을 구성하여 모든 외부 사용자에 대한 액세스를 거부합니다.

보안 디자인 검사 목록

다음 디자인 검사 목록을 개요: 서버 팜 보안 계획(Office SharePoint Server)의 검사 목록과 함께 사용합니다.

토폴로지

[ ]	프런트 엔드 웹 서버와 응용 프로그램 및 데이터베이스 서버 사이에 방화벽을 하나 이상 배치하여 백 엔드 서버를 보호합니다.
[ ]	콘텐츠 크롤링을 위한 전용 프런트 엔드 웹 서버를 계획합니다. 최종 사용자 프런트 엔드 웹 순환에 이 프런트 엔드 웹 서버를 포함하면 안 됩니다.

논리 아키텍처

[ ]	중앙 관리 사이트에 대한 액세스를 차단하고 이 사이트에 대해 SSL을 구성합니다.
[ ]	이러한 사이트를 SSL로 구성하고 전용 웹 응용 프로그램에 호스팅하며 이러한 사이트에 대한 외부 액세스를 거부하도록 정책을 구성하여 SSP 관리 사이트를 보호합니다.

서버 역할의 보안 강화 계획

다음 표에서는 외부 보안 공동 작업 환경에 대한 보안 강화를 위한 추가 권장 사항을 보여 줍니다.

구성 요소	권장 사항
포트	중앙 관리 사이트의 포트에 대한 외부 액세스를 차단합니다.
IIS	인덱스 서버 또는 기타 크롤러만 액세스를 허용하도록 SiteData.asmx(크롤러 SOAP 서비스)를 제한합니다.

Office SharePoint Server 기능의 보안 구성 계획

다음 표에서는 Microsoft Office SharePoint Server 2007 기능을 보호하기 위한 추가 권장 사항을 보여 줍니다. 이러한 권장 사항은 외부 보안 공동 작업 환경에 적합합니다.

기능 또는 영역	권장 사항
인증	인증된 사용자에 대해 SSL을 사용합니다. 사이트를 검색하는 익명 사용자에게는 해당되지 않습니다.
권한 부여	보안 정책을 사용하여 외부 사용자 사용 권한을 부여하거나 거부 정책을 작성하여 외부 사용자가 할 수 있는 작업을 제한합니다.
내 사이트	개인 사이트를 만들어야 하는 참가자에게 개인 사이트 만들기 권한만 부여합니다.
InfoPath Forms Server	InfoPath Forms Services 웹 서비스 프록시를 비활성화합니다.

이 문서의 다운로드

이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.

• Office SharePoint Server 2007 계획 및 아키텍처, 제2부

• Office SharePoint Server 익스트라넷 환경 계획 (영문)

사용 가능한 문서의 전체 목록은 다운로드 가능한 Office SharePoint Server 2007 관련 콘텐츠 (영문)를 참조하십시오.