비즈니스용 Skype 서버의 주요 보안 기능Key security features in Skype for Business Server

비즈니스용 Skype Server에는 서버 간 인증, 역할 기반 액세스 제어 및 구성 데이터의 중앙 집중화를 비롯 한 다양 한 보안 기능이 포함 되어 있습니다.Skype for Business Server includes several security features, including server-to-server authentication, role-based access control, and centralized storage of configuration data.

이 문서에서는 비즈니스용 Skype 서버 보안에 대해 간략하게 설명 합니다.This article provides a high level overview of Skype for Business Server security.

비즈니스용 Skype 서버의 주요 보안 기능Key Security Features in Skype for Business Server

보안은 매우 광범위 한 주제입니다.Security is a very broad topic. 비즈니스용 skype server의 모든 기능, 그리고 비즈니스용 Skype 서버 에코 시스템을 구성 하는 데이터베이스, 서비스 및 하드웨어를 통해 보안이 유지 됩니다.Security reaches across every feature of Skype for Business Server as well as databases, services, and hardware that make up a Skype for Business Server ecosystem. 이 문서에서는 보안을 위해 디자인 된 비즈니스용 Skype Server의 일부 기능에 대해 간략하게 설명 합니다.This article outlines some of the features in Skype for Business Server in particular that are designed for security.

계획 및 디자인 도구Planning and Design Tools

비즈니스용 skype Server는 비즈니스용 Skype 서버 구성 요소를 잘못 구성 하는 것을 도와주는 두 가지 도구인 계획 및 디자인을 제공 합니다.Skype for Business Server provides two tools to facilitate planning and design and to reduce the chance of mis-configuring Skype for Business Server components.

  • 토폴로지 계획 도구 는 토폴로지 디자인 프로세스의 대부분을 자동화 합니다.Topology Planning Tool automates much of the topology design process. 비즈니스용 Skype Server를 실행 하는 각 서버를 설치 하는 데 필요한 도구인 계획 도구에서 토폴로지 작성기로 결과를 내보낼 수 있습니다.You can export the results from the Planning Tool to Topology Builder, which is the tool that is required to install each server running Skype for Business Server.

  • 토폴로지 작성기 는 중앙 관리 저장소에 모든 구성 정보를 저장 합니다.Topology Builder stores all configuration information in the Central Management store.

이러한 도구에 대 한 자세한 내용은 비즈니스용 Skype 서버 관리 도구를 참조 하세요.For details about these tools, see Skype for Business Server Management Tools.

중앙 관리 저장소Central Management Store

비즈니스용 Skype 서버에서 서버 및 서비스에 대 한 구성 데이터는 중앙 관리 저장소의 일부입니다.In Skype for Business Server, configuration data about servers and services is part of the Central Management store. 중앙 관리 저장소는 비즈니스용 Skype 서버 배포를 정의, 설정, 유지 관리, 관리, 설명 및 운영 하는 데 필요한 데이터에 대 한 강력 하 고 schematized 저장소를 제공 합니다.The Central Management store provides a robust, schematized storage of the data needed to define, set up, maintain, administer, describe, and operate a Skype for Business Server deployment. 또한 구성을 일관성 있게 유지 하기 위해 데이터의 유효성을 검사 합니다.It also validates the data to ensure configuration consistency. 이 구성 데이터에 대 한 모든 변경 사항은 중앙 관리 저장소에서 수행 되며 "동기화 되지 않은" 문제를 제거 합니다.All changes to this configuration data happen at the Central Management store, eliminating "out-of-sync" issues.

데이터의 읽기 전용 복사본은 Edge 서버 및 Survivable Branch 기기를 포함 하 여 토폴로지의 모든 서버에 복제 됩니다.Read-only copies of the data are replicated to all servers in the topology, including Edge Servers and Survivable Branch Appliances. 복제는 기본적으로 네트워크 서비스의 컨텍스트에서 실행 되며 컴퓨터에 있는 단순 사용자의 권한 및 사용 권한을 줄이는 서비스에 의해 관리 됩니다.Replication is managed by a service that is, by default, run under the context of the Network service, reducing the rights and permissions to that of a simple user on the computer.

서버 대 서버 인증Server-to-Server Authentication

비즈니스용 Skype Server에서는 OAuth (Open Authorization) 프로토콜을 사용 하 여 서버 간에 인증을 구성할 수 있습니다.In Skype for Business Server, authentication can be configured between servers by using the Open Authorization (OAuth) protocol. 예를 들어 Microsoft Exchange Server 2016를 실행 하는 서버에서 인증 하도록 비즈니스용 Skype 서버를 구성할 수 있습니다.For example, you can configure Skype for Business Server to authenticate with a server that is running Microsoft Exchange Server 2016. OAuth 프로토콜을 사용 하는 경우 비즈니스용 Skype 서버와 Microsoft Exchange Server는 서로를 신뢰할 수 있습니다.Using the OAuth protocol, the Skype for Business Server and the Microsoft Exchange Server can trust each other. 이를 통해 원활한 방식으로 제품을 통합할 수 있습니다.This provides the ability to integrate the products in a seamless manner. 자세한 내용은 비즈니스용 Skype 서버에서 OAuth (서버 간 인증) 및 파트너 응용 프로그램 관리를 참조 하세요.For details, see Manage server-to-server authentication (OAuth) and partner applications in Skype for Business Server.

Windows PowerShell 기반 관리 및 웹 기반 관리 인터페이스Windows PowerShell-based management and Web-based Management Interface

비즈니스용 Skype Server는 Windows PowerShell 명령줄 인터페이스를 기반으로 하는 강력한 관리 인터페이스를 제공 합니다.Skype for Business Server provides a powerful management interface, built on the Windows PowerShell command-line interface. 여기에는 보안을 관리 하는 cmdlet이 포함 되어 있으며 사용자가 스크립트를 쉽게 실행할 수 없도록 Windows PowerShell 보안 기능이 기본적으로 사용 하도록 설정 되어 있습니다.It includes cmdlets for managing security, and Windows PowerShell security features are enabled by default so that users cannot easily or unknowingly run scripts. 즉, 소프트웨어 기본값이 자동으로 보안을 최대화 하 고 공격을 줄일 수 있도록 설정 됩니다.This means that the software defaults are set to automatically help maximize security and reduce the avenues of attack. 비즈니스용 Skype Server의 Windows PowerShell 관리 지원에 대 한 자세한 내용은 비즈니스용 Skype Server Management Shell을 참조 하세요.For details about Windows PowerShell management support in Skype for Business Server, see Skype for Business Server Management Shell.

RBAC (역할 기반 액세스 제어)Role-Based Access Control (RBAC)

비즈니스용 Skype Server는 보안을 위해 높은 표준을 유지 하면서 관리 작업을 위임할 수 있는 RBAC (역할 기반 액세스 제어)를 제공 합니다.Skype for Business Server provides role-based access control (RBAC) to enable you to delegate administrative tasks while maintaining high standards for security. RBAC를 사용 하 여 사용자가 작업에 필요한 관리 권한만 부여 받은 "최소 권한"의 원칙을 따를 수 있습니다.You can use RBAC to follow the principle of "least privilege," in which users are given only the administrative rights that their jobs require. 비즈니스용 Skype Server는 새 역할을 만드는 기능과 기존 역할을 수정 하는 기능도 제공 합니다.Skype for Business Server provides the ability to create a new role and also the ability to modify an existing role.

NAT (Network Address Translation)Network Address Translation (NAT)

비즈니스용 Skype 서버는 Edge 서버의 내부 인터페이스에서 NAT (network address translation) 사용을 지원 하지 않지만, 단일 및 배율 통합 Edge 서버 토폴로지에 대해 NAT (network address translation)를 수행 하는 라우터 또는 방화벽 뒤에 대 한 액세스 경계 서비스, 웹 회의 Edge 서비스,/V Edge 서비스의 외부 인터페이스를 제공 하는 것을 지원 합니다.Skype for Business Server does not support the use of network address translation (NAT) on the internal interface of the Edge Server, but it does support placing the external interface of the Access Edge service, Web Conferencing Edge service, and A/V Edge service behind a router or firewall that performs network address translation (NAT) for both single and scaled consolidated Edge Server topologies. 하드웨어 부하 분산 장치 뒤에 있는 여러 Edge 서버는 NAT를 사용할 수 없습니다.Multiple Edge Servers behind a hardware load balancer cannot use NAT. 외부 인터페이스에서 여러 Edge 서버가 NAT를 사용 하는 경우 DNS (Domain Name System) 부하 분산이 필요 합니다.If multiple Edge Servers use NAT on their external interfaces, Domain Name System (DNS) load balancing is required. 그런 다음 DNS 부하 분산을 사용 하면 Edge 서버 풀의 Edge 서버 당 공용 IP 주소 수를 줄일 수 있습니다.In turn, using DNS load balancing allows you to reduce the number of public IP addresses per Edge Server in an Edge Server pool. 자세한 내용은 비즈니스용 Skype 서버의 Edge 서버 시나리오를 참조 하세요.For details, see Edge Server scenarios in Skype for Business Server.

참고

Microsoft Office Communications Server 2007 배포를 보유 하는 기업과 페더레이션 하 고 enterprise와 페더레이션 엔터프라이즈 사이에 오디오/비디오를 사용 해야 하는 경우 포트 요구 사항은 배포 되는 이전 버전의 Edge 서버에 대 한 것입니다.If you federate with enterprises that have a Microsoft Office Communications Server 2007 deployment and you need to use audio/video between your enterprise and the federated enterprise, the port requirements will be those for the older version of the Edge Servers that are deployed. 예를 들어 이러한 이전 버전에 필요한 포트 범위는 페더레이션 파트너가 Edge 서버를 비즈니스용 Skype Server로 업그레이드할 때까지 두 엔터프라이즈 모두에 대해 열려 있어야 합니다.For example, the port ranges required for those older versions must be opened for both enterprises until the federated partner upgrades its Edge Servers to Skype for Business Server. 이 때 새 구성에 따라 포트 요구 사항을 검토 하 고 축소할 수 있습니다.At that time, the port requirements can be reviewed and reduced according to the new configuration.

Edge 서버용으로 간소화 된 인증서Simplified Certificates for Edge Servers

배포 마법사가 자동으로 주체 이름 (SNs) 및 주체 대체 이름 (San)을 채워 불필요 하 고 잠재적 하 게 보안 되지 않는 항목을 포함할 가능성을 줄일 수 있습니다.The Deployment Wizard can automatically populate subject names (SNs) and subject alternative names (SANs), reducing the possibility of including unnecessary and potentially unsecure entries.

SDL (신뢰할 수 있는 컴퓨팅 보안 개발 수명 주기)Trustworthy Computing Security Development Lifecycle (SDL)

비즈니스용 Skype 서버는 Microsoft의 신뢰할 수 있는 컴퓨팅 SDL ( 보안 개발 수명 주기 )을 준수 하 여 디자인 및 개발 되었습니다.Skype for Business Server is designed and developed in compliance with the Microsoft Trustworthy Computing Security Development Lifecycle (SDL).

  • 신뢰할 수 있는 디자인 더욱 안전한 통합 커뮤니케이션 시스템을 만드는 첫 번째 단계는 위협 모델을 디자인 하 고 각 기능을 디자인 한 대로 테스트 하는 것입니다.Trustworthy by Design The first step in creating a more secure unified communications system was to design threat models and test each feature as it was designed. 또한 Microsoft는 예기치 않은 제품 동작으로 인해 발생 하는 보안 취약점을 찾기 위해 디자인 된 동작을 벗어난 테스트를 수행 합니다.In addition, Microsoft performs testing outside of the designed behavior in order to find security vulnerabilities resulting from unexpected product behavior. 여러 보안 관련 개선 사항이 코딩 프로세스 및 관례에 기본으로 제공 되었습니다.Multiple security-related improvements were built into the coding process and practices. 빌드 시간 도구는 코드가 최종 제품에 체크 인 되기 전에 버퍼 오버런과 기타 잠재적인 보안 위험을 검색 합니다.Build-time tools detect buffer overruns and other potential security threats before the code is checked in to the final product. 물론 알 수 없는 모든 보안 위협 으로부터 디자인 하는 것은 불가능 합니다.Of course, it is impossible to design against all unknown security threats. 시스템에서 완벽 한 보안을 보장할 수 없습니다.No system can guarantee complete security. 그러나 제품 개발 embraced 시작부터 안전한 디자인 원칙 때문에 비즈니스용 Skype 서버는 업계 표준 보안 기술을 해당 아키텍처의 기본 부분으로 통합 합니다.However, because product development embraced secure design principles from the start, Skype for Business Server incorporates industry standard security technologies as a fundamental part of its architecture.

  • 신뢰할 수 있는 기본 기본적으로 비즈니스용 Skype 서버의 네트워크 통신이 암호화 됩니다.Trustworthy by Default By default, network communications in Skype for Business Server are encrypted. 모든 서버는 인증서와 Kerberos 인증, TLS, 안전한 SRTP (실시간 전송 프로토콜), 그리고 128 비트 AES (고급 암호화 표준) 암호화를 비롯 한 기타 업계 표준 암호화 기술을 사용 하기 때문에 거의 모든 Skype 비즈니스 서버 데이터는 네트워크에서 보호 됩니다.Because all servers use certificates and Kerberos authentication, TLS, Secure Real-Time Transport Protocol (SRTP), and other industry-standard encryption techniques, including 128-bit Advanced Encryption Standard (AES) encryption, virtually all Skype for Business Server data is protected on the network. 또한 역할 기반 액세스 제어를 통해 각 서버 역할이 서비스만 실행 하 고 해당 서비스와 관련 된 사용 권한만 있고 서버 역할에 해당 되는 경우에는 비즈니스용 Skype 서버를 실행 하는 서버를 배포할 수 있습니다.In addition, role-based access control makes it possible to deploy servers running Skype for Business Server so that each server role runs only the services, and has only the permissions related to those services, that are appropriate for the server role.

  • 배포에 의 한 신뢰 모든 비즈니스용 Skype 서버 설명서에는 배포에 적합 한 보안 수준을 확인 하 고 구성 하는 데 도움이 되는 모범 사례 및 권장 사항이 포함 되어 있으며, 비기본 옵션을 활성화 하는 경우의 보안 위험을 평가할 수 있습니다.Trustworthy by Deployment All Skype for Business Server documentation includes best practices and recommendations to help you determine and configure the optimal security levels for your deployment and assess the security risks of activating non-default options.