복제 보안을 위한 최선의 구현 방법

적용 대상:SQL Server

복제는 단일 작업기본 인트라넷에서 신뢰할 수 없는 작업 간 및 인터넷을 통해 데이터에 액세스하는 애플리케이션기본에 이르기까지 분산 환경의 데이터를 이동합니다. 이러한 다양한 상황에서 복제본(replica) 연결의 보안을 유지하는 가장 좋은 방법을 이해하는 것이 중요합니다.

다음 정보는 모든 환경에서의 복제와 관련이 있습니다.

• VPN(가상 사설망), TLS(전송 계층 보안), 이전에 SSL(Secure Sockets Layer) 또는 IPSEC(IP Security)와 같은 업계 표준 방법을 사용하여 복제본(replica)tion 토폴로지의 컴퓨터 간 연결을 암호화합니다. 자세한 내용은 데이터베이스 엔진(SQL Server 구성 관리자)에 대한 암호화된 커넥트온을 사용하도록 설정하세요. 인터넷을 통해 데이터를 복제본(replica) 위해 VPN 및 TLS를 사용하는 방법에 대한 자세한 내용은 인터넷을 통해 복제 보안을 참조하세요.

  TLS를 사용하여 복제 토폴로지에서 컴퓨터 간의 연결 보안을 유지하는 경우 각 복제 에이전트의 -EncryptionLevel 매개 변수 값을 1 또는 2로 지정합니다(값 2가 권장됨). 값 1을 지정하면 암호화가 사용되지만 에이전트에서 TLS/SSL 서버 인증서가 신뢰할 수 있는 발급자에 의해 서명된 것인지 확인하지는 않습니다. 값 2를 지정하면 인증서가 확인됩니다. 에이전트 매개 변수는 에이전트 프로필 및 명령줄에서 지정할 수 있습니다. 자세한 내용은 다음을 참조하세요.

  • 복제 에이전트 프로필 작업

  • 복제 에이전트의 명령 프롬프트 매개 변수 보기 및 수정(SQL Server Management Studio)

  • Replication Agent Executables Concepts

• 각 복제 에이전트를 서로 다른 Windows 계정으로 실행하고 모든 복제 에이전트 연결에 Windows 인증을 사용합니다. 계정을 지정하는 방법에 대한 자세한 내용은 복제본(replica) 대한 ID 및 액세스 제어를 참조하세요.

• 각 에이전트에 필요한 권한만 부여합니다. 자세한 내용은 복제 에이전트 보안 모델의 "에이전트에 필요한 권한" 섹션 을 참조하세요.

• 모든 병합 에이전트 및 배포 에이전트 계정이 PAL(게시 액세스 목록)에 있는지 확인합니다. 자세한 내용은 게시자 보안을 참조 하세요.

• PAL의 계정에서 복제본(replica)tion 작업을 수행하는 데 필요한 권한만 허용하여 최소 권한 원칙을 따릅니다. 복제본(replica) 필요하지 않은 고정 서버 역할에 로그인을 추가하지 마세요.

• 모든 병합 에이전트 및 배포 에이전트 읽기 액세스를 허용하도록 스냅샷 공유를 구성합니다. 매개 변수가 있는 필터가 있는 게시에 대한 스냅샷 경우 각 폴더가 적절한 병합 에이전트 계정에만 액세스를 허용하도록 구성되어 있는지 확인합니다.

• 스냅샷 에이전트 쓰기 액세스를 허용하도록 스냅샷 공유를 구성합니다.

• 끌어오기 구독을 사용하는 경우 스냅샷 폴더의 로컬 경로 대신 네트워크 공유를 사용합니다.

복제본(replica) 토폴로지에서 서로 신뢰 관계가 없는 기본기본기본 없는 컴퓨터를 포함하는 경우 에이전트에서 만든 연결에 Windows 인증 또는 SQL Server 인증을 사용할 수 있습니다(자세한 내용은 windows 설명서를 참조하세요기본.) Windows 인증을 사용하는 보안 모범 사례로 권장됩니다.

• Windows 인증을 사용하려면 다음을 수행합니다.

  • 적절한 노드에서 각 에이전트에 대한 로컬 Windows 계정(do기본 계정 아님)을 추가합니다(각 노드에서 동일한 이름과 암호 사용). 예를 들어 밀어넣기 구독에 대한 배포 에이전트 배포자에서 실행되고 배포자 및 구독자에 연결합니다. 배포 에이전트에 대한 Windows 계정은 배포자와 구독자에 추가해야 합니다.

  • 지정된 에이전트(예: 구독에 대한 배포 에이전트)가 각 컴퓨터에서 동일한 계정으로 실행되는지 확인합니다.

• SQL Server 인증을 사용하려면 다음을 수행합니다.

  • 적절한 노드에서 각 에이전트에 대한 SQL Server 계정을 추가합니다(각 노드에서 동일한 계정 이름 및 암호 사용). 예를 들어 밀어넣기 구독에 대한 배포 에이전트 배포자에서 실행되고 배포자 및 구독자에 연결합니다. 배포 에이전트 대한 SQL Server 계정을 배포자 및 구독자에 추가해야 합니다.

  • 지정된 에이전트(예: 구독에 대한 배포 에이전트)가 각 컴퓨터에서 동일한 계정으로 연결되도록 합니다.

  • SQL Server 인증이 필요한 경우 UNC 스냅샷 공유에 대한 액세스를 사용할 수 없는 경우가 많습니다(예: 방화벽에 의해 액세스가 차단될 수 있음). 이 경우 FTP(파일 전송 프로토콜)를 통해 스냅샷을 구독자에게 전송할 수 있습니다. 자세한 내용은 FTP를 통해 스냅샷 전송을 참조하세요.

참고 항목

데이터베이스 엔진에 암호화 연결 사용(SQL Server 구성 관리자)
인터넷을 통한 복제
구독자 보안 설정
배포자 보안 설정
게시자 보호
복제본(replica)tion 보안 설정 보기 및 수정