JavaScript is required to for searching.
탐색 링크 건너뛰기
인쇄 보기 종료
Oracle® ZFS Storage Appliance 보안 설명서
Oracle 기술 네트워크
라이브러리
PDF
인쇄 보기
피드백
search filter icon
search icon

문서 정보

Oracle ZFS Storage Appliance 보안 개요

초기 설치

물리적 보안

관리 모델

ZFSSA 사용자

ACL(액세스 제어 목록)

SAN(Storage Area Network)

데이터 서비스

NFS 인증 및 암호화 옵션

보안 모드

Kerberos 유형

iSCSI

RADIUS 지원

SMB(Server Message Block)

AD(Active Directory) 도메인 모드 인증

작업 그룹 모드 인증

로컬 그룹 및 권한

MMC(Microsoft Management Console)를 통한 관리 작업

바이러스 검사

타이밍 공격 방지용 지연 엔진

전송 중 데이터 암호화

FTP(File Transfer Protocol)

HTTP(Hypertext Transfer Protocol)

NDMP(네트워크 데이터 관리 프로토콜)

원격 복제

섀도우 마이그레이션

SFTP(SSH File Transfer Protocol)

TFTP(Trivial File Transfer Protocol)

디렉토리 서비스

시스템 설정

원격 관리 액세스

로그

자세한 정보

문서 매핑

SMB(Server Message Block)

SMB 프로토콜(CIFS(Common Internet File System)라고도 함)은 Microsoft Windows 네트워크에서 파일에 대한 공유 액세스를 제공합니다. 또한 인증도 제공합니다.

다음 SMB 옵션은 보안에 영향을 미칠 수 있습니다.

AD(Active Directory) 도메인 모드 인증

Domain Mode(도메인 모드)에서는 사용자가 Active Directory에 정의됩니다. SMB 클라이언트는 Kerberos 또는 NTLM 인증을 사용하여 ZFSSA에 연결할 수 있습니다.

사용자가 정규화된 ZFSSA 호스트 이름을 통해 연결된 경우 동일한 도메인 또는 신뢰할 수 있는 도메인에 있는 Windows 클라이언트는 Kerberos 인증을 사용하고, 그렇지 않은 경우 NTLM 인증을 사용합니다.

SMB 클라이언트가 NTLM 인증을 사용하여 ZFSSA에 연결한 경우 사용자의 자격 증명이 인증을 위해 AD 도메인 컨트롤러로 전달됩니다. 이를 통과 인증이라고 합니다.

NTLM 인증을 제한하는 Windows 보안 정책이 정의된 경우 Windows 클라이언트는 정규화된 호스트 이름을 통해 ZFSSA에 연결해야 합니다. 자세한 내용은 MSDN 문서(http://technet.microsoft.com/en-us/library/jj865668%28v=ws.10%29.aspx)를 참조하십시오.

인증 후 사용자의 SMB 세션에 대해 "보안 컨텍스트"가 설정됩니다. 보안 컨텍스트로 표시되는 사용자에게는 고유한 보안 설명자(SID)가 지정됩니다. SID는 파일 소유권을 나타내며 파일 액세스 권한을 결정하는 데 사용됩니다.

작업 그룹 모드 인증

Workgroup Mode(작업 그룹 모드)에서는 사용자가 ZFSSA에 로컬로 정의됩니다. SMB 클라이언트가 Workgroup Mode(작업 그룹 모드)에서 ZFSSA에 연결되면 해당 사용자의 사용자 이름 및 암호 해시를 사용하여 로컬에서 사용자를 인증합니다.

LM(LAN Manager) 호환성 레벨은 ZFSSA가 작업 그룹 모드에 있는 경우 인증에 사용될 프로토콜을 지정하는 데 사용됩니다.

다음 목록은 각 LM 호환성 레벨에 대한 ZFSSA 동작을 보여줍니다.

작업 그룹 사용자가 성공적으로 인증되면 보안 컨텍스트가 설정됩니다. 시스템의 SID와 사용자의 UID를 조합하여 ZFSSA에 정의된 사용자에 대해 고유 SID가 만들어집니다. 모든 로컬 사용자는 UNIX 사용자로 정의됩니다.

로컬 그룹 및 권한

로컬 그룹은 추가 권한을 해당 사용자에게 제공하는 도메인 사용자 그룹입니다. 관리자는 파일 소유권을 변경하는 파일 권한을 무시할 수 있습니다. 백업 운영자는 파일 백업 및 복원 시 파일 액세스 제어를 무시할 수 있습니다.

MMC(Microsoft Management Console)를 통한 관리 작업

적합한 사용자만 관리 작업에 액세스할 수 있도록 하기 위해 MMC를 통해 원격으로 수행되는 작업에 대한 몇 가지 액세스 제한 사항이 있습니다.

다음 목록은 사용자 및 허용된 작업을 보여줍니다.

바이러스 검사

바이러스 검사 서비스는 파일 시스템 레벨에서 바이러스가 있는지 검사합니다. 프로토콜을 통해 파일에 액세스할 경우 바이러스 검사 서비스가 먼저 파일을 검사하고, 바이러스가 발견되면 액세스를 거부하고 파일을 격리합니다. 검사는 ZFSSA가 연결되는 외부 엔진에 의해 수행됩니다. 외부 엔진은 ZFSSA 소프트웨어에 포함되지 않습니다.

최신 바이러스 정의를 사용하여 파일을 검사하고 나면 다음에 수정될 때까지 다시 검사하지 않습니다. 바이러스 검사는 주로 바이러스가 유입될 가능성이 있는 SMB 클라이언트에 제공됩니다. NFS 클라이언트도 바이러스 검사를 사용할 수 있지만, NFS 프로토콜의 작동 방식 때문에 SMB 클라이언트에서 신속하게 바이러스를 찾아내지 못할 수 있습니다.

타이밍 공격 방지용 지연 엔진

SMB는 타이밍 공격을 방지하기 위한 지연 엔진을 구현하지 않으며, Solaris 암호화 프레임워크에 의존합니다.

전송 중 데이터 암호화

SMB 서비스는 전송 중 데이터 암호화를 지원하지 않는 SMB 프로토콜의 버전 1을 사용합니다.