이 절에서는 이 릴리스에서 새롭게 제공되는 보안 및 준수 기능에 대해 설명합니다. 이러한 새 기능은 맬웨어 방지 보호를 통해 새로운 위협을 막고 가장 엄격한 준수 의무를 충족할 수 있도록 합니다.
Sandbox는 보안 및 리소스 격리 요구 사항을 지정하는 데 사용할 수 있도록 고유하게 이름이 지정된 프로세스 속성 세트입니다. Oracle Solaris 11.4에서는 임시 sandbox에서 신뢰할 수 없는 프로세스를 실행할 수 있습니다. 지속 및 계층적 sandbox는 sandboxadm 명령을 사용하여 만들 수 있습니다. 임시 및 지속 sandbox는 모두 sandbox 명령을 사용하여 입력할 수 있습니다.
Sandbox는 권한이 있는 응용 프로그램과 권한이 없는 응용 프로그램을 모두 제한하기에 적합합니다. SPARC Silicon Secured Secure Memory를 사용하는 향상된 악용 완화 제어 장치가 주요 응용 프로그램과 시스템 커널을 자동으로 보호합니다.
자세한 내용은 Securing Users and Processes in Oracle Solaris 11.4 의 Configuring Sandboxes for Project Isolation과 sandboxing(7), sandbox(1) 및 sandboxadm(8) 매뉴얼 페이지를 참조하십시오.
이 Oracle Solaris 릴리스에서는 준수 보고서를 원격으로 실행 및 저장하고 메타데이터에 따라 보고서를 필터링하는 기능을 지원합니다.
중앙 시스템에서 준수 보고서를 실행 및 관리하고 이를 공통 서버에 저장할 수 있습니다. Oracle Solaris 11.4 Compliance Guide 의 2 장, Centrally Managing Compliance Assessments 및 compliance-roster(8) 매뉴얼 페이지를 참조하십시오.
식별 및 필터링용으로 준수 평가를 태그로 지정할 수 있습니다. Oracle Solaris 11.4 Compliance Guide 의 Using Metadata to Manage Assessments 및 compliance(8) 매뉴얼 페이지의 Match Parameters 섹션을 참조하십시오.
Oracle Solaris compliance 명령의 표준 벤치마크에는 Oracle Solaris Cluster 검사 기능이 포함되어 있습니다. Oracle Solaris Cluster 검사는 시스템에 Oracle Solaris Cluster가 설치 및 구성된 경우에만 실행됩니다.
벤치마크, 프로파일, compliance 명령 및 Oracle Solaris Cluster 준수 검사에 대한 자세한 내용은 다음 문서를 참조하십시오.
compliance(8) 매뉴얼 페이지
Oracle Solaris 11.4 Compliance Guide 의 What’s New in Compliance in Oracle Solaris 11.4
Oracle Solaris Cluster 4.4 보안 지침
Oracle Solaris 11.4에서 파일별 감사는 특정 파일 및 디렉토리에 대해 세분화된 액세스 중 감사 기능을 제공합니다. 이 기능을 통해 시스템 및 보안 관리자가 지정된 파일을 감사할 수 있습니다. 지정된 파일은 감사 데이터를 더 쉽게 수집 및 분석할 수 있게 해주는 특정 방식으로 액세스할 수 있습니다.
예를 들면 다음과 같습니다.
# chmod A+everyone@:write_data/read_data:successful_access/failed_access:audit /data/db1
이 감사 ACE는 시스템에서 모든 사용자가 /data/db1 파일에서 수행하는 성공 및 거부된 액세스를 포함한 모든 읽기 또는 쓰기에 대해 감사 레코드가 생성되도록 보장합니다. 감사 ACE는 메타데이터 변경사항에 대해서도 추가할 수 있습니다.
자세한 내용은 Managing Auditing in Oracle Solaris 11.4 의 What’s New in the Audit Service in Oracle Solaris 11.4을 참조하십시오.
Oracle Solaris 11.4에서 이 새로운 기능은 감사 레코드를 생성하여 커널 모듈의 서명 확인 결과를 표시할 수 있게 해줍니다. 이 기능은 Oracle Solaris 11.4가 부트될 때 확인된 부트 boot_policy 값을 확인하고 AUE_SYSTEMBOOT 이벤트에 대한 감사 레코드에 값을 출력합니다. 확인된 부트가 warning 또는 enforce인 boot_policy 속성의 값을 사용해서 사용으로 설정되었을 때 Oracle Solaris 감사는 모듈을 로드할 때 elfsign 서명 확인이 실패하면 AUE_MODLOAD 감사 이벤트를 생성합니다. 확인된 부트가 사용으로 설정된 상태에서는 잘못된 서명 또는 시스템에 로드되지 않은 서명이 포함된 커널 모듈에 대한 이벤트를 추적할 수 있습니다.
자세한 내용은 Managing Auditing in Oracle Solaris 11.4 의 New Feature – Auditing Verified Boot를 참조하십시오.
Oracle Solaris 11.4에는 admhist 유틸리티가 도입되었습니다. 이 유틸리티는 시스템에서 실행된 시스템 관리 관련 이벤트의 요약을 이해하기 쉽고 도움이 되는 형식으로 제공하기 위해 사용됩니다. admhist 유틸리티에는 보다 자세한 로그 분석을 제공하기 위해 praudit 및 auditreduce 유틸리티를 사용으로 설정하는 감사 데이터가 사용됩니다.
다음과 같이 사용자, 날짜, 시간 또는 이벤트 유형으로 결과를 제한할 수 있게 해주는 다양한 옵션이 제공됩니다. 예를 들어 마지막 24시간 내에 특정 사용자 ID로 실행된 권한 있는 명령을 식별할 수 있습니다.
# admhist -v -a "last 24 hours" 2017-05-09 10:58:55 user1@example.com cwd=/export/home/user1 /usr/sbin/zfs get quota rpool/export/home/user1 2017-05-09 10:59:16 user1@example.com cwd=/export/home/user1 /usr/sbin/zfs set quota 40g 2017-05-09 10:59:27 user1@example.com cwd=/export/home/user1 /usr/sbin/zfs get quota rpool/export/home/user1 2017-05-09 10:59:31 user1@example.com cwd=/export/home/user1 /usr/bin/bash 2017-05-09 10:59:31 user1@example.com cwd=/ /usr/bin/su
이 출력은 사용자 user1이 root 사용자로 전환하고 자신의 할당량을 늘린 것을 보여줍니다. 프로세스 수명 전체에 걸쳐 사용되는 권한은 명령이 종료될 때 조사됩니다. 출력 끝에 su 작업이 나열된 이유가 바로 이것 때문입니다.
자세한 내용은 admhist(8) 매뉴얼 페이지, Managing Auditing in Oracle Solaris 11.4 의 New Feature – Per-Privilege Logging of Audit Events 및 Oracle Solaris 12 Analytics 사용을 참조하십시오.
Oracle Solaris 11.4는 KMIP(Key Management Interoperability Protocol) 버전 1.1을 사용하기 위한 클라이언트 지원을 제공합니다. PKCS#11 응용 프로그램이 KMIP 클라이언트로 작동하고 KMIP 호환 서버와 통신할 수 있게 해주는 새로운 PKCS#11 공급자 pkcs11_kmip가 Oracle Solaris Cryptographic Framework에서 제공됩니다.
Oracle Solaris 11.4에는 또한 pkcs11_kmip 공급자 상태를 초기화하고 관리하는 새로운 kmipcfg 명령이 포함되어 있습니다.
자세한 내용은 Managing Encryption and Certificates in Oracle Solaris 11.4 의 5 장, KMIP and PKCS #11 Client Applications과 pkcs11_kmip(7) 및 kmipcfg(8) 매뉴얼 페이지를 참조하십시오.
Oracle Solaris 11.4에서 파일 및 프로세스 레이블 지정은 민감한 정보에 대한 액세스를 제한하는 프레임워크를 제공합니다. 이제는 충분한 클리어런스가 있는 사용자 또는 역할에 액세스 권한을 제공하도록 파일 및 디렉토리에 레이블을 지정할 수 있습니다. 클리어런스 정책은 또한 모든 권한이 있는 프로세스에 적용됩니다. Oracle Solaris 11.4는 레이블 지정된 파일에 대한 모든 액세스 로그를 생성할 수 있습니다. 이러한 로그는 PCI-DSS 및 HIPAA와 같은 준수 표준을 충족하기 위해 사용될 수 있습니다.
자세한 내용은 Oracle Solaris 12에서 파일 보안 및 파일 무결성 확인 의 레이블 및 클리어런스 및 clearance(7) 매뉴얼 페이지를 참조하십시오.
SSM(Silicon Secured Memory)은 악의적인 침입 및 운용 환경에 있는 프로그램 코드 결함으로부터 보호를 돕기 위해 메모리 내의 데이터에 대한 실시간 액세스 검사 기능을 추가함으로써 보안 및 신뢰성 수준을 향상시켜 줍니다.
SSM은 기본 시스템 메모리 할당자를 통해 제공되며, 커널 영역 내에서 사용할 수 있습니다. Oracle Solaris 커널 영역에서 Silicon Secured Memory 지원을 참조하십시오.
시스템 기본 할당자(libc malloc)는 이제 ADI(응용 프로그램 데이터 무결성)가 지원됩니다. sxadm 명령으로 태그가 지정된 바이너리는 그러한 보호가 자동으로 적용됩니다. sxadm(8) 매뉴얼 페이지의 보안 확장 섹션에서 ADIHEAP 및 ADISTACK 보호를 참조하십시오.
SSM 응용 프로그래밍 인터페이스는 고급 사용자정의를 위해 제공됩니다. Securing Systems and Attached Devices in Oracle Solaris 11.4 의 Protecting Against Malware With Security Extensions 및 adi(2) 매뉴얼 페이지를 참조하십시오.
Oracle Solaris 11.4에는 TCP/IP 트래픽 필터링을 위한 OpenBSD 패킷 필터(PF) 방화벽이 포함됩니다. PF 방화벽은 Oracle Solaris 11.4에서 IPF(IP 필터) 대신 사용되며 대역폭 관리 및 패킷 우선 순위 지정이 모두 가능합니다. PF 방화벽을 사용하려면 pkg:/network/firewall 패키지를 설치하고 svc:/network/firewall:default 서비스 인스턴스를 사용으로 설정합니다.
PF에는 PF 방화벽에서 기록된 패킷을 안전하게 저장하는 패킷 로깅 데몬인 pflogd 기능이 포함되어 있습니다. 이러한 패킷은 캡처 데이터 링크에서 제공됩니다. 데몬은 이 데이터 링크에서 패킷을 읽고 이를 파일에 저장합니다. 자세한 내용은 pflogd(8) 매뉴얼 페이지를 참조하십시오.
PF는 IPv4 NAT를 지원하는 FTP용 반투명 프록시인 ftp-proxy를 지원합니다. NAT용 PF 방화벽을 실행하는 시스템은 이제 ftp-proxy를 사용하여 FTP 연결이 방화벽을 통해 전달되도록 허용할 수 있습니다. 자세한 내용은 ftp-proxy(8) 매뉴얼 페이지를 참조하십시오.
자세한 내용은 Securing the Network in Oracle Solaris 11.4 의 4 장, Oracle Solaris Firewall과 pfctl(8), pf.conf(7) 및 pf.os(7) 매뉴얼 페이지를 참조하십시오.
Oracle Solaris 11.4는 업데이트된 버전의 Kerberos를 제공합니다. 여기에는 Oracle Solaris를 위한 향상 기능 뿐만 아니라 최신 버전의 MIT Kerberos에서 지원되는 향상 기능이 포함되어 있습니다. Kerberos는 네트워크 인증을 제공하고, 응용 프로그램에서 사용되는 방식에 따라 선택적으로 메시지 무결성 및 개인 정보 보호 기능을 제공합니다.
자세한 내용은 Managing Kerberos in Oracle Solaris 11.4 의 1 장, Kerberos on Oracle Solaris 및 kerberos.7 매뉴얼 페이지를 참조하십시오.
SASL(Simple Authentication and Security Layer) 프레임워크는 네트워크 프로토콜에 인증 및 선택적 보안 서비스를 제공합니다. Oracle Solaris 11.4는 오픈 소스 Cyrus SASL 버전 2.1.26에서의 SASL 구현을 기반으로 하며 몇 가지 변경사항을 포함합니다.
SASL 플러그인은 /usr/lib/sasl2 디렉토리에 있으며, SASL 구성 파일의 기본 위치는 /etc/sasl2 디렉토리입니다. 오픈 소스 기반의 SASL 버전을 사용함으로써 Oracle Solaris 11.4는 보안 업데이트를 포함한 최신 SASL 기능을 제공할 수 있습니다.
자세한 내용은 Managing Authentication in Oracle Solaris 11.4 의 2 장, Using Simple Authentication and Security Layer을 참조하십시오.
이 Oracle Solaris 릴리스에서는 시스템 정책 설정을 위한 /etc 디렉토리에서의 개별 파일 편집에 대한 대안이 제공됩니다. account-policy SMF(서비스 관리 기능) 서비스는 login, su, 셸 변수, 로깅, 보안 정책(policy.conf) 및 RBAC 설정을 SMF에서 등록 정보로 저장합니다. 서비스가 사용으로 설정되면, 서비스를 통해 시스템 정책을 설정하고 가져옵니다. /etc 파일은 적용된 정책을 나타내지 않을 수 있습니다. 자세한 내용은 account-policy(8S) 매뉴얼 페이지 및 Securing Users and Processes in Oracle Solaris 11.4 의 Modifying Rights System-Wide As SMF Properties을 참조하십시오.
Oracle Solaris Cryptographic Framework가 PKCS #11 v2.20에서 PKCS #11 v2.40으로 업데이트되었습니다. 이 업데이트에는 PKCS #11 v2.30의 방식을 포함하여 PKCS #11 v2.40의 최신 방식 중 일부가 포함됩니다. 또한 PKCS #11 v2.40에는 새로운 오류 코드와 새로운 값이 도입되었습니다. 다음과 같은 새로운 방식이 추가되었습니다.
AES 서명 및 확인
CKM_AES_XCBC_MAC CKM_AES_XCBC_MAC_96 CKM_AES_CMAC CKM_AES_GMAC
AES 암호화 및 해독
CKM_AES_GCM CKM_AES_CCM CKM_AES_CFB128
SHA-512/t 메시지 다이제스팅
CKM_SHA512_224 CKM_SHA512_256 CKM_SHA512_T
SHA-512/t 일반 길이 및 HMAC
CKM_SHA512_224_HMAC_GENERAL CKM_SHA512_256_HMAC_GENERAL CKM_SHA512_T_HMAC_GENERAL CKM_SHA512_224_HMAC CKM_SHA512_256_HMAC CKM_SHA512_T_HMAC
SHA-512/t 키 파생
CKM_SHA512_224_KEY_DERIVATION CKM_SHA512_256_KEY_DERIVATION CKM_SHA512_T_KEY_DERIVATION
TLS 1.2
CKM_TLS12_MASTER_KEY_DERIVE CKM_TLS12_MASTER_KEY_DERIVE_DH CKM_TLS12_KEY_AND_MAC_DERIVE CKM_TLS12_KEY_SAFE_DERIVE CKM_TLS_KDF - replacing CKM_TLS_PRF CKM_TLS_MAC - replacing CKM_TLS_PRF
타원 곡선을 위한 오류 코드 CKR_CURVE_NOT_SUPPORTED
특정 타원 곡선을 지원할 수 없는 경우 오류 코드 CKR_CURVE_NOT_SUPPORTED가 반환됩니다. 이전 버전에서는 곡선이 지원되지 않는 경우 CKR_TEMPLATE_INCONSISTENT가 반환되었습니다.
CK_UNAVAILABLE_INFORMATION
C_GetAttributeValue()가 호출되었을 때, 잘못되었거나 제공되지 않아서 속성을 반환할 수 없는 경우, ulValueLen이 CK_UNAVAILABLE_INFORMATION으로 설정됩니다. 호출자는 ulValueLen을 CK_UNAVAILABLE_INFORMATION과 비교하여 반환된 속성 값이 잘못되었거나 사용할 수 없는 상태인지 확인해야 합니다. 또한 호출자는 ulValueLen = 0을 유효한 값으로 취급해야 합니다.
CKA_DESTROYABLE 및 CKR_ACTION_PROHIBITED 속성
객체에 CKA_DESTROYABLE = CK_FALSE가 포함된 경우 이 특정 객체에 대해 C_DestroyObject를 요청하면 CKR_ACTION_PROHIBITED가 오류 코드로 반환됩니다.
CKU_SO로 제한 사항 제거
이 변경사항은 CKU_SO가 로그인된 상태에서 R/O 지정에 대한 제한 사항을 제거합니다. R/O 세션은 이제 CKU_SO와 공존할 수 있으며, 해당 세션이 CKS_RO_PUBLIC_SESSION으로 작동합니다. R/O 세션은 CKU_SO로 C_Login하는 데 사용할 수 없습니다.
CKR_SESSION_READ_ONLY_EXISTS 및 CKR_SESSION_READ_WRITE_SO_EXISTS는 더 이상 사용되지 않습니다.
자세한 내용은 SUNW_C_GetMechSession(3EXT), SUNW_C_KeyToObject(3EXT), libpkcs11(3LIB), pkcs11_softtoken(7), pkcs11_kms(7) 및 pkcs11_tpm(7) 매뉴얼 페이지를 참조하십시오.