이 장에서는 보안 설치 계획 프로세스의 개요를 살펴보고 권장되는 몇 가지 시스템 배치 토폴로지에 대해 설명합니다.
보안 요구사항을 더 잘 이해하려면 다음과 같은 질문을 해야 합니다.
운영 환경의 다양한 리소스를 보호할 수 있습니다. 제공할 보안 레벨을 결정할 때 보호할 리소스의 유형을 고려하십시오.
DIVAnet을 사용할 때 다음과 같은 리소스를 보호해야 합니다.
DIVAnet은 하나 이상의 디스크(DIVAnet 시스템에 직접 연결된 로컬 또는 원격 디스크)에 연결된 서버에 설치됩니다. DIVAnet을 사용하지 않고 개별적으로 해당 디스크에 액세스할 경우 보안 위험에 노출됩니다. 이 유형의 외부 액세스는 해당 디스크를 읽거나 쓰는 악의적인 시스템 또는 해당 디스크 장치에 대한 액세스를 실수로 제공하는 내부 시스템에서 발생할 수 있습니다.
DIVAnet 시스템을 만드는 데 사용되는 데이터베이스 소프트웨어 및 데이터 리소스가 있습니다. 데이터는 대개 DIVAnet 시스템에 연결된 로컬 또는 원격 디스크에 있습니다. DIVAnet을 사용하지 않고 개별적으로 해당 디스크에 액세스할 경우 보안 위험에 노출됩니다. 이 유형의 외부 액세스는 해당 디스크를 읽거나 쓰는 악의적인 시스템 또는 해당 디스크 장치에 대한 액세스를 실수로 제공하는 내부 시스템에서 발생할 수 있습니다.
DIVAnet은 요청 충족 프로세스에서 DIVArchive 소스와 대상 및 DIVA 아카이브 시스템(디스크 또는 테이프)을 사용합니다. 대개 DIVArchive 시스템으로 제어되는 이러한 서버 디스크 및 시스템 매체에 대한 승인되지 않은 개별적인 액세스는 보안 위험을 가져옵니다. DIVAnet 복사 작업에 대한 임시 데이터 저장소로 사용되는 Source/Destinations에는 액세스가 제한되어야 하고, 이러한 Source/Destinations를 DIVAnet 작업 전용으로 지정을 고려해야 합니다. 또한 전송이 암호화되고 신뢰할 수 있는 네트워크를 통해 이루어지도록 해야 합니다.
이 절에서는 안전한 기반구조 구성요소의 설치 및 구성에 대해 설명합니다.
DIVAnet 설치에 대한 자세한 내용은 DIVAnet 2.1 설명서 라이브러리에서 Oracle DIVAnet 설치, 구성 및 작업 설명서를 참조하십시오.
https://docs.oracle.com/en/storage/#csm
DIVAnet을 설치 및 구성할 때는 다음 사항을 고려하십시오.
필요한 DIVAnet 구성요소만 설치해야 합니다. 예를 들어, 클라이언트 컴퓨터에서 DIVAnetUI만 실행하려는 경우 설치 중 설치할 구성요소 목록에서 DIVAnet Services를 선택 해제합니다. 설치 후 기본 DIVAnet 설치 디렉토리 권한과 소유자를 변경하려면 반드시 해당 변경이 보안에 끼치는 영향을 고려해야 합니다.
Oracle은 시스템 보안 향상을 위해 DIVArchive Manager 시스템에 ManagerAdapter 구성요소를 설치할 것을 권장합니다. DIVArchive Manager 포트에 대한 외부 액세스가 필요하지 않은 경우 방화벽 소프트웨어를 사용하여 포트를 차단할 것을 권장합니다. 또한 대개 DIVAnet DbSync WebService 포트에 대한 외부 네트워크 액세스를 허용할 필요가 없습니다.
WAN을 통해 원격 DIVArchive 인스턴스에 연결하는 경우 신뢰할 수 있는 네트워크를 통해 연결합니다. 또한 SSL/TLS
를 사용하여 원격 사이트의 ManagerAdapter 포트에 연결을 고려하십시오.
FC 영역 지정을 사용하여 디스크에 대한 액세스가 필요하지 않은 모든 서버로부터 광 섬유 채널을 통해 연결된 DIVAnet 디스크에 대한 액세스를 거부합니다. 가능하면 별도의 FC 스위치를 사용하여 액세스가 필요한 서버에만 물리적으로 연결하는 것이 좋습니다.
일반적으로 SAN RAID 디스크는 주로 HTTP 아니면 TCP/IP를 통해 관리 목적으로 액세스할 수 있습니다. SAN RAID 디스크에 대한 관리 액세스를 신뢰할 수 있는 도메인 내의 시스템으로만 제한하여 외부 액세스로부터 디스크를 보호해야 합니다. 또한 디스크 어레이에 대한 기본 암호를 변경하십시오.