이 장에서는 보안 설치 계획 프로세스의 개요를 살펴보고 권장되는 몇 가지 시스템 배치 토폴로지에 대해 설명합니다.
보안 요구사항을 더 잘 이해하려면 다음과 같은 질문을 해야 합니다.
프로덕션 환경의 다양한 리소스를 보호할 수 있습니다. 제공할 보안 레벨을 결정할 때 보호하고자 하는 리소스의 유형을 고려하십시오.
DIVArchive를 사용하는 경우 다음과 같은 리소스가 보호됩니다.
DIVArchive 시스템을 빌드할 때 데이터 디스크 및 캐시 디스크 리소스가 사용됩니다. 일반적으로 이러한 리소스는 DIVArchive 시스템에 연결되는 로컬 또는 원격 디스크입니다. DIVArchive를 사용하지 않고 개별적으로 해당 디스크에 액세스할 경우 보안 위험에 노출됩니다. 이 유형의 외부 액세스는 해당 디스크를 읽거나 쓰는 악의적인 시스템 또는 해당 디스크 장치에 대한 액세스를 실수로 제공하는 내부 시스템에서 발생할 수 있습니다.
복합 객체를 사용하여 DIVArchive 시스템을 빌드할 때 데이터베이스 디스크, 메타데이터 디스크 및 백업 디스크 리소스가 사용됩니다. 일반적으로 이러한 리소스는 DIVArchive 시스템에 연결되는 로컬 또는 원격 디스크입니다. DIVArchive를 사용하지 않고 개별적으로 해당 디스크에 액세스할 경우 보안 위험에 노출됩니다. 이 유형의 외부 액세스는 해당 디스크를 읽거나 쓰는 악의적인 시스템 또는 해당 디스크 장치에 대한 액세스를 실수로 제공하는 내부 시스템에서 발생할 수 있습니다.
일반적으로 DIVArchive 시스템을 통해 제어되는 테이프 라이브러리에서 데이터가 기록되는 테이프에 대해 개별 액세스를 허용할 경우 보안 위험에 노출됩니다.
이 절에서는 기반구조 구성요소를 안전하게 설치 및 구성하는 방법에 대해 설명합니다. DIVArchive 설치에 대한 자세한 내용은 다음 위치에 있는 DIVArchive 7.4 고객 설명서 라이브러리를 참조하십시오.
https://docs.oracle.com/en/storage/#csm
DIVArchive를 설치 및 구성할 때는 다음 사항을 고려하십시오.
DIVArchive 서비스 구성요소 간 연결, 메타데이터 데이터베이스로의 연결 및 클라이언트로부터의 연결을 위해 WAN에 연결되지 않은 별도의 TCP/IP 네트워크 및 스위치 하드웨어를 제공하십시오. 메타데이터 트래픽은 TCP/IP를 사용하여 구현되므로 이론적으로 이 트래픽에 대한 외부 공격이 가능합니다. 별도의 메타데이터 네트워크를 구성하면 이 위험이 줄어들고 성능도 향상됩니다. 별도의 네트워크가 불가능한 경우 적어도 외부 WAN 및 네트워크의 신뢰할 수 없는 모든 호스트로부터 DIVArchive 포트에 대한 트래픽을 거부하십시오. 중요한 서비스로 네트워크 액세스 제한을 참조하십시오.
FC 영역 분할을 사용하여 디스크에 대한 액세스가 필요하지 않은 모든 서버로부터 광 섬유 채널을 통해 연결된 DIVArchive 디스크에 대한 액세스를 거부합니다. 가능하면 별도의 FC 스위치를 사용하여 액세스가 필요한 서버에만 물리적으로 연결하는 것이 좋습니다.
일반적으로 SAN RAID 디스크는 주로 HTTP 아니면 TCP/IP를 통해 관리 목적으로 액세스할 수 있습니다. SAN RAID 디스크에 대한 관리 액세스를 신뢰할 수 있는 도메인 내의 시스템으로만 제한하여 외부 액세스로부터 디스크를 보호해야 합니다. 또한 디스크 어레이에 대한 기본 암호를 변경하십시오.
먼저 필요한 DIVArchive 서비스만 설치하십시오. 예를 들어, 시스템에서 GUI 또는 Configuration Utility를 실행하지 않으려는 경우 설치 중 표시되는 설치할 구성요소 목록에서 해당 항목의 선택을 취소하십시오. 기본 DIVArchive 설치 디렉토리 권한 및 소유자는 Administrator(또는 Root) 계정이나 DIVA 운영체제 사용자(또는 그룹)로만 제한되어야 합니다.