보안 구성
NCache 는 모든 엔터프라이즈 수준 소프트웨어에 완벽한 보안이 필요하다는 점을 이해하고 사용자가 성능을 위해 보안을 희생하지 않도록 다양한 기능을 제공합니다. 이러한 기능에는 캐시/노드, 암호화, 네트워크 보안 등에 대한 액세스 권한 정의가 포함됩니다.
인증 및 승인
NCache 캐시 노드 보안을 위해 LDAP 통합 보안을 제공합니다. 노드가 보호되면 해당 노드에 두 가지 액세스 수준이 정의됩니다. 하나는 다른 캐시 작업과 함께 관리 작업과 관련됩니다. 다른 하나는 캐시 API 액세스로 제한됩니다.
주의 사항
보안 노드의 모든 캐시는 자동으로 보호됩니다.
이러한 액세스 수준의 모든 이점을 얻으려면 NCache 두 가지 유형의 LDAP 사용자를 지원합니다. 노드 관리자 (사용자/그룹) 및 캐시 사용자 (사용자/그룹). 부터 NCache 에는 인증 메커니즘이 없으며 추가된 모든 사용자는 먼저 LDAP 자격 증명을 기준으로 인증됩니다. 등록된 LDAP 사용자가 NCache 이 사용자가 도메인에 등록되어 있는지 여부를 확인하기 위해 항상 도메인 컨트롤러를 통한 유효성 검사가 있습니다. 이 시나리오에서는 도메인 컨트롤러와의 연결이 끊어지면 유효성 검사가 실패하고 사용자는 어떤 작업도 수행할 수 없습니다.
이것을 피하기 위해 NCache 이벤트 자격 증명 캐싱 사용자의 자격 증명이 저장되는 위치 NCache 이미 인증된 사용자는 프로세스가 진행되는 동안 반복적으로 인증될 필요가 없습니다. 기본적으로 활성화되어 있으며 사용자는 다음을 설정하여 비활성화할 수 있습니다. NCacheServer.EnableCredentialCaching
태그 거짓 서비스 구성 파일에서.
노드 관리자
노드 관리자는 슈퍼유저 캐시를 완벽하게 제어할 수 있습니다. 캐시를 생성, 수정, 제거하고 기타 캐시 관리 작업을 수행할 수 있습니다. 노드 관리자는 이전에 설정된 보안 구성을 저장하거나 삭제할 수 있습니다. 또한 캐시 사용자의 기능을 상속하여 캐시에 액세스하고 상호 작용할 수 있습니다. NCache API.
캐시 사용자
그러나 일부 사용자가 캐시 API 액세스만 갖도록 제한하고 관리 작업을 수행하지 않으려면 캐시 사용자를 구성하는 것이 좋습니다. 사용자가 관련 API를 통해서만 추가, 제거, 업데이트 및 검색을 포함한 데이터 작업을 수행하도록 제한할 수 있습니다.
그러나 사용자에 대해 서로 다른 액세스 수준을 정의하고 모든 사용자가 캐시에서 모든 유형의 작업을 수행하도록 허용하고 싶지 않은 경우. 그러면 노드 관리자가 캐시를 원활하게 관리하고 운영할 수 있는 모든 권한을 가지므로 캐시 사용자를 구성할 필요가 없습니다.
동종 보안 설정
한 노드에 대한 보안 설정을 구성한 후에는 해당 클러스터의 모든 노드에 유사한 보안 설정이 있는지 확인해야 합니다. 한 노드에서 노드 관리자 역할을 하는 사용자는 해당 클러스터에 있는 다른 모든 노드의 관리자여야 합니다. 마찬가지로 한 노드에서 캐시 사용자 역할을 하는 사용자는 나머지 노드에서도 캐시 사용자여야 합니다.
클러스터의 모든 노드에서 동일한 보안 설정이 보장되지 않으면 캐시를 관리하고 운영하는 동안 다른 문제가 발생할 수 있습니다.
주의 사항
캐시 클러스터의 첫 번째 노드인 보안 노드는 취약한 노드의 추가를 방지해야 합니다.
주의 사항
캐시 클러스터의 첫 번째 노드인 취약한 노드는 보안 노드의 추가를 방지해야 합니다.
데이터 암호화
분산 캐싱 시스템에서 통신은 대부분 네트워크 채널을 통해 발생합니다. 데이터는 직렬화된 형식으로 캐시에 이동하고 상주하며, 연결을 도청하는 사람은 누구나 데이터가 암호화되지 않은 경우 쉽게 가로챌 수 있습니다. NCache 데이터 암호화를 사용하면 정보를 암호문으로 변환할 수 있습니다. 승인된 사람(즉, 적절한 키를 가진 사람)만이 코드를 해독하고 원본 정보에 접근할 수 있습니다.
TLS 암호화
DaVinci에는 NCache 포함하는 데이터 암호화 기능을 통해 메모리 내 데이터와 네트워크를 통한 전송 중에 데이터를 보호합니다. 그러나 데이터 암호화에는 추가 성능 비용이 발생합니다. 반면에, 전송 계층 보안 (TLS) 업계 표준 관행에 따라 네트워크 전송 중 데이터 보안에 대한 보다 포괄적인 접근 방식을 제공합니다.
TLS도 성능에 영향을 미치긴 하지만 대안인 데이터 암호화에 비해 리소스를 덜 사용하는 경향이 있습니다. 그렇기 때문에 더욱 중요한 것은 NCache 다양한 방식으로 네트워크를 통해 이동하는 데이터와 관련된 작업:
- 서버와 클라이언트 사이
- 서로 다른 서버 사이
- 캐시와 브리지 사이
In NCache, TLS를 사용하여 네트워크를 통해 이동할 때 암호화하려는 통신 유형을 결정할 수 있습니다. 이 선택을 통해 귀하는 데이터 보안을 완벽하게 제어할 수 있습니다. 일반적으로 사람들은 WAN 복제를 위한 브리지 통신과 같은 공용 인터넷을 통한 트래픽을 암호화합니다. 그러나 보안에 민감한 애플리케이션의 경우 클라이언트와 서버 간, 그리고 서로 다른 서버 간 트래픽을 암호화해야 합니다.
TLS 인증서 고려 사항
TLS를 구현할 때 인증서는 다음 중 하나에 저장됩니다. 개인 또는 신뢰할 수 있는 루트 인증 기관 저장소 두 곳 모두에서 이용 가능합니다. 사용자 및 로컬 머신 수준. 로컬 컴퓨터 수준에 있는 인증서는 모든 사용자가 액세스할 수 있는 반면, 사용자 수준 인증서는 특정 사용자에게만 액세스할 수 있습니다.
또한 이러한 인증서에는 유효성 검사가 필요합니다. 클라이언트 측에서 TLS에 대한 서버 측 인증서의 유효성을 검사하여 클라이언트가 인증서 발급 기관을 신뢰하는지 확인해야 합니다. 공개적으로 인정되는 인증서 발급자를 사용하는 경우 클라이언트의 신뢰할 수 있는 루트 인증 기관 저장소에 발급자의 인증서를 설치할 필요가 없을 수도 있습니다. 그러나 자체 서명 인증서나 개인 인증서의 경우 발급자의 인증서가 클라이언트 측의 신뢰할 수 있는 루트 인증 기관 저장소에 설치되어 있는지 확인해야 합니다. TLS 핸드셰이크 실패.
클라이언트와 서버 간 상호 TLS의 경우 클라이언트는 해당 인증서를 서버와 공유해야 합니다. 이 경우 서버는 클라이언트의 인증서 발급 기관을 신뢰해야 하며, 클라이언트는 이를 서버의 신뢰할 수 있는 루트 인증 기관 저장소에 배치해야 합니다. 마찬가지로 서버 간에 TLS를 활성화하는 경우 통신에 관련된 다른 서버는 서로의 인증서를 검증해야 합니다.
NCache 서버 상자에서 인증서를 검색할 때 특정 순서를 따릅니다.
- 로컬 머신: 신뢰할 수 있는 루트
- 로컬 머신: 개인
- 사용자: 신뢰할 수 있는 루트
- 사용자: 개인
이러한 고려 사항을 이해하면 배포가 보장됩니다. NCache TLS 암호화는 원활하게 진행됩니다.
다음에 대한 HTTPS NCache 관리 센터
TLS와 유사하게 HTTPS(Hypertext Transfer Protocol Secure)는 네트워크를 통한 통신을 보호하기 위해 널리 사용되는 프로토콜입니다. 따라서, NCache HTTPS를 지원합니다. NCache TLS 인증서를 사용하는 Windows 및 Linux의 관리 센터.
이 섹션의
인증 및 권한 부여 구성
노드 및 캐시에 대한 보안을 구성하는 방법을 설명합니다.
캐시에 대한 암호화 구성
캐시 암호화를 활성화하고 구성하는 방법을 설명합니다.
TLS 암호화 구성
Windows 및 Linux에서 캐시에 대한 SSL 암호화를 활성화하고 구성하는 방법을 설명합니다.
HTTPS 구성 NCache 관리 센터
HTTPS를 활성화하고 구성하는 방법을 설명합니다. NCache 관리센터.