캐시 보안 NCache: 개요
주의 사항
이 기능은 다음에서만 사용할 수 있습니다. NCache Enterprise Edition.
분산 캐시는 다양한 사용자가 액세스할 수 있는 환경에서 작동하며 모든 사용자가 캐시 구성을 변경하거나 관리 작업을 수행하거나 캐시 데이터에 제한 없이 액세스할 수 있습니다. 캐시 보안 문제는 중요한 데이터를 다루거나 승인된 사용자 목록 이외의 모든 사람이 캐시 서버에 대한 관리 액세스 권한을 가지기를 원하지 않을 때 발생합니다. NCache 보안 메커니즘은 모든 LDAP 지원 디렉토리 서비스에서 작동합니다.
모든 사용자는 LDAP 지원 디렉토리 서비스에 대해 인증됩니다. NCache 관리 및 API 수준 작업에서 내결함성을 보장하기 위해 두 개의 LDAP 도메인 컨트롤러(기본 및 보조)를 지원합니다. 이러한 컨트롤러 중 기본 도메인 컨트롤러는 작업에 대한 보안을 활성화하는 데 필수이지만 보조 컨트롤러는 선택 사항입니다. 도메인 컨트롤러(기본)를 비활성화할 수 없을 정도로 데이터가 민감한 경우 보조 컨트롤러를 등록할 수 있습니다. 기본 컨트롤러가 다운되면 모든 보안 인증은 보조 컨트롤러에서 처리합니다.
NCache 요구 사항에 따라 구현할 수 있는 다양한 세부 수준의 보안 기능을 제공합니다.
보안 액세스 수준
NCache 보안 기능은 두 가지 고유 액세스 수준에서 보안을 통합합니다.
- 관리/관리 수준
- 캐시 API 레벨
이러한 보안 수준은 캐시에 대한 관리 및 클라이언트 수준 액세스를 모두 보호하기 위한 것입니다. 기본적으로 보안 기능은 두 액세스 수준에 대해 비활성화되어 있습니다. 에 언급된 매개변수를 제공하여 보안을 활성화할 수 있습니다. 등록 안내
관리/관리 수준 보안
관리 수준 보안 NCache 원격 클러스터 노드가 무단 사용자 액세스로부터 보호되도록 합니다. 클러스터 노드에서 관리 및 구성 관련 작업을 수행할 수 있는 액세스 권한이 있는 권한 있는 사용자를 확인하는 데 사용됩니다.
전체 다중 노드 캐시 클러스터를 보호하려면 클러스터의 각 개별 노드에서 보안을 활성화해야 합니다.
Manager 및 PowerShell 도구와 같은 관리 도구는 보안 프레임워크와 통합되어 보안 환경에서 작업을 수행할 수 있는 옵션을 제공합니다.
노드에서 보안을 구성하는 방법을 배우려면 다음을 참조하십시오. 보안 구성 in NCache 관리자 가이드.
관리 수준 보안 활성화의 이점
일단 서버 노드에서 관리 수준 보안을 구성하면 소수의 사용자에게 관리 권한이 부여되고 지정된 사용자 이외의 사용자는 노드에서 다음과 같은 관리 작업을 수행할 수 있는 액세스 권한이 없습니다.
- 새 캐시 생성
- 기존 캐시 제거
- 기존 캐시 추가
- 캐시 시작
- 캐시 중지
- 캐시 다시 시작
- 캐시 새로 고침
- 구성 변경 사항 저장
권한 있는 시스템 관리자
승인된 사용자 목록이 에 추가됩니다. 보안.ncconf. 해당 시스템의 관리자는 보안을 활성화할 수 있습니다. 노드 관리자로 구성된 사용자 이외의 사용자는 노드에서 관리 관련 작업을 수행할 수 없습니다. 그러나 한 가지 예외가 있습니다. 사용자가 해당 시스템의 로컬 시스템 관리자인 경우 관리 권한도 부여됩니다.
이는 관리 작업이 로컬에서 수행되거나 로컬 Windows 자격 증명을 사용하여 다른 서버 노드에서 수행되는지 여부에 관계없이 로컬 창 관리자에게 항상 관리 권한과 권한이 있음을 의미합니다. 따라서 노드가 관리자로 인증되지 않고 해당 노드를 사용하여 개인 컴퓨터에서 작업을 수행하는 경우 시스템 자격 증명을 제공하기만 하면 시스템에서 원격 관리 작업을 수행할 수 있습니다.
캐시 API 수준 보안
캐시 수준 보안 NCache 승인되지 않은 사용자 액세스로부터 캐시 데이터를 보호합니다. Cache API 수준 보안은 NCache API. 캐시 수준 보안을 활성화하면 모든 클라이언트가 읽기 또는 쓰기를 위해 클러스터 캐시 데이터에 액세스할 수 있는지 여부를 제어할 수 있습니다. 유효하고 인증된 사용자로 확인된 클라이언트만 캐시 수준 작업을 수행할 수 있습니다.
캐시에서 보안을 구성하는 방법을 배우려면 다음을 참조하십시오. 캐시에 대한 보안 구성 in NCache 관리자 가이드.
API 수준 보안 활성화의 이점
캐시에 대한 캐시 수준 보안을 구성하면 API 인증을 갖도록 지정된 사용자 외에는 다음과 같은 캐시 작업을 수행할 수 있는 액세스 권한이 없습니다.
- 캐시에 연결
- 데이터 가져오기
- 데이터 추가
- 데이터 등을 제거/업데이트합니다.
캐시에서 보안이 활성화된 경우 자격 증명을 함께 제공해야 합니다. GetCache
연결을 설정하기 위해 호출합니다. 모든 캐시에 대해 이 승인된 사용자 목록은 <cache-settings>
섹션 config.ncconf.
등록
다음 자격 증명을 제공하여 보안을 활성화할 수 있습니다.
파라미터 | 상품 설명 | 예 |
---|---|---|
Domain Controller |
보안 인증을 담당하는 기본 서버입니다. | 귀하의 기본 도메인 |
Secondary Domain Controller |
기본 서버를 사용할 수 없는 경우 보안 인증을 담당하는 보조 서버입니다. | 보조 도메인 |
Search Base |
웹 관리자에서 도메인 사용자 채우기를 담당하는 문자열입니다. | OU=관리자,DC=귀하의 도메인,DC=조직 |
Port |
도메인 컨트롤러가 실행 중인 포트 번호입니다. | 389 |
User Name |
사용자의 ID입니다. | 존 스미스 |
User DN |
DN은 파일 시스템에서 사용자의 위치를 지정하는 데 사용되는 고유 이름입니다. 사용자 추가/제거 및 보안 활성화/비활성화와 같은 작업에는 사용자 DN이 필요합니다. | CN=John Smith,OU=admin,DC=도메인,DC=org |
Password |
사용자의 자격 증명을 인증하는 데 사용되는 보안 문자열입니다. | 너의 비밀번호 |