다음을 통해 공유

  • 아티클

Audit Collection Services 보안

 

적용 대상: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

System Center 2012 - Operations Manager의 ACS(Audit Collection Services)에는 ACS 수집기와 각 ACS 전달자 사이의 상호 인증이 필요합니다. 기본적으로 이러한 인증에는 Kerberos 프로토콜을 사용하는 Windows 인증이 사용됩니다. 인증이 완료된 후에는 ACS 전달자와 ACS 수집기 사이의 모든 전송이 암호화됩니다. ACS 전달자와 ACS 수집기가 설정된 트러스트 관계가 없는 서로 다른 Active Directory 포리스트에 속해 있지 않는 한 추가 암호화를 설정할 필요는 없습니다.

ACS 수집기와 ACS 데이터베이스 사이에서 데이터는 기본적으로 암호화되지 않습니다. 보다 높은 보안 수준이 조직에 필요한 경우 SSL(Secure Sockets Layer) 또는 TLS(전송 계층 보안)를 사용하여 이러한 구성 요소 사이의 모든 통신을 암호화할 수 있습니다. ACS 데이터베이스와 ACS 수집기 사이에 SSL 암호화를 설정하려면 ACS 수집기 서비스를 호스트하는 컴퓨터와 데이터베이스 서버에 모두 인증서를 설치해야 합니다. 이러한 인증서를 설치한 후에는 ACS 수집기의 SQL 클라이언트에서 암호화를 강제 실행하도록 구성해야 합니다.

인증서를 설치하고 SSL 또는 TLS를 사용하도록 설정하는 방법에 대한 자세한 내용은 SSL and TLS in Windows Server 2003(Windows Server 2003의 SSL 및 TLS)Obtaining and installing server certificates(서버 인증서 가져오기 및 설치)를 참조하십시오. SQL 클라이언트에 암호화를 강제 적용하는 단계 목록은 유효한 인증서 서버가 있는 경우 SQL Server 2000에서 SSL 암호화를 사용하도록 설정하는 방법을 참조하십시오.

감사 이벤트에 대한 액세스 제한

로컬 보안 로그에 기록된 감사 이벤트는 로컬 관리자가 액세스할 수 있지만 ACS에서 처리하는 감사 이벤트는 관리 권한이 있는 사용자인 경우에도 기본적으로 ACS 데이터베이스의 감사 이벤트에 대한 사용자의 액세스를 허용하지 않습니다. ACS 데이터베이스를 확인하고 쿼리하는 사용자 역할과 관리자 역할을 구분해야 하는 경우 데이터베이스 감사자 그룹을 만든 다음 이 그룹에 감사 데이터베이스에 대한 액세스 권한을 할당할 수 있습니다. 단계별 지침은 감사 수집 서비스 (ACS)를 설치 하는 방법을 참조하십시오.

ACS 전달자에 대한 통신 제한

ACS 전달자 구성은 로컬로 변경할 수 없으며, 이는 관리자 권한이 있는 사용자 계정에서도 마찬가지입니다. ACS 전달자에 대한 모든 구성 변경 내용은 ACS 수집기에서 가져와야 합니다. 보안을 강화하기 위해 ACS 전달자가 ACS 수집기와 인증한 후 ACS에서 사용하는 인바운드 TCP 포트를 닫고 보내는 통신만 허용합니다. ACS 전달자에 대한 구성 변경 내용을 적용하려면 ACS 수집기에서 통신 채널을 종료한 다음 다시 설정해야 합니다.

방화벽으로 구분된 ACS 전달자와 ACS 수집기

ACS 전달자와 ACS 수집기 사이에는 통신이 제한되어 있기 때문에 네트워크에서 방화벽으로 구분된 ACS 전달자가 ACS 수집기에 연결할 수 있도록 하려면 방화벽의 인바운드 TCP 포트 51909를 열어야 합니다.