APM 보안
다음 정보는 CA APM에 보안을 적용할 때 수행하는 작업에 대한 개요입니다.
apmdevops104kr
다음 정보는 CA APM에 보안을 적용할 때 수행하는 작업에 대한 개요입니다.
CA APM 보안 개요
Introscope와 CA CEM을 보호하려면 다음 보안 메커니즘을 사용하십시오.
- Introscope 및 CA CEM에 대한 인증(사용자/그룹) 및 권한 부여 액세스:
- LDAP 인증: 로컬 보안을 사용하여 Introscope를 보호하고 CA CEM에 대해 로컬 인증 및 권한 부여를 사용하십시오.
- CA EEM(Embedded Entitlements Manager): CA EEM을 사용하여 Introscope를 보호하고 CA CEM에 대해 CA EEM 인증 및 권한 부여를 사용하십시오.
- Enterprise Manager 보안:
- 공개 키와 개인 키를 사용하여 MOM(Manager of Manager)과 Collector 간의 인증을 보호하십시오.
- Enterprise Manager에 대한 연결을 보호하려면 사용자 권한 부여가 필요합니다.
- Collector와 MOM 간의 통신은 난독 처리됩니다.
- 구성 속성을 사용하여 Enterprise Manager와 브라우저 간의 통신을 보호하십시오.
- 구성 속성을 사용하여 에이전트와 Enterprise Manager 간의 통신을 보호하십시오.
- 다음 작업을 수행하려면 구성 속성을 사용하십시오.
- Introscope 도메인 보기
- Enterprise Manager 종료
- 응용 프로그램 심사 맵에서 비즈니스 서비스 및 프런트엔드 보기
- 동적 계측 및 스레드 덤프 수행
- CA CEM 보안:
- TIM이 설치된 Windows 또는 Linux 컴퓨터에 대해 루트 암호 보호를 사용하십시오.
- 구성 속성을 사용하여 Enterprise Manager와 TIM 간의 통신을 보호하십시오.
- APM 데이터베이스의 CA CEM 데이터가 암호화되어 있고 FIPS 호환성을 충족하는지 확인하십시오.
- APM 데이터베이스 보안:
- APM 데이터베이스를 암호로 보호하십시오.
- Enterprise Manager에 대한 연결을 보호하십시오.
- Introscope 및 CA CEM 응용 프로그램 모니터링:
- 비즈니스 서비스 기반 보안에는 사용자 권한 부여가 필요합니다.
보안 및 권한
'CA APM 보안'은 인증 및 권한 부여로 구성되며, 이를 통해 개별 사용자 및 사용자 그룹은 Introscope 및 CA CEM에 안전하게 로그인할 수 있습니다. 여기서 사용자 그룹이란 응용 프로그램 관리자, 시스템 관리자, 분석가 등 지정된 사용자 집합을 말합니다. '권한'은 사용자 및 그룹이 특정 Introscope 작업을 수행할 수 있도록 허용하는 기준이 됩니다.
사용자 인증
인증
이란 안전하게 사용자를 식별하는 메커니즘으로, 다음 질문에 대한 답을 Introscope 및 CA CEM에 제공합니다.- 이 사용자는 누구입니까?
- 이 사용자는 해당 사용자가 나타내는 그룹의 구성원이 맞습니까?
인증 시스템은 인증받는 개인과 인증 시스템만 알고 있는 고유 정보에 의존합니다. 즉, 인증 시스템은 사용자 ID를 확인하기 위해 주로 사용자에게 고유 정보를 제공하도록 요청하고, 제공된 정보가 올바른지 인증 시스템에서 확인되면 해당 사용자는 인증된 사용자로 간주됩니다.
사용자 권한 부여
권한 부여
란 특정한 인증된 사용자가 시스템에 의해 제어되는 보안 리소스(예: 응용 프로그램, 페이지 및 데이터)에 대해 가질 수 있는 액세스 수준을 결정하는 메커니즘입니다. 다시 말해, 권한 부여는 사용자가 특정 리소스에 대한 작업을 수행할 수 있는 권한이 있는지를 확인하는 프로세스입니다.액세스 정책
은 지정한 유형의 리소스 집합에 대한 작업을 수행할 수 있도록 특정 사용자 또는 그룹에 권한을 부여합니다.예를 들어 특정 개별 사용자에게는 데이터베이스에서 정보를 검색할 수는 있지만 데이터베이스에 저장된 데이터는 변경할 수 없는 권한을 제공하고, 다른 개별 사용자에게는 데이터를 변경할 수 있는 권한을 제공하도록 데이터베이스 관리 시스템을 설계할 수 있습니다. 권한 부여 시스템은 다음과 같은 질문에 대한 답을 제공하는 방식으로 이와 같은 권한을 부여합니다.
- 사용자X는 리소스R에 액세스할 수 있는 권한이 있습니까?
- 사용자X는 작업P를 수행할 수 있는 권한이 있습니까?
- 사용자X는 리소스 R에 대해 작업P를 수행할 수 있는 권한이 있습니까?
보안 영역
보안 영역은 인증, 권한 부여 또는 사용자 인증 및 사용자 권한 부여를 담당하는 액세스 정책, 사용자, 사용자 그룹의 원본을 정의합니다.
CA APM 보안을 위해
realms.xml
파일에 하나 이상의 보안 영역을 구성할 수 있습니다. Introscope 및 CA CEM은 realms.xml
에 구성된 보안 영역을 사용하여 사용자 인증 및 권한 부여 방법을 결정합니다. 사용자가 Introscope 또는 CA CEM에 로그인할 때 로그인하는 응용 프로그램은 realms.xml에 정의된 순서대로 각 보안 영역을 검사합니다. 응용 프로그램은 특정 ID를 갖는 사용자가 존재하는지 검사합니다. 입력한 사용자 암호가 특정 보안 영역에 대해 제공된 값과 일치하는 경우 인증이 성공합니다. 다음 조건 중 하나에 해당하는 경우 인증이 실패합니다.- 정의된 모든 영역에서 해당 이름의 사용자를 찾을 수 없는 경우
- 영역에 해당 사용자가 있지만 암호가 틀린 경우
realms.xml에 영역을 구성하는 방법에 대한 자세한 내용은 다음 항목을 참조하십시오.
지원되는 방식으로 다음 세 보안 영역을 조합하여 Introscope 보안을 배포할 수 있습니다.
- 로컬 XML 파일(로컬): 로컬 보안은 Enterprise Manager의<EM 홈>/config디렉터리에 저장된 XML 파일을 사용하는 로컬 인증 및 권한 부여로 구성됩니다.
- 로컬 인증의 경우 XML 파일은 각 Enterprise Manager에 사용자 이름과 암호 정보를 로컬로 저장하는 데 사용됩니다. 기본 파일 이름은users.xml입니다. Introscope는 런타임에 로컬 파일(users.xml)을 확인하여 CA APM 사용자를 인증합니다.
- 로컬 권한 부여의 경우 Introscope는 두 XML 파일을 각 Enterprise Manager에 로컬로 저장합니다. 이때 도메인 권한에는domains.xml이 사용되고, 서버 권한에는server.xml이 사용됩니다. Introscope는 런타임에 로컬 파일(domains.xml 및 server.xml)을 확인하여 CA APM 사용자에게 권한을 부여합니다.
Introscope에서는 기본적으로 로컬 보안이 제공됩니다.중요!Workstation, WebView, Web Start Workstation 또는 CEM 콘솔에서 Enterprise Manager로 기본 CA APM 로그인을 변경하는 것이 권장됩니다. 이 권장 사항을 따르지 않고 Introscope 로컬 보안만 사용하는 경우 아이덴티티 도용의 가능성이 높아집니다. - LDAP(Lightweight Directory Access Protocol): TCP/IP를 통해 실행되는 디렉터리 서비스를 쿼리 및 수정하는 응용 프로그램 프로토콜입니다.권한 부여를 위해 로컬 XML 파일을 사용하는 경우 LDAP 보안 영역을 사용해서만 CA APM 사용자를 인증할 수 있습니다.
- CA EEM:다른 응용 프로그램이 공통 액세스 정책 관리, 인증 및 권한 부여 서비스를 공유할 수 있게 해 주는 CA Technologies 응용 프로그램입니다.CA APM 사용자 인증과 권한 부여를 위해 CA EEM을 배포할 수 있습니다.또한 인증에는 LDAP를 사용하고 권한 부여에는 CA EEM을 사용하도록 CA EEM을 구성할 수도 있습니다.
이 표는 Introscope 보안 영역이 지원하는 주요 기능을 나열합니다.
보안 영역이 지원하는 기능 | CA EEM | LDAP | 로컬 |
여러 Enterprise Manager에 공유되는 중앙 보안 서버 | 예 | 예 | 아니요 |
보안 영역을 항상 사용 가능함 | 아니요 | 아니요 | 예 Enterprise Manager에서 실행되므로 항상 사용 가능함 |
장애 조치(failover) 지원 | 예 | 예 | 해당 없음 |
SiteMinder와 통합됨 | 예 | 아니요 | 아니요 |
세분화된 권한 지원 다음과 같은 세부 권한 유형을 지원합니다. 응용 프로그램 심사 맵 권한 비즈니스 서비스 기반 보안 유연한 CA CEM 권한 | 예 | 해당 없음 | 아니요 |
업계 표준 솔루션 | 예 | 예 | 아니요 |
감사 허용 | 예 | 예 | 아니요 |
사용자를 관리할 수 있는 사용자 인터페이스 제공 | 예 | 예 | 아니요 |
액세스 정책을 관리할 수 있는 사용자 인터페이스 제공 | 예 | 해당 없음 | 아니요 |
지원되는 방식으로 다음 두 보안 영역을 조합하여 CA CEM 보안을 배포할 수 있습니다.
- 로컬 XML 파일(로컬):로컬 보안은 Enterprise Manager의<EM 홈>/config 디렉터리에 저장된 XML 파일을 사용하는 로컬 인증 및 권한 부여로 구성됩니다.
- 로컬 인증 및 권한 부여의 경우 XML 파일은 각 Enterprise Manager에 사용자 이름과 암호 정보를 로컬로 저장하는 데 사용됩니다. 4가지 기본 CEM 보안 그룹과 해당 그룹의 사용자도 이 파일에 정의됩니다. 기본 파일 이름은users.xml입니다. 권한 부여는 4가지 기본 보안 그룹에 정의된 구성원 자격에 기반하여 확인됩니다. 런타임에 로컬 파일(users.xml)은 CA CEM 사용자의 인증 및 권한 부여에 사용됩니다.
- CA EEM:다른 응용 프로그램이 공통 액세스 정책 관리, 인증 및 권한 부여 서비스를 공유할 수 있게 해 주는 CA Technologies 응용 프로그램입니다.
- CA APM 사용자 인증과 권한 부여를 위해 CA EEM을 배포할 수 있습니다.
- CA SiteMinder를 사용하여 CA EEM 인증을 구성하고 인증에 위해 CA EEM을 구성합니다.
- 인증에만 CA EEM을 구성하고 권한 부여를 위해 로컬 XML 파일을 구성합니다.
CA APM은 단일 로그인 기능을 제공합니다. CA CEM 및 Introscope 모두에 액세스할 수 있는 사용자는 다시 로그인할 필요 없이 두 응용 프로그램 사이에서 이동할 수 있습니다. CA CEM 또는 Introscope 사용자 인증 시 CA APM은 사용자 ID 및 이 사용자를 인증한 영역의 이름을 획득합니다. Introscope는 이 정보를 사용하여 사용자가 속한 그룹을 확인합니다. 그런 다음 CA APM은 다음 방법 중 하나를 사용하여 사용자를 인증합니다.
- CA EEM의 경우, 사용자 액세스 정책
- 로컬 보안의 경우, 하나 이상의 CA CEM 보안 사용자 그룹의 구성원 자격
CA APM 보안을 설정할 때 조직에서는 단일 보안 영역을 배포할지, 아니면 혼합 보안 영역을 사용할지 결정해야 합니다. CA APM 사용자가 Introscope에 액세스할 수 있도록 하려면 로컬 또는 CA EEM 영역을 배포하십시오.