메인 콘텐츠로 건너뛰기
Waters Employee Login
Waters Korea

NuGenesis 데이터베이스 서버 보안을 위한 Waters 권장 사항은 무엇입니까? - WKB206780

  1. 마지막 업데이트
  2. PDF로 저장
Article number: 206780To English version

환경

  • NuGenesis 9.3
    • RHEL 8.4 또는 Windows Server 2016/2019의 Oracle 19c
  • NuGenesis 9.2 / Empower LMS 1.0:
    • RHEL 7.7 또는 Windows Server 2016/2019의 Oracle 19c
  • NuGenesis 9.1
    • RHEL 7.7 또는 Windows Server 2016/2019의 Oracle 19c
  • NuGenesis 9.0.x
    • RHEL 7.5 또는 Windows Server 2012/2016의 Oracle 12c
    • RHEL 7.7의 Oracle 19c
  • NuGenesis 8 SR2
    • RHEL 5.6 또는 6.2 또는 Windows Server 2012의 Oracle 11.2

답변

  • OS:
    • 시스템에 액세스해야 하는 소수의 DBA로 SSH/RDP 등을 통한 OS 로그온을 제한합니다.
    • 포트 1521 또는 TNS 리스너 포트(기본값에서 수정된 경우) 및 원격 액세스 프로토콜을 통해서만 연결을 허용하도록 OS 방화벽을 설정합니다.
    • Oracle 소프트웨어 소유자 계정에 대한 sudo 액세스를 (Linux) 이를 필요로 하는 사용자로 제한합니다.
    • Oracle (Linux)에서 사용하는 마운트에 필요한 것으로만 소유권 및 권한을 설정합니다.
    • LocalSystem(Oracle에 대한 기본 서비스 계정) 대신 제한된 권한을 가진 로컬 또는 도메인 계정으로 OracleService 및 TNS Listener 서비스를 실행합니다. 계정은 ORA_DBA 그룹(Windows)에 있어야 합니다. Oracle Home 경로, 데이터 파일 경로, 컨트롤 파일 및 재실행/보관 로그에 있는 모든 파일/폴더에 대한 읽기/쓰기/수정 권한을 가져야 합니다. Windows에서 "Log on as a service" 및 "Log on as batch job" 권한을 가지십시오.
  • Oracle:
    • Waters 권장 사항에 따른 NuGenesis 스키마 계정 관리
    • NuGenesis Stability 모듈을 사용하는 경우 "slimprofile" 프로파일에서 실패한 로그인 시도에 대한 제한을 설정합니다.
      • ALTER PROFILE slimprofile LIMIT failed_login_attempts 5;
    • Oracle 데이터베이스 및 클라이언트의 sqlnet.ora 파일에서 SQLNet 암호화를 사용합니다. 기본적으로 NG 9.x에서 sqlnet.ora는 "sqlnet.encryption_server" 및 "sqlnet.encryption_client"를 Requested로 설정하고 "sqlnet.encryption_types_server"/"sqlnet.encryption_types_client"를 AES256으로 설정합니다.
    • 설치된 Oracle 데이터베이스 구성 요소 또는 옵션이 링크된 문서의 목록과 일치하는지 여부를 평가합니다. NuGenesis에서 사용하지 않는 데이터베이스 구성 요소/옵션의 취약점은 NuGenesis 데이터베이스에 영향을 미치지 않습니다. 그러나 데이터베이스에 NuGenesis에 필요한 구성 요소/옵션 이외의 구성 요소/옵션이 있는 경우, 이러한 과도한 구성 요소/옵션은 보안 위험을 초래할 수 있으므로 제거해야합니다. Windows 플랫폼용 NuGenesis Database 설치 프로그램은 필요한 구성 요소/옵션만 설치하며, 내장된 라이센스 계약에서는 고객이 데이터베이스를 직접 수정할 수 없으므로 Windows의 과도한 DB 구성 요소 위험이 낮습니다. Linux 플랫폼에서 고객은 Oracle Binary 설치를 제공하고 Oracle과의 자체 라이센스 조건에 따라 NuGenesis용 인스턴스/PDB를 생성하므로 과도한 구성 요소/옵션이 설치될 수 있습니다.
    • 응용 프로그램 사용자가 Oracle 데이터베이스 계정을 필요로 하지 않도록 NuGenesis SDMS 및 LMS에서 LDAP 인증(TLS 암호화 포함)을 사용합니다.
    • 필요하지 않은 비 NuGenesis 스키마 계정을 잠그거나 삭제합니다.
    • 활성 상태를 유지해야 하는 계정에 "최소 권한" 원칙을 적용합니다. SYSDBA 액세스를 필요로 하는 소수의 사용자로만 제한합니다,
    • Oracle 12c 및 19c 데이터베이스에서 최소한 기본 통합 감사기록(Audit trail) 정책 ORA_SECURECONFIG 및 ORA_LOGON_FAILURES를 활성화합니다. 시스템 관리자는 이러한 두 가지 기본 정책을 통해 과도한 로그온 실패를 확인할 수 있습니다.