다음을 통해 공유

보안 고려 사항

  • 아티클

이 항목에서는 피어 인프라를 사용할 때의 특정 보안 고려 사항에 대해 설명합니다.

피어 인프라를 사용하여 피어 애플리케이션을 개발하는 경우 보안상의 이유로 디렉터리 권한, 피어 네트워킹 서비스에 대한 게스트 액세스, 정보 공개 및 보안 서비스 공급자 구현을 고려해야 합니다.

디렉터리 권한

피어 투 피어 네트워킹 서비스는 사용자의 사용자 프로필 디렉터리 트리에 데이터를 저장합니다. 사용자는 프로필의 하위 트리에서 애플리케이션 데이터 쓰기 권한이 있어야 합니다. 기본적으로 이 ACL(액세스 제어 목록)은 올바르게 설정되지만 사용자가 수동으로 변경할 수 있습니다.

피어 네트워킹 서비스에 대한 게스트 액세스

게스트 계정과 게스트 Windows 보안 그룹의 구성원은 대부분의 피어 서비스에 액세스할 수 없습니다. 애플리케이션에는 로컬 사용자 액세스 이상의 권한이 있어야 합니다.

정보 공개

정보 공개에는 주소, 데이터베이스, ID 및 그룹 자격 증명이 포함됩니다. 다음 섹션에서는 정보 공개를 식별하고 정의합니다.

주소 공개 PNRP(피어 이름 확인 프로토콜)는 피어 이름 식별자를 IP 주소로 확인할 수 있는 식별자 확인 서비스입니다. DNS와 마찬가지로 PNRP는 해당 식별자를 아는 사용자가 해당 주소로 확인할 수 있도록 IP 주소를 게시합니다.

  • PNRP에 식별자를 게시하면 모든 사용자가 식별자를 게시된 IP 주소로 확인하고 ID를 게시한 PNRP 서비스의 IP 주소를 확인할 수 있습니다.
  • 피어 그룹화 인프라는 PNRP에서 로컬 그룹 인스턴스의 피어 그룹 이름을 자동으로 게시합니다. 피어 그룹에 연결되어 있는 동안 그룹의 피어 이름을 아는 사람은 누구나 활성 멤버의 주소를 확인하고 각 사용자의 현재 주소를 알 수 있습니다.

로그온하는 동안 사용자가 다른 피어 그룹 멤버 또는 피어 그래프 노드에 연결할 수 있는 기능은 피어 네트워킹의 주요 기능입니다. 피어 그룹 또는 그래프에 연결되어 있는 동안 사용자의 현재 IP 주소를 피어 그룹 또는 그래프 내의 현재 상태 레코드에 게시할 수 있습니다. 기본적으로 해당 피어 그룹 또는 그래프에 참여하는 모든 사용자는 그룹 또는 그래프의 멤버를 열거하고 멤버의 현재 주소를 확인할 수 있습니다. 이 기능은 구성 가능한 피어 그룹화 및 피어 그래프 속성입니다.

데이터베이스 공개피어 그룹화 및 그래프 인프라 레코드 데이터베이스는 로컬 파일 시스템에 저장됩니다. 로컬 파일 시스템(예: 로컬 관리자)에 대한 관리 액세스 권한이 있는 모든 Windows 사용자는 이론적으로 로컬 피어 그래프 또는 그룹 데이터베이스의 데이터에 액세스할 수 있습니다. 이는 로컬 관리자가 로컬 컴퓨터의 모든 데이터에 액세스할 수 있는 기능과 일치합니다.

ID 및 그룹 자격 증명 공개피어 투 피어 그룹화에서는 멤버가 수정된 X.509 인증서 체인을 사용하여 인증하기 위해 서로 연결을 설정해야 합니다. 인증의 일환으로 각 멤버의 해당 ID 및 GMC(그룹 멤버 자격 인증서) 체인이 교환됩니다.

피어 그룹에 연결된 동안 피어 그룹화 인프라는 PNRP를 사용하여 그룹 피어 이름을 게시합니다. 일반 PNRP 작업의 일부로 해당 그룹에 대한 GMC 체인을 다른 PNRP 인스턴스에 제공하여 그룹 피어 이름을 게시할 수 있는 권한 부여를 증명할 수 있습니다.

보안 서비스 공급자 구현

피어 그래프 인프라는 애플리케이션 개발자가 구현하는 SSP(보안 서비스 공급자)만큼 안전합니다. SSP가 강할수록 피어 그래프 애플리케이션의 보안이 강화됩니다.