높은 보안 설정 탐색
높은 보안 설정은 인스턴스에서 사용할 수 있는 여러 보안 옵션을 참조합니다.
높은 보안 설정 모듈은 새 인스턴스에서 기본적으로 활성화되어 있는 높은 보안 설정 플러그인을 통해 활성화됩니다. 인스턴스에서 높은 보안 설정이 활성화되어 있지 않은 경우 높은 보안 설정 요청 활성화를 참조하십시오. 이 플러그인에 대한 자세한 내용은 인스턴스 보안 강화 설정을 참조하십시오 높은 보안 플러그인 사용 [보안 센터 1.3에서 업데이트됨] . 다음 유형의 높은 보안 설정에 대한 속성을 사용할 수 있습니다.
- 기본 속성 값: 관리 및 감사를 위해 모든 중요한 보안 설정을 한 위치로 중앙 집중화하여 플랫폼의 보안을 강화합니다.
- 기본 거부 속성: 테이블 접근에 대한 기본 보안 동작을 제어하는 보안 관리자 속성을 제공합니다.
- 보안 관리자 역할: 주요 보안 설정 및 자원의 수정을 방지하는 역할을 제공합니다. 보안 관리자 역할은 관리자 역할에 상속되지 않으며 명시적으로 할당해야 합니다.
- 상승된 권한: 보안 관리자 역할을 가진 사용자가 일반 사용자의 컨텍스트에서 작동하고 필요한 경우 더 높은 보안 역할로 상승할 수 있습니다.
- 속성 접근 제어: 보안 관리자가 속성을 읽고 쓰는 데 필요한 역할을 설정할 수 있습니다.
- 시스템 로그: 읽기 전용입니다.
- 접근 제어 규칙: 사용자가 접근할 수 있는 데이터와 접근 방법을 제어합니다.
- 또한 높은 보안 설정은 상황별 보안 플러그인이 아직 활성화되지 않은 경우 이를 자동으로 활성화합니다. 또한 플랫폼 보안 설정 - 높음은 인스턴스의 보안을 강화하는 컨텍스트에서 설정과 기능을 제공합니다.
- 인스턴스 보안 강화 설정 컨텐츠에는 의 보안 관련 시스템 속성 및 플러그인 ServiceNow AI Platform에 대한 자세한 설명과 준수 값이 포함되어 있습니다.
- 이러한 각 속성에 대한 자세한 내용은 다음 문서를 참조하십시오 강화 설정.
- 다음으로 이동 .
높은 보안 속성 페이지의 옵션은 예 또는 아니오입니다.
- sys_properties.list로 이동하여 설정하거나 변경하려는 속성을 검색합니다.
시스템 속성 테이블 [sys_properties.list]의 옵션은 true 또는 false입니다.
속성 접근 제어
높은 보안 설정이 활성화되면 속성 [sys_properties] 테이블에 두 개의 열이 추가로 작성됩니다.
- read_roles: 이 속성의 모든 필드를 읽을 수 있는 역할 이름의 목록이며 콤마로 구분됩니다.
- write_roles: 이 속성의 모든 필드를 쓰거나 수정할 수 있는 역할 이름의 목록으로, 쉼표로 구분됩니다.
속성 테이블에 나열된 속성에는 admin read_roles 와 security_admin write_roles 이 있습니다. 관리자 역할을 가진 사용자는 속성 값을 보고 읽을 수 있지만 수정하려면 security_admin 역할로 격상해야 합니다.
알림
높은 보안 설정을 활성화하면 보안 경고 메시지도 활성화됩니다. 다음은 승인 후 나타나는 메시지의 예입니다.
높은 보안 설정 속성
| 속성 | 설명 | 기본값 | 인스턴스 보안 강화 설정 |
|---|---|---|---|
| glide.ui.escape_text | 사용자 인터페이스의 파서 수준으로 XML 값을 이스케이프하십시오. 리플렉션되고 저장된 교차 사이트 스크립팅 공격을 방지합니다. 이 속성은 서비스 포털에서 적용할 수 없습니다. 주: 이 속성은 이후 릴리스에서 Vancouver 기본적으로 true로 설정되며 관리자가 변경할 수 없습니다. 속성을 변경해야 하는 사용 사례의 경우 고객 지원에 문의하십시오. |
예 | 이스케이프 XML 마크업 [Security Center 1.3에서 업데이트됨] |
| glide.ui.escape_all_script | 기본적으로 Jelly JavaScript |
예, 새 인스턴스에서 가능합니다. | 이스케이프 Jelly 스크립트[Security Center 1.3 및 1.5에서 업데이트됨] |
| glide.ui.rotate_sessions | 보안 취약성을 줄이기 위해 HTTP 세션 식별자를 순환합니다. 참조: http://www.owasp.org/index.php/Session_Management#Rotate_Session_Identifiers. |
예 주: 1회 사용자 인증(SSO)에 SAML 2.0 플러그인을 사용하는 경우 이 속성을 아니요로 설정합니다. 그렇지 않으면 인스턴스와 ID 제공자 간에 수행되는 세션 정보 공유에 방해가 됩니다. |
HTTP 세션 식별자 교대 |
| glide.ui.secure_cookies | 보안 세션 쿠키 사용: 추가 쿠키 보안을 사용하도록 설정합니다. 예인 경우 엄격한 세션 쿠키 유효성 검사가 적용됩니다. |
예 | 세션 쿠키의 엄격한 보안 적용[Security Center 1.3에서 업데이트됨] |
| glide.security.password_reset.uri | 모바일 암호 재설정의 경우 사용자가 암호를 잊으셨습니까? 단추를 클릭할 때 이동되는 URL입니다. |
안 함 | |
| glide.security.strict.updates | 양식을 제출하는 동안 인바운드 트랜잭션의 보안을 다시 한 번 확인하십시오(양식 작성 시 권한을 항상 확인합니다). 주: 이 속성은 이후 릴리스에서 Vancouver 기본적으로 true로 설정되며 관리자가 변경할 수 없습니다. 속성을 변경해야 하는 사용 사례의 경우 고객 지원에 문의하십시오. |
예 | 인바운드 트랜잭션 다시 확인 [Security Center 1.3에서 업데이트됨] |
| glide.security.strict.actions | 실행 전에 UI 작업의 조건을 확인합니다. 일반적으로 조건은 양식을 렌더링하는 동안에만 확인됩니다. |
예 | 실행 전 UI 작업 조건 확인 |
| glide.security.use_csrf_token | 보안 토큰 사용을 식별하고 수신 요청을 확인할 수 있습니다. 이 토큰은 교차 사이트 요청 위조 공격을 방지하는 데 사용됩니다. |
예 | 안티-CSRF 토큰 사용[Security Center 1.3의 새로운 기능, 1.5에서 업데이트, 2.0에서 제거됨] |
| glide.ui.escape_html_list_field | 목록 뷰에 HTML 필드용 HTML 이스케이프 |
예 | 목록 뷰에서 HTML 이스케이프 [Security Center 1.3 및 1.5에서 업데이트됨] |
| glide.html.escape_script | HTML 필드에 JavaScript 태그를 이스케이프합니다. |
예 | 이스케이프 JavaScript [Security Center 1.3에서 업데이트됨] |
| glide.ui.forgetme | 로그인 페이지에서 메일 주소 저장 확인란을 제거합니다. |
예 | 내용 저장하기 제거 |
| glide.smtp.auth | 사용자 이름 및 암호 속성으로 SMTP 서버에 인증합니다. 주: 이 속성은 더 이상 사용되지 않습니다. |
예 | |
| glide.soap.strict_security | 수신 SOAP 요청에 엄격한 보안을 적용합니다. 수신 SOAP 요청이 테이블과 필드 접근을 위해 보안 관리자를 거쳐야 하며 SOAP 사용자가 웹 서비스 사용을 위한 올바른 역할을 가지고 있는지 확인합니다. |
예 | SOAP 요청 엄격한 보안 적용[Security Center 1.3에서 업데이트됨] |
| glide.basicauth.required.wsdl | 수신 WSDL 요청에 대해 권한 부여가 필요합니다. 주: 들어오는 WSDL 요청에 인증을 요구하지 않기로 할 경우 접근 제어(ACL) 규칙을 수정하여 게스트 사용자도 WSDL 컨텐츠를 이용할 수 있게 해야 합니다. |
예 | WSDL 요청에 대해 인증 필요 [Security Center 1.3 및 1.5에서 업데이트됨] |
| glide.basicauth.required.csv | 수신 CSV 요청에 대해 기본 인증 필요 . |
예 | csv 요청에 대해 권한 부여 필요[Security Center 1.3에서 업데이트됨] |
| glide.basicauth.required.excel | 수신 Excel 요청에 대해 기본적인 권한 부여가 필요합니다. |
예 | Excel 요청에 대해 권한 부여 필요 [Security Center 1.3에서 업데이트됨] |
| glide.basicauth.required.importprocessor | 수신 임포트 요청에 대해 기본적인 권한 부여가 필요합니다. |
예 | 임포트 요청에 대해 인증 필요 [Security Center 1.3에서 업데이트됨] |
| glide.basicauth.required.pdf | 수신 PDF 요청에 대해 기본적인 권한 부여가 필요합니다. |
예 | PDF 요청에 대해 인증 필요 [Security Center 1.3에서 업데이트됨] |
| glide.basicauth.required.rss | 수신 RSS 요청에 대해 기본적인 권한 부여가 필요합니다. | 예 | RSS 요청에 대해 권한 부여 필요 [Security Center 1.3에서 업데이트됨] |
| glide.basicauth.required.scriptedprocessor | 수신 스크립트 요청에 대해 기본적인 권한 부여가 필요합니다. |
예 | 스크립트 요청에 대해 인증 필요 [Security Center 1.3에서 업데이트됨] |
| glide.basicauth.required.soap | 수신 SOAP 요청에 대해 기본적인 권한 부여가 필요합니다. |
예 | SOAP 요청에 대해 권한 부여 필요 [Security Center 1.3, 1.5 및 2.0에서 업데이트됨] |
| glide.basicauth.required.unl | 수신 업로드 요청에 대해 기본적인 권한 부여가 필요합니다. |
예 | 언로드 요청에 대해 권한 부여 필요 [Security Center 1.3에서 업데이트됨] |
| glide.basicauth.required.xml | 수신 XML 요청에 대해 기본적인 권한 부여가 필요합니다. |
예 | XML 요청에 대해 권한 부여 필요[Security Center 1.3에서 업데이트됨] |
| glide.basicauth.required.xsd | 수신 XSD 요청에 대해 기본적인 권한 부여가 필요합니다. |
예 | XSD 요청에 대해 인증 필요 [Security Center 1.3에서 업데이트됨] |
| glide.cms.catalog_uri_relative | /ess/catalog.do에 URI 매개변수의 상대 링크를 적용하십시오. 예인 경우, 매개변수를 사용하여 uri 상대 URL만 /ess/catalog.do 페이지를 통해 허용됩니다. 아니요인 경우 모든 URL이 허용되어 외부의 권한이 없는 콘텐츠에 링크될 수 있습니다. |
예 | 상대 링크 적용[Security Center 1.3 및 1.5에서 업데이트됨] |
| glide.set_x_frame_options | 모든 UI 페이지에 대해 X-Frame-Options 응답 헤더를 SAMEORIGIN으로 설정하려면 이 속성을 활성화합니다. X-Frame-Options HTTP 응답 헤더는 브라우저가 또는 <iframe>에서 페이지를 <frame> 렌더링할 수 있도록 허용해야 하는지 여부를 나타내는 데 사용할 수 있습니다. 사이트는 이 속성을 사용하여 콘텐츠가 다른 사이트에 포함되지 않도록 함으로써 클릭재킹 공격을 방지할 수 있습니다. https://developer.mozilla.org/en/the_x-frame-options_response_header |
예 | x-frame-options 구현: SAMEORIGIN 보안 헤더 [Security Center 1.3에서 업데이트됨] |
| glide.ui.attachment.download_mime_types | 브라우저에서 인라인으로 렌더링되지 않는 쉼표로 구분된 첨부 파일 MIME 유형의 목록입니다. 교차 사이트 스크립팅 공격을 방지합니다. 예를 들어, text/html 은 HTML 파일을 브라우저에서 인라인으로 보는 대신 첨부 파일로 클라이언트에 다운로드하도록 강제합니다. |
텍스트 / HTML, 이미지 / svg, 이미지 / svg + xml | 다운로드 가능한 MIME 유형 제한 [Security Center 1.3 및 2.0에서 업데이트됨] |
| glide.security.groupby_acl_check | 이 속성을 사용하면 그룹의 실제 데이터를 기반으로 그룹 이름에 대해 GroupBy 작업에 대한 ACL 검사가 수행됩니다. |
예 | 안 함 |
| glide.security.diag_txns_acl | 예인 경우 관리자 사용자 또는 허용된 IP 주소의 사용자만 stats.do, threads.do 및 replication.do 에 액세스할 수 있습니다. | 아니요 | 성능 모니터링 액세스 제한 [Security Center 1.3에서 업데이트됨] |
| glide.ui.security.codetag.allow_script | 임베디드 HTML([코드] 태그 사용)에 JavaScript 태그를 포함시킬 수 있습니다. 주: 이 속성은 이후 릴리스에서 Vancouver 기본적으로 true로 설정되며 관리자가 변경할 수 없습니다. 속성을 변경해야 하는 사용 사례의 경우 고객 지원에 문의하십시오. |
아니요 | 내장된 HTML 코드 사용 안 함[Security Center 1.3에서 업데이트됨] |
| glide.script.allow.ajaxevaluate | AJAXEvaluate 프로세서를 사용하도록 설정합니다. AJAXEvaluate API 호출을 사용하면 클라이언트가 서버에서 임의의 스크립트를 보내고 실행할 수 있습니다. |
아니요 | AJAXEvaluate 사용 안 함 |
다음 속성은 sys_properties 테이블에 정의되어 있지만 높은 보안 설정 페이지에는 표시되지 않습니다.
| 속성 | 설명 | 기본값 | 인스턴스 보안 강화 설정 |
|---|---|---|---|
| com.glide.communications.httpclient.verify_hostname | 원격 SSL 호스트에서 제공하는 호스트 이름 및 인증서 체인을 검증하십시오. MITM(중간자) 공격으로부터 보호합니다. 자세한 내용은 Kubernetes 스포크 설정을 참조하십시오. 주: 이 속성은 com.glide.communications.trustmanager_trust_all 속성을 재정의합니다. |
예 | 안 함 |
| glide.basicauth.required.schema | 인바운드 테이블 스키마 요청에 대해 기본적인 권한 부여가 필요합니다. |
예 | 안 함 |
| glide.security.csrf_previous.허용 | 만료된 보안 토큰 사용을 식별하고 수신 요청을 확인할 수 있습니다. 이 토큰은 교차 사이트 요청 위조 공격을 방지하는 데 사용됩니다. |
아니오 | 안 함 |
| glide.security.csrf_previous.time_limit | 보안 토큰이 만료되는 시간(초)입니다. 이전 CSRF 토큰이 유효한 기간을 제어할 수 있습니다. 사용자 세션이 만료될 때 속성이 사용되고 이 속성에서 설명한 시간 범위 내에 있지 않으면 glide.security.csrf_previous.allow 보안 토큰도 만료됩니다. 이 토큰은 교차 사이트 요청 위조 공격을 방지하는 데 사용됩니다. |
86400 주: 초 단위의 값입니다. 1일에 해당합니다. |
안 함 |
| glide.security.csrf.strict.validation.mode | CSRF 토큰이 일치하지 않는 경우 사용자가 요청을 다시 제출할 수 없도록 CSRF 토큰에 엄격한 유효성 검사를 적용합니다. |
아니오 | 사용자가 CSRF 유효성 검사를 바이패스하기 위한 경고를 수락하지 못하도록 방지 [보안 센터 1.3 및 1.5에서 업데이트됨] |
| com.glide.security.check_unsanitized_html | 필드 할당을 위해 전역 수준에서 translated_html 필드의 정리 동작을 적용합니다. | 적용 | 안 함 |