높은 보안 설정 탐색

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기11분

    • 높은 보안 설정은 인스턴스에서 사용할 수 있는 여러 보안 옵션을 참조합니다.

    높은 보안 설정 모듈은 새 인스턴스에서 기본적으로 활성화되는 높은 보안 설정 플러그인으로 활성화됩니다. 인스턴스에서 높은 보안 설정이 활성화되어 있지 않은 경우 높은 보안 설정 활성화 요청 단원을 참조하십시오. 이 플러그인에 대한 자세한 내용은 인스턴스 보안 강화 설정을 참조하십시오 높은 보안 플러그인 . 다음과 같은 유형의 높은 보안 설정에 대한 속성을 사용할 수 있습니다.

    • 기본 속성 값: 관리 및 감사를 위해 모든 중요한 보안 설정을 한 위치로 중앙 집중화하여 플랫폼의 보안을 강화합니다.
    • 기본 거부 속성: 테이블 액세스에 대한 기본 보안 동작을 제어하는 보안 관리자 속성을 제공합니다.
    • 보안 관리자 역할: 주요 보안 설정 및 리소스의 수정을 방지하는 역할을 제공합니다. 보안 관리자 역할은 관리자 역할에 의해 상속되지 않으며 명시적으로 할당되어야 합니다.
    • 상승된 권한: 보안 관리자 역할을 가진 사용자가 일반 사용자의 컨텍스트에서 작동하고 필요한 경우 더 높은 보안 역할로 상승할 수 있습니다.
    • 속성 액세스 제어: 보안 관리자가 속성을 읽고 쓰는 데 필요한 역할을 설정할 수 있습니다.
    • 시스템 로그: 읽기 전용입니다.
    • 액세스 제어 규칙: 사용자가 액세스할 수 있는 데이터와 액세스 방법을 제어합니다.
    주:
    • 또한 높은 보안 설정은 상황별 보안 플러그인이 아직 활성화되지 않은 경우 자동으로 활성화합니다. 또한 플랫폼 보안 설정 - 높음은 인스턴스의 보안을 강화하는 컨텍스트에서 설정과 기능을 제공합니다.
    • 인스턴스 보안 강화 설정 컨텐츠에는 의 보안 관련 시스템 속성 및 플러그인에 대한 자세한 설명과 규정 준수 값이 포함되어 있습니다.Now Platform 이러한 각 속성에 대한 자세한 내용은 을 참조하십시오 인스턴스 보안 강화 설정.
    • 이러한 각 속성에 대한 자세한 내용은 을 참조하십시오 인스턴스 보안 강화 설정.
    높은 보안 설정 속성을 설정하거나 변경하는 방법에는 두 가지가 있습니다.
    • 다음으로 이동 시스템 보안 > 높은 보안 설정.

      높은 보안 속성 페이지의 옵션은 또는 아니요입니다.

    • sys_properties.list로 이동하여 설정하거나 변경하려는 속성을 검색합니다.

      시스템 속성 테이블 [sys_properties.list]의 옵션은 true 또는 false입니다.

    자산 접근 통제

    높은 보안 설정이 활성화된 경우 속성 [sys_properties] 테이블에 두 개의 추가 열이 만들어집니다.

    • read_roles: 이 속성의 모든 필드를 읽을 수 있는 쉼표로 구분된 역할 이름 목록입니다.
    • write_roles: 이 속성의 모든 필드를 쓰거나 수정할 수 있는 쉼표로 구분된 역할 이름 목록입니다.

    속성 테이블에 나열된 속성에는 admin read_rolessecurity_admin write_roles 가 있습니다. 관리자 역할을 가진 사용자는 속성 값을 보고 읽을 수 있지만 수정하려면 security_admin 역할로 승격해야 합니다.

    알림

    높은 보안 설정을 활성화하면 보안 경고 메시지도 활성화됩니다. 다음은 승인 후 나타나는 메시지의 예입니다.

    그림 1. 보안 경고 알림
    보안 경고 알림

    높은 보안 설정 속성

    속성 설명 기본값 인스턴스 보안 강화 설정
    glide.ui.escape_text

    사용자 인터페이스의 파서 수준에서 XML 값을 이스케이프합니다. 리플렉션되고 저장된 교차 사이트 스크립팅 공격을 방지합니다. 이 속성은 서비스 포털에서 적용할 수 없습니다.

    주:
    이 속성은 이후 릴리스에서 Vancouver기본적으로 true로 설정되며 관리자가 변경할 수 없습니다. 속성을 변경해야 하는 사용 사례의 경우 고객 지원에 문의하십시오.
    		 이스케이프 XML
    glide.ui.escape_all_script

    기본적으로 Jelly JavaScript <![CDATA[<script type="text/javascript">]]> 태그 내의 모든 표현식을 강제로 이스케이프합니다. ]]> 태그의 type 특성 <![CDATA[<script> 이 비어 있거나 값이 text/javascript, text/ecmascript, application/javascript, application/ecmascript 또는 application/x-javascript인 경우에만 이스케이프를 적용합니다.

    		 새 인스턴스에서 예 이스케이프 Jelly
    glide.ui.rotate_sessions

    HTTP 세션 식별자를 회전하여 보안 취약성을 줄입니다. 참조: http://www.owasp.org/index.php/Session_Management#Rotate_Session_Identifiers.
    주:

    1회 사용자 인증(SSO) 인증에 SAML 2.0 플러그인을 사용하는 경우 이 속성을 아니요로 설정하십시오. 그렇지 않으면 인스턴스와 ID 제공자 간에 발생하는 세션 정보 공유에 방해가 됩니다.

    		 HTTP 세션 식별자 교대
    glide.ui.secure_cookies

    보안 세션 쿠키 사용: 추가 쿠키 보안을 사용하도록 설정합니다. 예인 경우 엄격한 세션 쿠키 유효성 검사가 적용됩니다.

    		 보안 세션 쿠키
    glide.security.password_reset.uri

    모바일 암호 재설정의 경우 사용자가 암호를 잊으셨습니까? 버튼을 클릭할 때 이동되는 URL입니다.

    		 없음
    glide.security.strict.updates

    양식을 제출하는 동안 인바운드 트랜잭션의 보안을 다시 한 번 확인하십시오(양식 작성 시 권한을 항상 확인합니다).

    주:
    이 속성은 이후 릴리스에서 Vancouver기본적으로 true로 설정되며 관리자가 변경할 수 없습니다. 속성을 변경해야 하는 사용 사례의 경우 고객 지원에 문의하십시오.
    		 인바운드 트랜잭션 다시 확인
    glide.security.strict.actions

    실행 전에 UI 작업의 조건을 확인합니다. 일반적으로 조건은 양식을 렌더링하는 동안에만 확인됩니다.

    		 실행 전 UI 작업 확인
    glide.security.use_csrf_token

    보안 토큰 사용을 식별하고 수신 요청을 확인할 수 있습니다. 이 토큰은 교차 사이트 요청 위조 공격을 방지하는 데 사용됩니다.

    		 안티-CSRF 토큰
    glide.ui.escape_html_list_field

    목록 뷰에 HTML 필드용 HTML 이스케이프

    		 이스케이프 HTML
    glide.html.escape_script

    HTML 필드에 JavaScript 태그를 이스케이프합니다.

    		 이스케이프 Javascript
    glide.ui.forgetme

    로그인 페이지에서 메일 주소 저장 확인란을 제거합니다.

    		 내용 저장하기 제거
    glide.smtp.auth 사용자 이름 및 비밀번호 특성으로 SMTP 서버에서 인증하십시오.
    주:
    이 속성은 더 이상 사용되지 않습니다.
    glide.script.use.sandbox

    축소된 권한 샌드박스 내에서 클라이언트 생성 스크립트(AJAXEvaluate 및 쿼리 조건)를 실행합니다. 의 경우 클라이언트 호출 가능 확인란이 로 설정된 해당 비즈니스 규칙 및 스크립트 포함만 사용할 수 있으며 특정 백엔드 API 호출은 허용되지 않습니다. 자세한 내용은 스크립트 샌드박스 속성 구성 문서를 참조하십시오.

    		 클라이언트 작성 스크립트 샌드박스
    glide.soap.strict_security

    수신 SOAP 요청에 엄격한 보안을 적용합니다. 수신 SOAP 요청이 테이블 및 필드 접근을 위해 보안 관리자를 거치도록 요구하고 SOAP 사용자가 웹 서비스 사용을 위한 올바른 역할을 가지고 있는지 확인합니다.

    		 SOAP 요청 엄격한 보안
    glide.basicauth.required.wsdl

    수신 WSDL 요청에 대해 권한 부여가 필요합니다.

    주:
    들어오는 WSDL 요청에 대해 인증을 요구하지 않으려면 ACL(액세스 제어) 규칙을 수정하여 게스트 사용자도 WSDL 컨텐츠에 액세스할 수 있도록 해야 합니다.
    		 WSDL 요청 승인
    glide.basicauth.required.csv

    수신 CSV 요청에 대해 기본 인증 필요

    .    		 CSV 요청 권한
    glide.basicauth.required.excel

    수신 Excel 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 Excel 요청 권한
    glide.basicauth.required.importprocessor

    수신 임포트 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 요청 권한 임포트
    glide.basicauth.required.pdf

    수신 PDF 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 PDF 요청 권한
    glide.basicauth.required.rss 수신 RSS 요청에 대해 기본적인 권한 부여가 필요합니다. RSS 요청 권한
    glide.basicauth.required.scriptedprocessor

    수신 스크립트 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 스크립트 요청 권한
    glide.basicauth.required.soap

    수신 SOAP 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 기본 인증: SOAP 요청
    glide.basicauth.required.unl

    수신 업로드 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 요청 인증 언로드
    glide.basicauth.required.xml

    수신 XML 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 XML 요청 승인
    glide.basicauth.required.xsd

    수신 XSD 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 XSD 요청 승인
    glide.cms.catalog_uri_relative

    /ess/catalog.do에 URI 매개변수의 상대 링크를 적용합니다. 일 경우 매개변수를 사용하여 uri 상대 URL만 /ess/catalog.do 페이지에 허용됩니다. 아니요인 경우 모든 URL이 허용되어 외부의 권한이 없는 콘텐츠에 대한 링크가 허용될 수 있습니다.

    		 관련 링크 적용
    glide.set_x_frame_options

    모든 UI 페이지에서 X-Frame-Options 응답 헤더를 SAMEORIGIN으로 설정하려면 이 속성을 활성화합니다. X-Frame-Options HTTP 응답 헤더는 브라우저가 페이지를 <frame><iframe>렌더링할 수 있도록 허용해야 하는지 여부를 나타내는 데 사용할 수 있습니다. 사이트는 이 속성을 사용하여 콘텐츠가 다른 사이트에 포함되지 않도록 하여 클릭 재킹 공격을 방지할 수 있습니다. https://developer.mozilla.org/en/the_x-frame-options_response_header

    		 X-Frame-Options: SAMEORIGIN
    glide.ui.attachment.download_mime_types

    브라우저에서 인라인으로 렌더링되지 않는 쉼표로 구분된 첨부 파일 MIME 유형의 목록입니다. 교차 사이트 스크립팅 공격을 방지합니다. 예를 들어, text/html 은 HTML 파일을 브라우저에서 인라인으로 보는 대신 첨부 파일로 클라이언트에 다운로드하도록 강제합니다.

    		 텍스트/html,이미지/svg,이미지/svg+xml MIME 유형 강제 다운로드
    glide.security.groupby_acl_check

    이 속성이 사용으로 설정되면 GroupBy 운영에 대한 ACL 검사가 그룹의 실제 데이터를 바탕으로 그룹 이름에 대해 수행됩니다.

    		 없음
    glide.security.diag_txns_acl 인 경우 관리자 또는 허용된 IP 주소의 사용자만 stats.do, threads.do 및 replication.do 에 액세스할 수 있습니다. 아니요 성능 모니터링(ACL)
    glide.ui.security.codetag.allow_script

    임베디드 HTML([코드] 태그 사용)에 JavaScript 태그를 포함시킬 수 있습니다.

    주:
    이 속성은 이후 릴리스에서 Vancouver기본적으로 true로 설정되며 관리자가 변경할 수 없습니다. 속성을 변경해야 하는 사용 사례의 경우 고객 지원에 문의하십시오.
    		 아니요 내장된 HTML 코드 허용
    glide.script.allow.ajaxevaluate

    AJAXEvaluate 프로세서를 사용하도록 설정합니다. AJAXEvaluate API 호출을 사용하면 클라이언트가 서버에서 임의의 스크립트를 보내고 실행할 수 있습니다.

    		 아니요 AJAXEvaluate 사용
    glide.login.autocomplete

    브라우저에서 로그인 양식의 암호 필드에 자동 완성 기능을 사용할 수 있습니다.

    		 아니요 암호 필드 자동 완성

    다음 속성은 sys_properties 테이블에 정의되지만 높은 보안 설정 페이지에는 표시되지 않습니다.

    속성 설명 기본값 인스턴스 보안 강화 설정
    com.glide.communications.httpclient.verify_hostname

    원격 SSL 호스트에서 제공하는 호스트 이름 및 인증서 체인을 확인합니다. MITM(Man-In-The-Middle) 공격으로부터 보호합니다.

    자세한 내용은 Kubernetes 스포크 설정을 참조하세요.

    주:
    이 속성은 com.glide.communications.trustmanager_trust_all 속성을 재정의합니다.
    		 없음
    glide.basicauth.required.schema

    인바운드 테이블 스키마 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 없음
    glide.security.csrf_previous.허용

    기한이 만료된 보안 토큰 사용을 식별하고 수신 요청을 확인할 수 있습니다. 이 토큰은 교차 사이트 요청 위조 공격을 방지하는 데 사용됩니다.

    		 거짓 없음
    glide.security.csrf_previous.time_limit

    보안 토큰이 만료되는 시간(초)입니다. 이전 CSRF 토큰이 유효한 기간을 제어할 수 있습니다. 사용자 세션이 만료될 때, 속성이 활성화되어 있고 이 속성에서 설명한 시간 범위 내에 있지 않는 한 glide.security.csrf_previous.allow 보안 토큰도 만료됩니다. 이 토큰은 교차 사이트 요청 위조 공격을 방지하는 데 사용됩니다.

    		 86400
    주:
    초 단위 값입니다. 1일에 해당합니다.
    		 없음
    glide.security.csrf.strict.validation.mode

    CSRF 토큰이 일치하지 않으면 사용자가 요청을 다시 제출할 수 없도록 CSRF 토큰에 엄격한 확인을 적용합니다.

    		 거짓 CSRF 엄격한 유효성 확인
    com.glide.security.check_unsanitized_html 필드 할당을 위해 전역 수준에서 translated_html 필드의 위생 동작을 적용합니다. 적용 없음