높은 보안 설정 탐색

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기11분

    • 높은 보안 설정은 인스턴스에서 사용할 수 있는 여러 보안 옵션을 참조합니다.

    High Security Settings 모듈은 새 인스턴스에서 기본적으로 활성화되는 High Security Settings 플러그인을 통해 활성화됩니다. 인스턴스에서 High Security 설정이 활성화되어 있지 않은 경우 High Security Settings 활성화 요청을 참조하십시오. 이 플러그인에 대한 자세한 내용은 인스턴스 보안 강화 설정을 참조하십시오 높은 보안 플러그인 . 다음과 같은 유형의 높은 보안 설정에 대한 속성을 사용할 수 있습니다.

    • 기본 속성 값: 관리 및 감사를 위해 모든 중요한 보안 설정을 한 곳에 중앙 집중화하여 플랫폼의 보안을 강화합니다.
    • 기본 거부 속성: 테이블 액세스에 대한 기본 보안 동작을 제어하는 보안 관리자 속성을 제공합니다.
    • 보안 관리자 역할: 주요 보안 설정 및 리소스의 수정을 방지하는 역할을 제공합니다. 보안 관리자 역할은 관리자 역할에 의해 상속되지 않으며 명시적으로 할당되어야 합니다.
    • 상승된 권한: 보안 관리자 역할을 가진 사용자가 일반 사용자의 컨텍스트에서 작업하고 필요한 경우 더 높은 보안 역할로 상승할 수 있습니다.
    • 속성 액세스 제어: 보안 관리자가 속성을 읽고 쓰는 데 필요한 역할을 설정할 수 있습니다.
    • 시스템 로그: 읽기 전용입니다.
    • 접근 제어 규칙: 사용자가 액세스할 수 있는 데이터 및 액세스 방법을 제어합니다.
    주:
    • 또한 높은 보안 설정은 Contextual Security 플러그인이 아직 활성화되지 않은 경우 자동으로 활성화합니다. 또한 플랫폼 보안 설정 - 높음은 인스턴스의 보안을 강화하는 컨텍스트에서 설정과 기능을 제공합니다.
    • 인스턴스 보안 강화 설정 컨텐츠에는 의 보안 관련 시스템 속성 및 플러그인 Now Platform에 대한 자세한 설명과 규정 준수 값이 포함되어 있습니다. 이러한 각 속성에 대한 자세한 내용은 을 참조하십시오 인스턴스 보안 강화 설정.
    • 이러한 각 속성에 대한 자세한 내용은 을 참조하십시오 인스턴스 보안 강화 설정.
    높은 보안 설정 속성을 지정하거나 변경하는 방법에는 두 가지가 있습니다.
    • 다음으로 이동 시스템 보안 > 높은 보안 설정레이블이 표시됩니다.

      높은 보안 속성 페이지의 옵션은 또는 아니오입니다.

    • sys_properties.list로 이동하여 설정하거나 변경하려는 속성을 검색합니다.

      시스템 속성 테이블 [sys_properties.list]의 옵션은 true 또는 false입니다.

    숙소 출입 통제

    높은 보안 설정이 활성화되면 속성 [sys_properties] 테이블에 두 개의 추가 열이 만들어집니다.

    • read_roles: 이 속성의 모든 필드를 읽을 수 있는 쉼표로 구분된 역할 이름 목록입니다.
    • write_roles: 이 속성의 모든 필드를 쓰거나 수정할 수 있는 쉼표로 구분된 역할 이름 목록입니다.

    속성 테이블에 나열된 속성에는 admin read_rolessecurity_admin write_roles 가 있습니다. 관리자 역할을 가진 사용자는 속성 값을 보고 읽을 수 있지만 이를 수정하려면 security_admin 역할로 승격해야 합니다.

    알림

    높은 보안 설정을 활성화하면 보안 경고 메시지도 활성화됩니다. 다음은 승인 후 나타나는 메시지의 예입니다.

    그림 1. 보안 경고 알림
    보안 경고 알림

    높은 보안 설정 속성

    속성 설명 기본값 인스턴스 보안 강화 설정
    glide.ui.escape_text

    사용자 인터페이스에 대한 파서 수준에서 XML 값을 이스케이프합니다. 리플렉션 및 저장된 교차 사이트 스크립팅 공격을 방지합니다. 이 속성은 서비스 포털에서 적용할 수 없습니다.

    주:
    이 속성은 이후 릴리스에서 Vancouver 기본적으로 true로 설정되며 관리자가 변경할 수 없습니다. 속성을 변경해야 하는 사용 사례의 경우 고객 지원에 문의하십시오.
    		 이스케이프 XML
    glide.ui.escape_all_script

    Jelly JavaScript <![CDATA[<script type="text/javascript">]]> 태그 내의 모든 표현식이 기본적으로 이스케이프되도록 합니다. ]]> 태그의 type 특성 <![CDATA[<script> 이 비어 있거나 값이 text/javascript, text/ecmascript, application/javascript, application/ecmascript 또는 application/x-javascript인 경우에만 이스케이프를 적용합니다.

    		 새 인스턴스에서 예 이스케이프 Jelly
    glide.ui.rotate_sessions

    HTTP 세션 식별자를 회전하여 보안 취약성을 줄입니다. 참조: http://www.owasp.org/index.php/Session_Management#Rotate_Session_Identifiers.
    주:

    1회 사용자 인증(SSO) 인증에 SAML 2.0 플러그인을 사용하는 경우 이 속성을 아니요로 설정하십시오. 그렇지 않으면 인스턴스와 ID 제공자 간에 발생하는 세션 정보 공유에 방해가 됩니다.

    		 HTTP 세션 식별자 교대
    glide.ui.secure_cookies

    보안 세션 쿠키 사용: 추가 쿠키 보안을 사용하도록 설정합니다. 예인 경우 엄격한 세션 쿠키 유효성 검사가 적용됩니다.

    		 보안 세션 쿠키
    glide.security.password_reset.uri

    모바일 암호 재설정의 경우 사용자가 암호를 잊어버리셨습니까? 단추를 클릭할 때 이동되는 URL입니다.

    		 없음
    glide.security.strict.updates

    양식을 제출하는 동안 인바운드 트랜잭션의 보안을 다시 확인합니다(양식 작성 시 권한이 항상 확인됨).

    주:
    이 속성은 이후 릴리스에서 Vancouver 기본적으로 true로 설정되며 관리자가 변경할 수 없습니다. 속성을 변경해야 하는 사용 사례의 경우 고객 지원에 문의하십시오.
    		 인바운드 트랜잭션 다시 확인
    glide.security.strict.actions

    실행 전에 UI 작업의 조건을 확인합니다. 일반적으로 조건은 양식 렌더링 중에만 확인됩니다.

    		 실행 전 UI 작업 확인
    glide.security.use_csrf_token

    보안 토큰 사용을 식별하고 수신 요청을 확인할 수 있습니다. 이 토큰은 사이트 간 요청 위조 공격을 방지하는 데 사용됩니다.

    		 안티-CSRF 토큰
    glide.ui.escape_html_list_field

    목록 뷰에서 HTML 필드용 HTML을 이스케이프합니다.

    		 이스케이프 HTML
    glide.html.escape_script

    HTML 필드에 JavaScript 태그를 이스케이프합니다.

    		 이스케이프 Javascript
    glide.ui.forgetme

    로그인 페이지에서 메일 주소 기억 확인란을 해제합니다.

    		 내용 저장하기 제거
    glide.smtp.auth 사용자 이름 및 비밀번호 특성으로 SMTP 서버를 인증하십시오.
    주:
    이 속성은 더 이상 사용되지 않습니다.
    		 SMTP 인증(사용하지 않음)
    glide.script.use.sandbox

    권한이 제한된 샌드박스 내에서 클라이언트 생성 스크립트(AJAXEvaluate 및 쿼리 조건)를 실행합니다. 인 경우 클라이언트 호출 가능 확인란이 로 설정된 비즈니스 규칙 및 스크립트 포함만 사용할 수 있으며 특정 백엔드 API 호출은 허용되지 않습니다. 자세한 내용은 스크립트 샌드박스 속성 구성 문서를 참조하십시오.

    		 클라이언트 작성 스크립트 샌드박스
    glide.soap.strict_security

    수신 SOAP 요청에 엄격한 보안을 적용합니다. 수신 SOAP 요청이 테이블 및 필드 접근을 위해 보안 관리자를 거치도록 요구하고 SOAP 사용자가 웹 서비스를 사용하기 위한 올바른 역할을 가지고 있는지 확인합니다.

    		 SOAP 요청 엄격한 보안
    glide.basicauth.required.wsdl

    수신 WSDL 요청에 대해 권한 부여가 필요합니다.

    주:
    들어오는 WSDL 요청에 대해 권한 부여를 요구하지 않으려면 게스트 사용자가 WSDL 컨텐트에 액세스할 수 있도록 ACL(액세스 제어) 규칙을 수정해야 합니다.
    		 WSDL 요청 권한
    glide.basicauth.required.csv

    수신 CSV 요청에 대해 기본 인증 필요

    레이블이 표시됩니다.    		 CSV 요청 권한
    glide.basicauth.required.excel

    수신 Excel 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 Excel 요청 권한
    glide.basicauth.required.importprocessor

    수신 임포트 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 임포트 요청 권한
    glide.basicauth.required.pdf

    수신 PDF 요청에 대해 기본 인증이 필요합니다.

    		 PDF 요청 권한
    glide.basicauth.required.rss 수신 RSS 요청에 대해 기본 권한 부여가 필요합니다. RSS 요청 권한
    glide.basicauth.required.scriptedprocessor

    수신 스크립트 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 스크립트 요청 권한
    glide.basicauth.required.soap

    수신 SOAP 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 기본 인증: SOAP 요청
    glide.basicauth.required.unl

    수신 언로드 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 요청 인증 언로드
    glide.basicauth.required.xml

    수신 XML 요청에 대해 기본적인 권한 부여가 필요합니다.

    		 XML 요청 승인
    glide.basicauth.required.xsd

    들어오는 XSD 요청에 대해 기본 권한 부여가 필요합니다.

    		 XSD 요청 승인
    glide.cms.catalog_uri_relative

    /ess/catalog.do의 URI 매개변수에서 상대 링크를 적용합니다. 예일 경우 매개변수를 uri 사용하여 /ess/catalog.do 페이지를 통해 상대 URL만 허용됩니다. 아니요인 경우 모든 URL이 허용되며, 이로 인해 외부의 승인되지 않은 콘텐츠에 대한 링크가 허용될 수 있습니다.

    		 상대 링크 적용
    glide.set_x_frame_options

    모든 UI 페이지에서 X-Frame-Options 응답 헤더를 SAMEORIGIN으로 설정하려면 이 속성을 활성화하십시오. X-Frame-Options HTTP 응답 헤더는 브라우저가 페이지를 또는 <frame><iframe>. 사이트는 이 속성을 사용하여 콘텐츠가 다른 사이트에 포함되지 않도록 하여 클릭재킹 공격을 방지할 수 있습니다. https://developer.mozilla.org/en/the_x-frame-options_response_header

    		 X-Frame-Options: SAMEORIGIN
    glide.ui.attachment.download_mime_types

    브라우저에서 인라인으로 렌더링되지 않는 쉼표로 구분된 첨부 파일 MIME 유형의 목록입니다. 교차 사이트 스크립팅 공격을 방지합니다. 예를 들어, text/html 은 HTML 파일이 브라우저에서 인라인으로 표시되지 않고 첨부 파일로 클라이언트에 다운로드되도록 강제합니다.

    		 텍스트/html,이미지/svg,이미지/svg+xml MIME 유형 강제 다운로드
    glide.security.groupby_acl_check

    이 속성을 사용하면 그룹의 실제 데이터를 기반으로 그룹 이름에 대해 GroupBy 운영에 대한 ACL 검사가 수행됩니다.

    		 없음
    glide.security.diag_txns_acl 일 경우 관리자 또는 허용된 IP 주소의 사용자만 stats.do, threads.do 및 replication.do 에 액세스할 수 있습니다. 아니요 성능 모니터링(ACL)
    glide.ui.security.codetag.allow_script

    포함된 HTML([code] 태그 사용)에 JavaScript 태그를 포함할 수 있습니다.

    주:
    이 속성은 이후 릴리스에서 Vancouver 기본적으로 true로 설정되며 관리자가 변경할 수 없습니다. 속성을 변경해야 하는 사용 사례의 경우 고객 지원에 문의하십시오.
    		 아니요 포함된 HTML 코드 허용
    glide.script.allow.ajax평가

    AJAXEvaluate 프로세서를 사용하도록 설정합니다. AJAXEvaluate API 호출을 사용하면 클라이언트가 서버에서 임의의 스크립트를 보내고 실행할 수 있습니다.

    		 아니요 AJAXEvaluate 사용
    glide.login.autocomplete

    브라우저가 로그인 양식의 암호 필드에 자동 완성 기능을 사용할 수 있도록 허용합니다.

    		 아니요 암호 필드 자동 완성

    다음 속성은 sys_properties 테이블에 정의되지만 높은 보안 설정 페이지에는 표시되지 않습니다.

    속성 설명 기본값 인스턴스 보안 강화 설정
    com.glide.communications.httpclient.verify_hostname

    원격 SSL 호스트에서 제공하는 호스트 이름 및 인증서 체인을 확인합니다. MITM(Man-In-The-Middle) 공격으로부터 보호합니다.

    자세한 내용은 Kubernetes 스포크 설정을 참조하세요.

    주:
    이 속성은 com.glide.communications.trustmanager_trust_all 속성을 재정의합니다.
    		 true 없음
    glide.basicauth.required.schema

    인바운드 테이블 스키마 요청에 대해 기본 인증이 필요합니다.

    		 true 없음
    glide.security.csrf_previous.허용

    기한이 만료된 보안 토큰 사용을 식별하고 수신 요청을 확인할 수 있습니다. 이 토큰은 사이트 간 요청 위조 공격을 방지하는 데 사용됩니다.

    		 false 없음
    glide.security.csrf_previous.time_limit[시간_제한]

    보안 토큰이 만료되는 시간(초)입니다. 이전 CSRF 토큰이 유효한 시간을 제어할 수 있습니다. 사용자 세션이 만료될 때, 속성이 활성화되어 있고 이 속성에서 설명하는 시간 범위 내에 있지 않은 경우 glide.security.csrf_previous.allow 보안 토큰도 만료됩니다. 이 토큰은 사이트 간 요청 위조 공격을 방지하는 데 사용됩니다.

    		 86400
    주:
    값(초)입니다. 1일에 해당합니다.
    		 없음
    glide.security.csrf.strict.validation.mode

    CSRF 토큰이 일치하지 않을 경우 사용자가 요청을 다시 제출할 수 없도록 CSRF 토큰에 엄격한 확인을 적용합니다.

    		 false CSRF 엄격한 유효성 검사
    com.glide.security.check_unsanitized_html 필드 할당에 대한 전역 수준에서 translated_html 필드의 위생 동작을 적용합니다. 적용 없음