코드 서명 탐색
코드 서명은 인증된 스크립트만 MID 서버에서 실행할 수 있도록 암호화 검증을 제공합니다. 코드 서명은 승인되지 않았거나 변조된 ECC 큐 기록이 MID Server에서 처리되는 것을 방지하여 ServiceNow와 외부 시스템 간의 통합 무결성을 유지합니다.
코드 서명은 데이터에 대한 디지털 서명을 생성하며, 나중에 이를 확인하여 데이터의 진위 및 무결성을 확인합니다. 코드 서명은 의 ServiceNow 볼트구성요소로 사용이 허가된 모듈입니다.
코드 서명은 수행 중인 작업의 의도를 선언하고 자원이나 기록이 의도한 목적에 사용될 수 있는지 여부를 확인합니다. 코드 서명을 용이하게 하기 위해 (KMF)는 핵심 관리 프레임워크 디지털 서명에 디지털 인증서와 산업 표준 비대칭 암호화를 사용합니다. 플랫폼 및 인프라 측에서 내부적으로 코드 서명을 사용합니다. 코드 서명은 지정된 메타데이터 테이블에 있는 특정 테이블 또는 기록 하위 집합의 콘텐츠에 서명하는 방법을 제공합니다. |
코드 서명은 신뢰할 수 있는 인스턴스와 보호된 인스턴스 사이에 보안 Circle of Trust (COT)을 사용하여 권한이 있고 안전한 인스턴스만 코드 서명 기능에 액세스할 수 있도록 합니다.
코드 서명이 환경을 보호하는 방법
코드 서명이 없으면 레코드에 대한 ServiceNow 액세스 권한을 얻은 공격자는 보호된 인스턴스에서 SQL 문을 수정할 수 있습니다. MID 서버가 이 데이터 소스 요청을 처리할 때 악의적인 SQL 명령을 실행하여 시스템 무결성과 보안을 손상시킬 수 있습니다.
코드 서명을 사용하여 신뢰서클 아키텍처를 구현하는 경우 MID 서버로의 데이터 전송은 다음 확인 프로세스를 따릅니다. 이 프로세스를 통해 신뢰할 수 있는 인스턴스에서 생성된 인증된 코드만 MID 서버에서 실행할 수 있습니다. 이 프로세스는 시스템을 손상시킬 수 있는 잠재적인 공격 벡터를 줄입니다.
- 디지털 서명은 신뢰할 수 있는 인스턴스 내에서 생성되거나 업데이트된 데이터 소스에 적용됩니다.
- 코드 서명 프로세스를 사용하여 서명된 데이터를 신뢰할 수 있는 인스턴스에서 보호된 인스턴스로 전송합니다.
- MID 서버는 모든 수신 요청에서 디지털 서명을 확인하여 유효한 서명이 없는 요청은 자동으로 거부합니다.
- MID 서버가 요청을 거부하면 이 거부를 기록하고 보호된 인스턴스로 알림을 보냅니다.
코드 서명 구현의 이점
코드 서명은 다음과 같은 몇 가지 주요 이점을 제공합니다.
- 실행 제어
- 암호로 확인된 스크립트만 MID 서버에서 실행할 수 있습니다.
- 변조 탐지
- 서명된 레코드에 대한 수정 사항은 즉시 식별되고 차단됩니다.
- 자동화된 보호
- 시스템은 수동 개입 없이 보안 적용을 처리합니다.
- 포괄적인 로깅
- 모든 서명 검증 실패는 상세한 감사 기록을 생성합니다.
코드 서명 확인 및 작업
유효한 구성이 있는 모든 메타데이터 테이블은 com.glide.code_signing(코드 서명 메타데이터 플러그인)을 사용하여 빌드 시 서명됩니다. 테이블에 서명하도록 선택하면 보안 관리자 역할을 가진 관리 사용자가 코드 서명 암호화 작업에 액세스할 수 있습니다.
- 업데이트 세트에 서명합니다.
- 대량 서명 기록입니다.
- 대량 서명 첨부 파일.
- 업데이트 세트 서명
- 이 작업은 업데이트 세트의 서명 구성과 일치하는 기록에 서명합니다. 또한 이 작업은 모든 새 서명 기록과 확인 인증서를 업데이트 세트에 추가합니다.
그림 1. 업데이트 세트에 대한 KMF 서명 기록 - 대량 서명 기록
이 작업은 특정 메타데이터 테이블에 적용된 서명 구성과 일치하는 모든 기록에 서명합니다.
- 첨부 파일에 대량 서명
- 이 작업은 지정된 서명 구성과 일치하는 테이블에 첨부된 모든 첨부 파일 기록에 서명합니다.
그림 2. 기록을 대량 서명하기 위한 암호화 작업