복제 보안을 위한 최선의 구현 방법

복제는 단일 도메인의 인트라넷에서 신뢰할 수 없는 도메인과 인터넷을 통해 데이터에 액세스하는 애플리케이션에 이르기까지 분산 환경의 데이터를 이동합니다. 이러한 다양한 상황에서 복제 연결을 보호하는 가장 좋은 방법을 이해하는 것이 중요합니다.

다음 정보는 모든 환경에서의 복제와 관련이 있습니다.

• VPN(가상 사설망), SSL(Secure Sockets Layer) 또는 IPSEC(IP Security)와 같은 업계 표준 방법을 사용하여 복제 토폴로지의 컴퓨터 간 연결을 암호화합니다. 자세한 내용은 데이터베이스 엔진에 대한 암호화된 연결 사용(SQL Server 구성 관리자)을 참조하세요. 인터넷을 통해 데이터를 복제하기 위해 VPN 및 SSL을 사용하는 방법에 대한 자세한 내용은 인터넷을 통해 복제 보안을 참조하세요.

  SSL을 사용하여 복제 토폴로지에서 컴퓨터 간의 연결을 보호하는 경우 각 복제 에이전트의 -EncryptionLevel 매개 변수에 대해1 또는 2 값을 지정합니다(값 2가 권장됨). 값 1 은 암호화가 사용되도록 지정하지만 에이전트는 SSL 서버 인증서가 신뢰할 수 있는 발급자에서 서명되었는지 확인하지 않습니다. 값 이 2이면 인증서가 확인됩니다. 에이전트 매개 변수는 에이전트 프로필 및 명령줄에서 지정할 수 있습니다. 자세한 내용은 다음을 참조하세요.

  • 복제 에이전트 프로필과 함께 작업하기

  • 복제 에이전트의 명령 프롬프트 매개 변수 보기 및 수정(SQL Server Management Studio)

  • 복제 에이전트 실행 파일 개념

• 각 복제 에이전트를 서로 다른 Windows 계정으로 실행하고 모든 복제 에이전트 연결에 Windows 인증을 사용합니다. 계정을 지정하는 방법에 대한 자세한 내용은 복제에서 로그인 및 암호 관리를 참조하세요.

• 각 에이전트에 필요한 권한만 부여합니다. 자세한 내용은 복제 에이전트 보안 모델의 "에이전트에 필요한 사용 권한" 섹션을 참조하세요.

• 모든 병합 에이전트 및 배포 에이전트 계정이 PAL(게시 액세스 목록)에 있는지 확인합니다. 자세한 내용은 게시자 보안 설정을 참조하세요.

• PAL의 계정에 복제 작업 수행에 필요한 권한만 허용하는 최소 권한 원칙을 따릅니다. 복제에 필요하지 않은 고정 서버 역할에 로그인을 추가하지 마세요.

• 모든 병합 에이전트 및 배포 에이전트 읽기 액세스를 허용하도록 스냅샷 공유를 구성합니다. 매개 변수가 있는 필터가 있는 게시에 대한 스냅샷의 경우 각 폴더가 적절한 병합 에이전트 계정에만 액세스를 허용하도록 구성되어 있는지 확인합니다.

• 스냅샷 에이전트 쓰기 액세스를 허용하도록 스냅샷 공유를 구성합니다.

• 끌어오기 구독을 사용하는 경우 스냅샷 폴더의 로컬 경로 대신 네트워크 공유를 사용합니다.

복제 토폴로지에서 동일한 도메인에 있지 않거나 서로 트러스트 관계가 없는 도메인에 있는 컴퓨터를 포함하는 경우 에이전트에서 만든 연결에 Windows 인증 또는 SQL Server 인증을 사용할 수 있습니다(도메인에 대한 자세한 내용은 Windows 설명서 참조). Windows 인증을 사용하는 보안 모범 사례로 권장됩니다.

• Windows 인증을 사용하려면

  • 적절한 노드에서 각 에이전트에 대한 로컬 Windows 계정(도메인 계정이 아님)을 추가합니다(각 노드에서 동일한 이름과 암호 사용). 예를 들어, 푸시 구독의 배포 에이전트는 배포자에서 실행되며 배포자와 구독자에 연결을 설정합니다. 배포 에이전트에 대한 Windows 계정은 배포자와 구독자에 추가해야 합니다.

  • 지정된 에이전트(예: 구독에 대한 배포 에이전트)가 각 컴퓨터에서 동일한 계정으로 실행되는지 확인합니다.

• SQL Server 인증 사용을 사용하려면

  • 적절한 노드에서 각 에이전트에 대한 SQL Server 계정을 추가합니다(각 노드에서 동일한 계정 이름 및 암호 사용). 예를 들어, 푸시 구독의 배포 에이전트는 배포자에서 실행되며 배포자와 구독자에 연결을 설정합니다. 배포 에이전트에 대한 SQL Server 계정은 배포자와 구독자에 추가해야 합니다.

  • 지정된 에이전트(예: 구독에 대한 배포 에이전트)가 각 컴퓨터에서 동일한 계정으로 연결되는지 확인합니다.

  • SQL Server 인증이 필요한 경우 UNC 스냅샷 공유에 대한 액세스를 사용할 수 없는 경우가 많습니다(예: 방화벽에 의해 액세스가 차단될 수 있음). 이 경우 FTP(파일 전송 프로토콜)를 통해 스냅샷을 구독자에게 전송할 수 있습니다. 자세한 내용은 FTP를 통해 스냅샷 전송을 참조하세요.

또한 참조하십시오

데이터베이스 엔진에 암호화 연결 사용(SQL Server 구성 관리자)
인터넷을 통한 복제
구독자 보안 설정
배포자 보안 설정
게시자 보안 설정
SQL Server 복제 보안