SQL Server on Linux에 대한 보안 고려 사항

적용 대상:SQL Server on Linux

Linux의 SQL Server 보안은 이질적이고 지속적으로 진화하는 운영 체제이기 때문에 지속적인 프로세스입니다. 우리의 목표는 고객이 보안을 증분 방식으로 개선하고, 이미 가지고 있는 것을 기반으로 하고, 시간이 지남에 따라 개선하도록 돕는 것입니다. 이 페이지는 Linux에서 SQL Server를 보호하기 위한 주요 사례 및 리소스의 인덱스 역할을 합니다.

보안 Linux 시스템으로 시작

이 문서에서는 강화된 보안 Linux 시스템에 SQL Server를 배포했다고 가정합니다. 보안 조치는 Linux 배포에 따라 다릅니다. 자세한 내용은 SELinux에서 SQL Server 시작하기를 참조하세요.

보안 방법은 사용 중인 Linux 배포에 따라 달라집니다. 자세한 지침은 배포 공급자에게 문의하고 권장 모범 사례를 검토하세요. 다음과 같은 설명서를 참조할 수도 있습니다.

• Red Hat Enterprise Linux 보안 강화
• Ubuntu: 보안 제안

프로덕션 환경에 배포하기 전에 제어된 테스트 환경에서 선택한 플랫폼 및 구성의 유효성을 항상 검사합니다.

SQL Server 보안 지침 적용

SQL Server on Linux는 여러 보호 계층을 결합한 강력한 보안 프레임워크를 제공합니다.

• 최소 권한 원칙에 따라 계정 및 데이터베이스 사용자를 만듭니다.

• 세분화된 액세스 제어를 위해 행 수준 보안 및 동적 데이터 마스킹과 같은 고급 기능을 사용합니다.

• 파일 시스템 보안은 엄격한 소유권 및 사용 권한을 /var/opt/mssql통해 적용되므로 사용자와 그룹만 mssql 적절한 액세스 권한을 갖도록 합니다.

• 엔터프라이즈 통합의 경우 Active Directory 인증을 통해 Kerberos 기반 SSO(Single Sign-On), 중앙 집중식 암호 정책 및 그룹 기반 액세스 관리를 사용할 수 있습니다.

• 암호화된 연결은 TLS를 사용하여 전송 중인 데이터를 보호하며, 서버 또는 클라이언트 시작 암호화 옵션과 업계 표준을 충족하는 인증서에 대한 지원을 제공합니다.

이러한 기능은 함께 Linux에서 SQL Server 배포를 보호하는 포괄적인 접근 방식을 제공합니다. 다음 주요 리소스에서 권장 사항을 검토하고 구현합니다.

• SQL Server on Linux 보안 기능 연습
• SQL Server on Linux - 보안 및 권한 가이드
• SQL Server on Linux에 대한 Active Directory 인증
• 자습서: adutil을 사용하여 SQL Server on Linux에서 Active Directory 인증 구성
• SQL Server on Linux에 대한 연결 암호화

Linux에서 SQL Server 감사

SQL Server on Linux는 규정 준수 및 보안 모니터링을 위해 서버 수준 및 데이터베이스 수준 이벤트를 추적하고 기록할 수 있도록 기본 제공 SQL Server 감사 기능을 지원합니다.

• 서버 감사 및 서버 감사 사양 만들기

일반적인 모범 사례

• Linux 운영 체제 및 SQL Server를 정기적으로 업데이트합니다.
• 프로덕션 서버를 SQL Server 워크로드에만 전용으로 사용합니다.
• 계정 및 서비스에 대해 최소 권한 원칙 을 적용합니다.
• SA 계정을 모범 사례로 사용하지 않도록 설정합니다.

Windows 및 Linux의 일반적인 보안 모범 사례는 SQL Server 보안 모범 사례를 참조하세요.

SA 계정을 모범 사례로 사용하지 않도록 설정

설치 후 처음으로 시스템 관리자(sa) 계정을 사용하여 SQL Server 인스턴스에 연결하는 경우 이러한 단계를 수행한 다음 즉시 계정을 보안 모범 사례로 사용하지 않도록 설정하는 sa 것이 중요합니다.

1. 새 로그인을 만들고 sysadmin 서버 역할의 멤버로 만듭니다.

   • 컨테이너 또는 비 컨테이너 배포가 있는지 여부에 따라 Windows 인증 사용하도록 설정하고 새 Windows 기반 로그인을 만들고 sysadmin 서버 역할에 추가합니다.

     • 자습서: adutil을 사용하여 SQL Server on Linux에서 Active Directory 인증 구성

     • 자습서: SQL Server on Linux 컨테이너를 사용하여 Active Directory 인증 구성

   • 그렇지 않으면 SQL Server 인증을 사용하여 로그인을 만들고 sysadmin 서버 역할에 추가합니다.

2. 만든 새 로그인을 사용하여 SQL Server 인스턴스에 연결합니다.

3. 보안 모범 사례에 권장되는 대로 sa 계정을 사용하지 않도록 설정합니다.

SQL Server on Linux에 대한 보안 제한 사항

현재 SQL Server on Linux에는 다음과 같은 제한 사항이 있습니다.

• Linux의 SQL Server 2025(17.x)부터 사용자 지정 암호 정책을 적용할 수 있습니다. 자세한 내용은 SQL Server on Linux에서 SQL 로그인에 대한 사용자 지정 암호 정책 설정을 참조하세요.

  Linux 및 이전 버전의 SQL Server 2022(16.x)에서는 표준 암호 정책을 제공합니다.

  • MUST_CHANGE 구성할 수 있는 유일한 옵션입니다.

  • 옵션을 CHECK_POLICY 사용하도록 설정하면 SQL Server에서 제공하는 기본 정책만 적용되며 Active Directory 그룹 정책에 정의된 Windows 암호 정책은 적용되지 않습니다.

  • SQL Server 인증을 사용하는 경우 암호 만료 기간이 90일로 하드 코딩됩니다. 이 문제를 해결하려면 ALTER LOGIN을 변경하는 것이 좋습니다.

• EKM(확장 가능 키 관리)은 SQL Server 2022(16.x) CU12 이후의 AKV(Azure Key Vault)를 통해서만 지원되며 이전 버전에서는 사용할 수 없습니다. 타사 EKM 공급자는 SQL Server on Linux 운영 체제에서 지원되지 않습니다.

• SQL Server 인증 모드를 사용하지 않도록 설정할 수 없습니다.

• SQL Server는 연결을 암호화하기 위해 자체 서명된 인증서를 생성합니다. TLS에 대해 사용자가 제공한 인증서를 사용하도록 SQL Server를 구성할 수 있습니다.

• SQL Server on Linux 배포는 FIPS를 준수하지 않습니다.

Linux 컨테이너 배포의 SQL Server 보안

SQL Server 컨테이너 보안에 대한 자세한 내용은 보안 SQL Server Linux 컨테이너를 참조하세요.

관련 콘텐츠

• SQL Server on Linux 보안 기능 연습
• SQL Server on Linux - 보안 및 권한 가이드
• mssql-conf 도구를 사용하여 SQL Server on Linux 구성
• linux SQL Server 2022의 버전 및 지원되는 기능
• SQL Server 데이터베이스 엔진 및 Azure SQL Database에 대한 보안