시작하기 Dell Data Security 구축 서비스 2021년 5월 개정 A01
참고, 주의 및 경고 노트: 참고"는 제품을 보다 효율적으로 사용하는 데 도움이 되는 중요 정보를 제공합니다. 주의: 주의사항은 하드웨어의 손상 또는 데이터 유실 위험을 설명하며, 이러한 문제를 방지할 수 있는 방법을 알려줍니다. 경고: 경고는 재산 손실, 신체적 상해 또는 사망 위험이 있음을 알려줍니다. © 2012-2021 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption and Endpoint Security Suite Enterprise suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
목차 장 1: 구현 단계................................................................................................................................. 4 장 2: 시작 및 요건 검토..................................................................................................................... 5 클라이언트 문서................................................................................................................................................................... 5 서버 문서.....................................................
1 구현 단계 기본 구현 프로세스는 다음과 같은 단계로 구성됩니다. ● 시작 및 요건 검토 수행 ● 사전 점검사항 - 초기 구현 또는 사전 점검사항 - 업그레이드/마이그레이션 완료 ● 다음 중 하나 설치 또는 업그레이드/마이그레이션: ○ Security Management Server ■ 장치들의 중앙 집중식 관리 ■ 물리적 또는 가상화 환경에서 실행되는 Windows 기반 애플리케이션입니다. ○ Security Management Server Virtual ■ 최대 3,500대 장치에 대한 중앙 집중화된 관리 ■ 가상화된 환경에서 실행 Dell Server 설치/마이그레이션 지침은 Security Management Server 설치 및 마이그레이션 가이드 또는 Security Management Server Virtual 퀵 스타트 및 설치 가이드를 참조하십시오. 이 문서를 입수하려면 Dell Data Security Server 문서를 참조하십시 오.
2 시작 및 요건 검토 설치에 앞서 기업 환경과 프로젝트의 비즈니스 및 기술적 목표를 정확히 이해하고 있어야만 Dell Data Security의 성공적인 구현을 통 해 해당 목표를 달성할 수 있습니다. 따라서 기업의 전반적인 데이터 보안 요건을 정확하게 파악하고 있어야 합니다. 다음은 Dell Client Services 팀이 기업 환경과 요건을 이해하는 데 도움이 될 수 있는 몇 가지 주요 공통 질문입니다. 1. 2. 3. 4. 5. 6. 7.
● Endpoint Security Suite Enterprise 고급 설치 가이드 - 사용자 지정된 설치용 고급 스위치 및 매개변수가 포함된 설치 가이드. ● Endpoint Security Suite Enterprise Advanced Threat Prevention 퀵 스타트 가이드 - 정책 권장 사항, 위협 식별과 관리 및 문제 해결 이 포함된 관리 지침. ● Dell Data Security Console 사용자 가이드 - 사용자 지침. Endpoint Security Suite Enterprise(Mac) - www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endptsecurity-suite-enterprise/manuals에서 다음 문서를 보십시오.
3 사전 점검사항 - 초기 구현 배포하는 Dell Server에 따라 Dell Encryption 또는 Endpoint Security Suite Enterprise 설치 전에 해당 점검사항에 따라 모든 구성 요소를 갖추었는지 확인하십시오. ● Security Management Server 점검사항 ● Security Management Server Virtual 점검사항 Security Management Server 초기 구현 점검사항 Proof of Concept 환경이 완전히 제거되었습니까(해당되는 경우)? Dell과 설치 업무 이전에 Proof of Concept 데이터베이스 및 애플리케이션은 백업 후 제거되었습니다(동일한 서 버를 사용하는 경우). 제거 방법에 대한 자세한 내용은 https://www.dell.
● Windows Server 2012 R2 - 설치 프로그램이 UAC를 비활성화합니다. ● Windows Server 2016 R2 - 설치 프로그램이 UAC를 비활성화합니다. 노트: 설치 디렉토리에 대해 보호되는 디렉토리를 지정하지 않으면 UAC가 더 이상 사용되지 않습니다. 서비스 계정을 만들었습니까? AD에 대한 읽기 전용 액세스 권한의 서비스 계정(LDAP) - 기본 사용자/도메인 사용자 계정이면 충분합니다. 서비스 계정에는 Security Management Server 애플리케이션 서버에 대해 로컬 관리자 권한이 있어야 합니다. 데이터베이스에 대한 Windows 인증을 사용하려면, 시스템 관리자 권한이 있는 도메인 서비스 계정이 필요합니 다. 사용자 계정은 DOMAIN\\Username 형식이어야 하며 SQL 서버 허가 기본 스키마: dbo 및 Database Role Membership: dbo_owner, public을 가지고 있어야 합니다.
데이터베이스를 생성하였습니까? (선택사항)지원되는 서버에 새 데이터베이스가 생성됩니다. Security Management Server 설치 및 마이그레이션 가이드의 요구 사항 및 아키텍처를 참조하십시오 Security Management Server 설치 프로그램이 설치 중 이미 데 이터베이스가 생성되지 않은 경우 데이터베이스를 생성합니다. 타겟 데이터베이스 사용자에게 db_owner 권한이 부여되었습니다. Security Management Server 및/또는 내부 및 외부 트래픽에 대한 분할 DNS를 포함한 Policy Proxies에 대한 DNS 별칭이 생성되 었습니까? DNS 별칭은 확장성을 위해 생성하는 것이 좋습니다. 나중에 클라이언트 업데이트 없이도 서버를 비롯해 별도의 애플리케이션 구성 요소를 추가할 수 있기 때문입니다. 원한다면 DNS 별칭을 생성합니다. 권장하는 DNS 별칭: ● Security Management Server: dds.
Proof of Concept 테스트 단계에서 사용되는 프로덕션 끝점은 복호화되었거나 주요 번들로 다운로드되었습니 다. 배포할 클라이언트에 대한 자세한 내용은 클라이언트 문서를 참조하십시오. 노트: 모든 신규 구현은 새 데이터베이스를 비롯해 Encryption 또는 Endpoint Security Suite Enterprise 소프트웨어의 설치로 시작되어야 합니다. Dell Client Services는 POC 환경에서는 신규 구현을 수행하지 않습니다. POC 단계에서 암호화된 끝점은 Dell의 설치 업무 이전에 모두 복호화 또는 재구축되어야 합니다. 서비스 계정을 만들었습니까? AD에 대한 읽기 전용 액세스 권한의 서비스 계정(LDAP) - 기본 사용자/도메인 사용자 계정이면 충분합니다. 소프트웨어가 다운로드되었습니까? Dell Data Security 클라이언트 소프트웨어 및 Security Management Server 다운로드는 아래 URL의 드라이버 및 다운로드 폴더에 있습니다. www.
분할 DNS는 내부적 및 외부적으로 동일한 DNS 이름의 사용자를 허용합니다. 즉, 내부적으로 dds.을 내부 c-name 으로 제공하고 이를 Dell Security Management Server(백엔드)로 보낼 수 있으며 외부적으로 dds.을 레코드로 제공 하고 프런트엔드 서버로 관련 포트를 전달합니다(Ports for Security Management Server Virtual(Security Management Server Virtual에 대한 포트)를 참조하십시오). Dell은 DNS Round-robin(라운드 로빈)이나 로드 밸런서를 사용하여 여러 프런트엔드(여러 개인 경우)에 로드를 분산시킬 수 있습니다. SSL 인증 계획이 있습니까? Dell은 인증서 서명에 사용할 뿐만 아니라 기업 환경 내 모든 워크스테이션이 신뢰할 수 있는 내부 인증 기관 (CA)이 있습니다.
4 사전 체크리스트 - 업그레이드/마이그레이션 이 체크리스트는 Security Management Server에만 적용됩니다. 노트: Dell Server 터미널의 기본 구성 메뉴에서 Security Management Server Virtual를 업데이트합니다. 자세한 내용은 Security Management Server Virtual 빠른 시작 및 설치 가이드를 참조하십시오. Encryption 또는 Endpoint Security Suite Enterprise의 업그레이드를 시작하기 전에 다음과 같은 체크리스트를 사용하여 모든 필수 요 소를 만족하였는지를 확인합니다. 서버가 필수 소프트웨어 사양을 만족합니까? Windows Server 2012 R2(Standard 또는 Datacenter), Windows Server 2016(Standard 또는 Datacenter) 또는 Windows Server 2019(Standard 또는 Datacenter)가 설치되어 있습니다.
기존의 모든 설치가 대체 위치에 백업됩니다. 백업해야 할 항목은 SQL 데이터베이스, secretKeyStore, 구성 파일 입니다. 데이터베이스에 연결하는데 필요한 정보가 저장되어 있는 이러한 대부분의 중요 파일이 백업되어 있는지 확인 합니다. <설치 폴더>\Enterprise Edition\Compatibility Server\conf\server_config.xml <설치 폴더>\Enterprise Edition\Compatibility Server\conf\secretKeyStore <설치 폴더>\Enterprise Edition\Compatibility Server\conf\gkresource.xml 설치 키와 라이선스 파일이 있습니까? 라이선스 키는 최초 이메일을 통해 CFT 자격 증명과 함께 제공됩니다. 고객 알림 이메일의 예를 참조하십시오. 이 키는 http://www.dell.com/support 및 https://ddpe.credant.
Encryption 또는 Endpoint Security Suite Enterprise 설치에 필요한 Change Control의 특정 요구 사항은 설치 업무 이전에 Dell Client Services 팀에 제출하십시오. 애플리케이션 서버, 데이터베이스 및 클라이언트 워크스테이션 의 변경 사항 역시 이러한 요구 사항에 포함됩니다. 테스트용 하드웨어가 준비되었습니까? 3대 이상의 컴퓨터에 기업 컴퓨터 이미지를 저장하여 테스트 용도로 준비하십시오. Dell은 운영 컴퓨터는 테스트 용도로 사용하지 말 것을 권장합니다. 운영 컴퓨터는 암호화 정책을 정의하고 Dell이 제공하는 테스트 플랜에 따 라 테스트를 실시한 후 프로덕션 파일럿 단계에서 사용해야 합니다.
5 아키텍처 이 섹션에서는 Dell Data Security 구현을 위한 아키텍처 디자인 권장사항에 대해 자세히 설명합니다. 배포할 Dell Server를 선택하십시 오. ● Security Management Server 아키텍처 디자인 ● Security Management Server Virtual 아키텍처 디자인 Security Management Server Virtual 아키텍처 디자인 Encryption Enterprise 및 Endpoint Security Suite Enterprise 솔루션은 확장성이 뛰어난 제품으로서, 조직이 암호화할 엔드포인트 수를 기반으로 합니다. 아키텍처 구성요소 아래는 Dell Security Management Server Virtual의 기본 배포입니다.
포트 다음 표는 각 구성요소와 그 기능에 대한 설명입니다. 이름 기본 포트 설명 액세스 그룹 서비스 TCP/ 여러 Dell 보안 제품에 대한 다양한 권한 과 그룹 액세스를 관리합니다.
이름 기본 포트 설명 노트: 포트 8006은 현재 보안되지 않 습니다. 이 포트가 방화벽을 통해 올 바르게 필터링되었는지 확인합니다. 이 포트는 내부 전용입니다. Compliance Reporter HTTP(S)/ 8084 Management Console HTTPS/ 8443 노트: 포트 8084는 방화벽을 통해 필 터링되어야 합니다. Dell은 이 포트를 내부용으로만 사용할 것을 권장합니 다. 전체 엔터프라이즈 배포를 위한 관리 콘 솔 및 제어 센터입니다. 정책 흐름, 라이선스 및 사전 부팅 인증을 위한 등록, SED Management, BitLocker 8887(폐쇄) 관리자, 위협 차단 및 Advanced Threat Prevention을 관리합니다. Compliance Reporter 및 Management Console을 통해 사용할 인벤토리 데이터를 처리합니다. 인증 데이터를 수집하고 보관합니다. 역 할 기반 액세스를 관리합니다.
이름 기본 포트 설명 61613 개방 됨) Identity Server 8445(폐쇄) SED Management 인증을 포함한 도메인 인증 요구를 관리합니다. Forensic Server HTTPS/ 8448 적절한 권한을 소유한 관리자가 Management Console에서 데이터 잠금 해제 또는 복호화 작업을 위해 암호화 키 를 가져올 수 있습니다. Forensic API에 필요함. Inventory Server 8887 인벤토리 대기열을 처리합니다. Policy Proxy TCP/ 네트워크 기반 통신 경로를 제공하여 보 안 정책 업데이트 및 인벤토리 업데이트 를 제공합니다. 8000 Encryption Enterprise(Windows 및 Mac) 에 필요함 PostGres TCP/ 5432 이벤트 데이터에 사용되는 로컬 데이터 베이스입니다. 노트: 포트 5432는 방화벽을 통해 필 터링되어야 합니다. Dell은 이 포트를 내부용으로만 사용할 것을 권장합니 다.
Security Management Server 아키텍처 디자인 Encryption Enterprise 및 Endpoint Security Suite Enterprise 솔루션은 확장성이 뛰어난 제품으로서, 조직이 암호화할 엔드포인트 수를 기반으로 합니다. 아키텍처 구성요소 아래에 환경에 가장 적합한 하드웨어 구성이 제시되어 있습니다. Security Management Server ● 운영 체제: Windows Server 2012 R2(Standard, Datacenter 64비트), Windows Server 2016(Standard, Datacenter 64비트), Windows Server 2019(Standard, Datacenter) 노트: Windows Server 2019에는 Dell Server v11.0 이상이 필요합니다. ● ● ● ● 가상/실제 시스템 CPU: 4개 코어 RAM: 16.
노트: 조직의 엔드포인트 수가 20,000개 이상일 경우에는 Dell ProSupport에 문의하십시오. 포트 다음 표는 각 구성요소와 그 기능에 대한 설명입니다.
이름 기본 포트 설명 ACL 서비스 TCP/ 여러 Dell 보안 제품에 대한 다양한 권한 과 그룹 액세스를 관리합니다. 8006 Compliance Reporter HTTP(S)/ 8084 Management Console HTTP(S)/ 8443 Core Server HTTPS/ 8888 Device Server 노트: 포트 8006은 현재 보안되지 않 습니다. 이 포트가 방화벽을 통해 올 바르게 필터링되었는지 확인합니다. 이 포트는 내부 전용입니다. 감사 및 준수 보고를 위한 환경을 포괄적 으로 볼 수 있습니다. 노트: 포트 8084는 방화벽을 통해 필 터링되어야 합니다. Dell은 이 포트를 내부용으로만 사용할 것을 권장합니 다. 전체 엔터프라이즈 배포를 위한 관리 콘 솔 및 제어 센터입니다.
이름 기본 포트 설명 노트: 포트 61616는 방화벽을 통해 필 터링되어야 합니다. Dell은 이 포트를 내부용으로만 사용할 것을 권장합니 다. 노트: 포트 61613은 프런트엔드 모드 로 구성된 Security Management Server에서만 열어야 합니다. Key Server TCP/ 8050 Policy Proxy TCP/ 8000 PostGres TCP/ 5432 LDAP TCP/ 389/636( 로컬 도메 인 컨트롤 러), 3268/326 9(글로벌 카탈로그) TCP/ 135/ 49125+ (RPC) Microsoft SQL 데이터베이스 TCP/ 1433 클라이언트 인증 HTTPS/ 8449 22 아키텍처 Kerberos API를 사용하여 클라이언트 연 결을 협상, 인증 및 암호화합니다. 주요 데이터를 가져오기 위해 SQL 데이 터베이스 액세스가 필요합니다. 네트워크 기반 통신 경로를 제공하여 보 안 정책 업데이트 및 인벤토리 업데이트 를 제공합니다.
6 SQL Server 모범 사례 다음 목록은 SQL Server 모범 사례로서 Dell Security 설치 시 구현하지 않았다면 반드시 구현해야 합니다. 1. 데이터 파일 및 로그 파일이 저장되는 NTFS 블록 크기가 64KB인지 확인하십시오. SQL Server 익스텐트(SQL Storage 기본 단위) 는 64KB입니다. 자세한 내용은 Microsoft의 TechNet 게시글에서 “페이지 및 익스텐트에 대한 이해”를 검색하여 확인하시기 바랍니다. 2. 일반 지침으로서 SQL Server 메모리의 최대 용량을 설치된 메모리의 80%로 설정하십시오. 자세한 내용은 Microsoft의 TechNet 게시글에서 서버 메모리 서버 구성 옵션을 검색하여 확인하시기 바랍니다. ● Microsoft SQL Server 2012 - https://technet.microsoft.com/en-us/library/ms178067(v=sql.
7 고객 알림 이메일의 예 Dell Data Security를 구입하면 DellDataSecurity@Dell.com으로부터 이메일을 받게 됩니다. 다음은 CFT 자격 증명 및 라이센스 키 정보 가 포함된 이메일의 예입니다.