중앙 관리 서버 배포

중앙 관리 서버 아키텍처

일반적으로 보호 장치의 위치, 인접 네트워크에서의 액세스, 데이터베이스 업데이트 전달 방식 등에 따라 중앙 집중식 관리 아키텍처의 선택이 달라집니다.

아키텍처 개발의 초기 단계에서 Kaspersky Security Center 구성 요소와 구성 요소 간의 상호 작용, 데이터 트래픽 및 포트 사용에 대한 스키마를 숙지할 것을 권장합니다.

이 정보를 기반으로 다음을 지정하는 아키텍처를 구성할 수 있습니다:

• 중앙 관리 서버 위치 및 네트워크 연결
• 관리자의 작업 공간 구성, 그리고 중앙 관리 서버에 연결하는 방법
• 네트워크 에이전트 및 보호 소프트웨어의 배포 방법
• 배포 지점 사용
• 가상 중앙 관리 서버 사용
• 중앙 관리 서버의 계층 구조 사용
• 안티 바이러스 데이터베이스 업데이트 구성
• 기타 정보 흐름

중앙 관리 서버 설치를 위한 장치 선택

조직 인프라의 전용 서버에 중앙 관리 서버를 설치할 것을 권장합니다. 서버에 다른 타사 소프트웨어가 설치되어 있지 않다면, 타사 소프트웨어 요구 사항에 무관하게 Kaspersky Security Center 요구 사항에 따라 보안 설정을 구성할 수 있습니다.

물리적 서버 또는 가상 서버에 중앙 관리 서버를 배포할 수 있습니다. 선택한 장치가 하드웨어 및 소프트웨어 요구 사항을 충족하는지 확인하십시오.

중앙 관리 서버 위치

중앙 관리 서버에서 관리하는 장치는 다음과 같이 찾을 수 있습니다:

• 근거리 통신망(LAN)에서

• 인터넷에서

• DMZ(완충 지역)에서

또한, 중앙 관리 서버는 산업, 기업, DMZ 세그먼트 등의 다른 세그먼트에 있을 수도 있습니다.

Kaspersky Security Center를 사용하여 격리된 네트워크 세그먼트의 보호를 관리한다면, DMZ(완충 지대) 세그먼트에 중앙 관리 서버를 배포할 것을 권장합니다. 이를 통해 네트워크 세분화를 적절하게 구성하고 보호된 세그먼트로의 트래픽 흐름을 최소화하면서 전체 관리 기능 및 업데이트 전달을 유지할 수 있습니다.

도메인 컨트롤러, 터미널 서버 또는 사용자 장치에 중앙 관리 서버 배포 제한

도메인 컨트롤러, 터미널 서버, 사용자 장치에 중앙 관리 서버를 설치하는 것은 권장하지 않습니다.

네트워크 키 노드를 기능적으로 분리하는 것을 권장합니다. 이 접근 방식을 사용하면 노드 오동작이나 손상 시에도 다른 시스템의 작동성을 유지할 수 있습니다. 또한, 각 노드에 대해 서로 다른 보안 정책을 생성할 수 있습니다.

예를 들어 도메인 컨트롤러에 일반적으로 적용되는 보안 제한에 따라 중앙 관리 서버의 성능이 크게 저하되고 일부 중앙 관리 서버 기능을 사용할 수 없게 될 수 있습니다. 침입자가 도메인 컨트롤러에 대한 액세스 권한을 얻으면 AD DS(Active Directory 도메인 서비스) 데이터베이스가 수정, 손상, 파괴될 수 있습니다. 또한 Active Directory에서 관리하는 모든 시스템과 계정이 손상될 수 있습니다.

중앙 관리 서버 설치 및 실행을 위한 계정

도메인 계정을 사용하여 중앙 관리 서버 데이터베이스에 액세스하지 않으려면 로컬 관리자 계정으로 중앙 관리 서버 설치를 실행할 것을 권장합니다. 필요한 계정 집합과 해당 권한은 선택한 DBMS 유형, DBMS 위치, 중앙 관리 서버 데이터베이스 생성 방법에 따라 다릅니다.

Kaspersky Security Center를 설치하는 동안 KLAdmins 및 KLOperators 그룹이 자동으로 만들어집니다. 이 그룹에는 중앙 관리 서버에 연결하고 중앙 관리 서버 개체를 사용할 수 있는 권한이 주어집니다.

Kaspersky Security Center 설치에 사용된 계정 유형에 따라 다음과 같이 KLAdmins 및 KLOperators 그룹이 만들어집니다:

• 도메인에 포함된 사용자 계정으로 애플리케이션을 설치했다면, 중앙 관리 서버를 포함하는 도메인과 중앙 관리 서버 장치에 그룹이 만들어집니다.
• 시스템 계정으로 애플리케이션을 설치했다면, 중앙 관리 서버 장치에만 그룹이 만들어집니다.

도메인에 KLAdmins 및 KLOperators 그룹을 생성하지 않고 결과적으로 중앙 관리 서버를 관리할 수 있는 권한을 중앙 관리 서버 장치 외부의 계정에 제공하려면, 로컬 계정으로 Kaspersky Security Center를 설치할 것을 권장합니다.

중앙 관리 서버 설치 시, 서비스로 중앙 관리 서버를 시작하는 데 사용할 계정을 선택합니다. 기본적으로 애플리케이션을 중앙 관리 서버 서비스(klserver 서비스)가 실행되는 KL-AK-*라는 로컬 계정을 만듭니다.

필요하다면 선택한 계정으로 중앙 관리 서버 서비스를 실행할 수 있습니다. 이 계정에 DBMS에 액세스하는 데 필요한 권한을 부여해야 합니다. 보안상의 이유로, 권한이 없는 계정을 사용하여 중앙 관리 서버 서비스를 실행하십시오.

잘못된 계정 설정을 사용하지 않으려면 계정을 자동 생성할 것을 권장합니다.

도메인에서 중앙 관리 서버 제외

중앙 관리 서버로 시스템 중요도가 높은 기기 그룹을 보호한다면, 중앙 관리 서버 기기를 도메인에 포함하지 않을 것을 권장합니다(도메인 사용 시). 이를 통해 Kaspersky Security Center 관리 권한을 구별하고 도메인 계정이 손상되었을 때 중앙 관리 서버에 대한 액세스를 방지할 수 있습니다.

작업 그룹에 포함된 기기에 중앙 관리 서버를 설치한다면, 다음 중앙 관리 서버 작업 시나리오는 사용할 수 없습니다.

• Kaspersky Security Center 장애 조치 클러스터 사용
• Windows Server 장애 조치 클러스터 사용
• 별도의 기기에서 SQL Server 사용

  중앙 관리 서버와 SQL Server가 도메인에 포함될 때만 별도의 기기에서 SQL Server를 사용할 수 있습니다.

• Active Directory 그룹 정책을 통해 중앙 관리 서버 도구를 사용하여 원격 설치

작업 그룹에 포함된 기기에 중앙 관리 서버를 설치해야 한다면, Kaspersky Security Center Windows 대신 Kaspersky Security Center Linux를 사용하여 중앙 관리 서버를 설치하지 않을 수 있습니다.

맨 위로