프로필 속성 보안
업데이트: 2007년 11월
ASP.NET 프로필 기능을 사용하여 데이터 소스(예: 데이터베이스)에서 사용자 설정을 저장하고 검색할 수 있습니다. 응용 프로그램의 구성 파일에서 사용자 프로필을 구성하는 그룹 및 속성을 지정합니다. 런타임에 ASP.NET에서는 구성 정보를 사용하여 각 프로필 속성에 대한 강력한 형식의 접근자가 있는 클래스를 동적으로 생성합니다. 그러면 정적 Profile 속성을 사용하여 이 클래스가 노출됩니다. 프로필 속성 값은 프로필 공급자에 의해 일반 텍스트 XML 또는 serialize된 이진 형식으로 데이터 소스에 저장됩니다.
코딩 및 구성과 관련된 유용한 구현 방법을 적용하여 응용 프로그램의 보안을 향상시킬 수 있습니다. 또한 Microsoft Windows와 Microsoft IIS(인터넷 정보 서비스)에 대한 최신 보안 업데이트 및 Microsoft SQL Server나 기타 프로필 데이터 소스에 대한 업데이트를 사용하여 응용 프로그램 웹 서버를 항상 최신 상태로 유지하는 것도 중요합니다.
안전한 코드 작성 및 응용 프로그램 보안을 위한 유용한 정보를 보려면 Michael Howard와 David LeBlanc이 공동 저술한 Writing Secure Code를 참조하고, Microsoft Patterns and Practices(https://www.microsoft.com/resources/practices/default.mspx) 웹 사이트에 제공된 제안 사항을 따르십시오.
보안 프로필 구성
ASP.NET 프로필 기능은 기본적으로 사용됩니다. 기본 구성 설정은 가장 안전한 값으로 설정되어 있지만 응용 프로그램에 필요한 경우가 아니면 사용자 프로필 기능을 사용하지 않도록 설정하는 것이 좋습니다. 프로필 구성 설정 및 기본값에 대한 내용은 profile 요소(ASP.NET 설정 스키마)를 참조하십시오. 프로필 속성에 설정할 수 있는 익명 ID는 기본적으로 사용되지 않습니다. 익명 ID 구성 설정 및 기본값에 대한 자세한 내용은 anonymousIdentification 요소(ASP.NET 설정 스키마)를 참조하십시오.
구성 값 보안
구성 파일에 중요한 정보를 저장할 경우에는 보호되는 구성을 사용하여 중요한 값을 암호화하는 것이 좋습니다. 이 중에서도 특히 중요한 정보에는 machineKey 구성 요소에 저장되는 암호화 키와 connectionStrings 구성 요소에 저장되는 데이터 소스 연결 문자열이 포함됩니다. 자세한 내용은 보호되는 구성을 사용하여 구성 정보 암호화를 참조하십시오.
프로필 데이터 소스 연결 보안
연결 문자열
앞에서 언급했듯이 SQL Server 또는 다른 데이터 소스를 실행하는 컴퓨터와 통신하는 데 사용되는 연결 문자열에 저장된 중요한 정보는 안전하게 보호해야 합니다. 데이터베이스 연결을 안전하게 유지하려면 보호되는 구성을 사용하여 구성의 연결 문자열 정보를 암호화하는 것이 좋습니다. 자세한 내용은 보호되는 구성을 사용하여 구성 정보 암호화를 참조하십시오.
통합 보안을 사용하여 SQL Server에 연결
연결 문자열이 손상되지 않고 사용자 ID 및 암호 정보가 노출되지 않게 하려면 SQL Server를 실행하는 컴퓨터에 연결할 때 통합 보안을 사용하는 것이 좋습니다. 통합 보안을 사용하는 연결을 지정하여 SQL Server를 실행하는 컴퓨터에 연결하면 프로필 공급자가 프로세스 ID로 되돌아갑니다. 응용 프로그램 풀과 같이 ASP.NET을 실행하는 프로세스의 ID는 기본 프로세스 계정이거나 제한된 사용자 계정이어야 합니다. 자세한 내용은 ASP.NET 가장을 참조하십시오.
SQL Server 데이터베이스 권한
기본적으로 프로필 정보를 저장하는 데 사용되는 SQL Server 데이터베이스에는 사용자가 응용 프로그램에 필요한 권한에만 액세스하도록 제한할 수 있는 데이터베이스 역할 및 뷰가 포함되어 있습니다. SQL Server 프로필 데이터베이스에 연결하는 사용자 ID에는 필요한 최소 권한을 할당하는 것이 좋습니다. 자세한 내용은 SQL Server용 응용 프로그램 서비스 데이터베이스의 역할 및 뷰를 참조하십시오.
프로필 데이터 소스의 중요한 데이터 보호
기본 사용자 프로필 공급자는 프로필 데이터 소스에 저장된 값을 암호화하지 않습니다. 중요한 정보는 프로필 데이터 소스에 저장하기 전에 암호화하여 데이터 소스가 손상될 경우 이 정보가 노출되지 않도록 하는 것이 좋습니다. 프로필 속성에 값을 저장하기 전에 중요한 데이터를 암호화하거나, ProfileBase 또는 ProfileProvider 클래스를 확장하여 암호화 기능을 제공할 수 있습니다.
응용 프로그램 간에 익명 프로필 데이터 공유 차단
응용 프로그램 및 해당 응용 프로그램에 사용되는 프로필 속성에 대해 익명 ID가 사용되는 경우 익명 프로필 속성 값이 다른 응용 프로그램에 노출될 수 있다는 위험이 있습니다. 익명 ID cookiePath 특성이 여러 응용 프로그램이 포함된 경로로 설정되는 경우와 여러 응용 프로그램이 공통 도메인에 있는 경우에 이런 문제가 발생할 수 있습니다.
사용자 프로필에 익명 ID를 사용하고 응용 프로그램에서 익명 사용자를 구분하려는 경우 각 응용 프로그램에 대해 machineKey 요소에 별도의 암호화 키를 지정하고, 익명 ID 쿠키의 범위를 특정 응용 프로그램으로 설정하고, 각 응용 프로그램의 ApplicationName 속성을 서로 다른 값으로 설정하는 것이 좋습니다.
프로필을 사용하는 웹 페이지 보안
프로필 속성에 저장된 중요한 데이터로 작업하는 응용 프로그램 페이지는 표준 웹 보안 메커니즘을 사용하여 보호해야 합니다. 예를 들면 SSL(Secure Sockets Layer)을 사용할 수도 있고 사용자 정보 업데이트 또는 사용자 삭제 같은 중요한 작업을 사용자가 로그온한 상태에서만 수행할 수 있도록 설정할 수 있습니다. 또한 중요한 데이터는 쿠키에 저장하지 않아야 합니다.
서비스 거부 공격으로부터 보호
업데이트 또는 장기 실행 검색 작업을 수행하는 ProfileManager 클래스 메서드를 여러 클라이언트에서 동시에 호출하면 프로필 데이터 소스의 응답 능력이 저하될 수 있습니다. 서비스 거부 공격에 대한 응용 프로그램 노출을 줄이려면 데이터베이스 업데이트 또는 프로필 관련 검색을 수행하는 ASP.NET 페이지에 관리자 권한이 있는 사용자만 액세스할 수 있도록 허용합니다.
오류 메시지 및 이벤트
예외
중요한 정보가 노출되지 않게 하려면 응용 프로그램에서 자세한 오류 메시지를 표시하지 않거나, 응용 프로그램이 웹 서버에서 로컬로 실행되는 경우에만 자세한 오류 메시지를 표시하도록 구성합니다. 자세한 내용은 customErrors 구성 요소를 참조하십시오.
이벤트 로그
ASP.NET 프로필 기능은 기본적으로 이벤트 로그에 정보를 저장하는 ASP.NET 상태 모니터링을 사용하여 특정 오류 조건에 대한 정보를 기록합니다. 서버 컴퓨터가 Windows Server 2003을 실행 중인 경우에는 이벤트 로그를 보호하고, 이벤트 로그에 대해 간접적인 서비스 거부 공격을 방지하도록 이벤트 로그의 크기, 보존 등과 관련된 매개 변수를 설정하여 응용 프로그램의 보안을 향상시킬 수 있습니다.
추적 정보
프로필 기능과 관련된 특정 작업이 발생하면 이를 추적하여 추적 정보를 로그 파일에 저장하도록 웹 서버를 구성할 수 있습니다. 사용자 이름 같은 중요한 정보가 추적 로그 파일에 저장될 수 있으므로 추적 기능을 설정하고 추적 로그 파일의 위치를 구성하고 추적 로그 파일에 액세스할 수 있는 대상을 관리자로 제한하는 것이 좋습니다.
사용자 지정 프로필 공급자
데이터베이스 액세스에 대한 사용자 지정 프로필 공급자를 만들 경우에는 SQL 삽입 공격 등의 공격이 발생하지 않도록 최선의 보안 방법을 따르십시오. 또한 사용자 지정 프로필 공급자를 사용할 경우에는 유용한 보안 정보를 참조하여 공급자를 충분히 검토해야 합니다.