모바일 GIS를 사용하면 유연성과 더불어 엔터프라이즈 GIS의 일부로 도움이 되는 기능을 얻을 수 있습니다. 보안은 진화하는 모바일 환경에서 데이터의 기밀성, 무결성, 가용성이 유지관리되도록 보장하는 데 중요한 역할을 합니다. 이 항목은 엔터프라이즈 GIS의 일부로 모바일에 특화된 위험을 완화하기 위한 일부 모범 사례 권장 사항에 대해 설명합니다.
모바일 배포의 보안 정책을 향상시키기 위한 일반적인 모바일 보안 권장 사항과 기능이 아래에 나와 있습니다. 모바일 위험과 완화 전략에 대한 포괄적인 목록은 OWASP 모바일 상위 10을 참고하세요.
엔터프라이즈 MDM(Mobile Device Management) 솔루션은 더 안전한 모바일 정책 시행을 위한 뛰어난 시작점입니다. MDM은 기관 내의 모바일 기기 운영 솔루션입니다. 이 솔루션은 일반적으로 모바일 기기에 대한 기능 및 보안 관리의 중앙 집중화와 최적화를 지원하는 소프트웨어와 함께 적용됩니다. 해당 소프트웨어에는 일반적으로 관리 명령을 수신하고 실행하기 위한 클라이언트 컴포넌트가 포함된 모바일 기기에 관리 명령을 보내는 서버 컴포넌트가 포함되어 있습니다.
MDM 솔루션에는 일반적으로 다음과 같은 기능이 포함되어 있습니다.
- 기기 모니터링, 재부팅, 암호화
- 비밀번호 정책 적용, 비밀번호 재설정
- 미리 정의된 WiFi 설정/가상 사설망(VPN) 구성
- 잠금 및 지우기 기능 제거
- 백업 설정 적용
- 탈옥 감지
MAM(Mobile Application Management)는 모바일 기기에 대한 추가 수준의 보안을 제공합니다. 즉, 기기에서 개별 앱에 대한 접근을 프로비저닝하고 제어하는 소프트웨어 및 서비스를 사용합니다. 관리자는 이를 통해 응용프로그램 수준에서 보다 세부적인 제어 기능으로 앱 데이터를 관리하고 보호할 수 있습니다. MDM 소프트웨어 솔루션은 해당 기능의 일부로 MAM 기능을 포함할 수 있습니다.
Esri는 MDM 소프트웨어 개발 키트(SDK)를 사용하여 앱을 다시 생성해야 하는 MDM 중심 MAM 제품이 일반적으로 잘 작동하지 않는 것을 관측했습니다. Esri에는 MDM SDK를 통합할 필요가 없는 MAM 제품을 사용하는 일부 고객이 있습니다. Esri는 해당 제품의 수명 주기 지원 범위 내에서만 나열된 릴리즈 스토어 버전에 대한 지원을 제공합니다.
더 자세한 정보를 위해 Esri 소프트웨어 보안 및 개인정보보호 팀은 IT 및 GIS 관리자가 모바일 필드 컴포넌트로 엔터프라이즈 GIS를 배포하는 데 도움이 되는 ArcGIS 보안 모바일 구현 패턴 기술 백서를 릴리즈했습니다.
인증
인증은 연결 시도에서 인증서를 검증하여 클라이언트 ID를 확인하는 것과 관련이 있습니다. GIS 서비스에 접근하려면 인증이 활성화되었는지 확인하세요. 모바일 보안 게이트웨이가 존재하는지 또는 기존 가상 사설망(VPN)을 모바일 기기에 활용할 수 있는지와 같이, 엔터프라이즈에서 사용할 수 있는 기능에 따라 모바일에 특화된 몇 가지 잠재적인 옵션이 있습니다. 이러한 옵션은 다음과 같습니다.
- IWA(Integrated Windows Authentication) - Windows 기반 환경에 SSO(Single-Sign On) 환경을 제공하는 Kerberos(사용할 수 없는 경우 NTLM)를 사용합니다.
- 토큰 기반 인증 - ArcGIS에서 인증을 제공하는 ArcGIS 토큰을 사용합니다.
- SAML 2.0 또는 OpenID Connect를 사용한 기관별 인증 - 고객은 ArcGIS Online 또는 ArcGIS Enterprise를 통해 웹 SSO(Single-Sign On) 환경을 제공하는 SAML 2.0 또는 OpenID Connect를 사용할 수 있습니다.
인증
인증은 리소스에 접근하거나 특정 기능을 수행하기 전에 클라이언트 권한을 확인하는 프로세스입니다. 역할 및 최소 권한 원칙을 기반으로 사용자에게 권한을 할당해야 합니다. 모바일의 경우 이는 다른 수준에서 가능할 수 있습니다.
- Administrator, Publisher, User와 같이 ArcGIS에서 사용할 수 있는 역할 내에서 적절하게 인증을 관리합니다.
- EMM 수준에서는 큰 응용프로그램 수준의 인증과 프로비저닝을 사용합니다.
암호화
암호화는 암호 해독 키에 접근하지 않으면 데이터를 읽을 수 없도록 해당 데이터를 변환하는 프로세스입니다.
- 엔터프라이즈 GIS에서 전송 중인 데이터 암호화에는 HTTPS가 필요합니다.
- 모바일 기기에서 휴면 중인 데이터를 암호화합니다. 다음을 사용하여 기술적으로 적용할 수 있습니다.
- 엔터프라이즈 MDM
- Microsoft Exchange를 사용하는 경우 MS Exchange ActiveSync
로깅 및 감사
로깅은 시스템에서 관심 이벤트 기록과 관련됩니다. 감사는 시스템이 적절하게 작동하는지 확인하거나 발생한 특정 트랜잭션에 대한 질문에 답변하기 위해 해당 로그를 조사하는 사례입니다. 로깅 및 감사는 모바일에 대하여 다음 수준에서 사용할 수 있습니다.
- EMM(Enterprise Mobility Management) 솔루션에서 사용한 기기 수준
- 특정 사용자 트랜잭션 로깅을 통한 응용프로그램 수준
이 결과가 기업형 SIEM(Security Information and Event Management)에 반영되어야 자동 로그 데이터 상관관계 파악을 촉진하고 악성 활동 활동을 감지할 수 있도록 도울 수 있습니다.
강화
강화는 가능한 많은 보안 위험을 완화시키기 위해 시스템을 안전하게 구성하는 프로세스입니다. 다음을 수행하여 모바일 배포에 대한 공격을 최소화할 수 있습니다.
- 서버 엔드포인트 강화
- MAM(Mobile Application Management) 솔루션을 사용하여 응용프로그램을 제한합니다.
- 서버 측 보안은 OWASP 모바일 상위 10의 모바일 위험 1위입니다.
- 기업 모범 사례에 맞게 조정된 표준 서버 강화 권장 사항을 따르세요.