전송 레벨에서 웹 서비스 애플리케이션 보안

전송 레벨 보안은 HTTP 인터넷 및 인트라넷 통신을 보안하기 위해 종종 사용되는, 잘 알려진 메커니즘입니다. 전송 레벨 보안을 사용하여 웹 서비스 메시지를 보안할 수 있습니다. 전송 레벨 보안 기능은 메시지 레벨 보안(WS-Security) 또는 HTTP 기본 인증에서 제공하는 기능과 독립되어 있습니다.

시작하기 전에

메시지 레벨 보안(WS-Security), 전송 레벨 보안 또는 둘의 조합을 사용할 수 있습니다. 다음 예제는 공통 사용 시나리오지만, 가능한 모든 시나리오의 모든 목록이 아닙니다.
  • 웹 서비스 애플리케이션에서 보안이 중요한 경우 메시지 레벨 보안을 사용합니다. HTTP 기본 인증은 보안 엔드포인트에 대해 서비스 클라이언트를 인증할 때 사용자 이름 및 비밀번호를 사용합니다. 기본 인증은 SOAP 메시지를 수반하는 HTTP 요청에서 인코딩됩니다. 애플리케이션 서버가 HTTP 요청을 수신하면 사용자 이름 및 비밀번호를 검색하고 서버에 특정한 인증 메커니즘을 사용하여 확인합니다.
    중요사항: 메시지 레벨 보안을 사용할 때 기본 아웃바운드 SSL(Secure Sockets Layer) 443 포트를 사용하지 않는 경우 SSL에 대한 동적 아웃바운드 엔드포인트가 구성에 맞게 적절히 구성되었는지 확인하십시오.
  • 전송 레벨 보안을 사용하여 기본 인증을 사용하십시오. 메시지 레벨 보안과는 독립적으로 전송 레벨 보안을 사용하거나 사용하지 않을 수 있습니다. 전송 레벨 보안은 최소의 보안을 제공합니다. 웹 서비스가 다른 웹 서비스에 대한 클라이언트인 경우 이 구성을 사용할 수 있습니다.
  • 인증을 위해 HTTP 기본 인증 및 기밀성과 무결성을 위해 SSL을 사용합니다.
  • 인증을 위해 WS-Security 및 기밀성과 무결성을 위해 SSL을 사용합니다. 예를 들어, 사용자 이름 토큰 또는 LTPA 토큰을 인증에 사용할 수 있습니다.
  • 기밀성, 무결성, 신뢰성 모두에 대해 WS-Security를 사용합니다.

이 태스크 정보

전송 레벨 보안은 SSL(Secure Sockets Layer) 또는 HTTP에서 실행되는 TLS(Transport Layer Security)에 기반합니다. 가장 많이 사용되는 인터넷 통신 프로토콜인 HTTP는 현재 웹 서비스에서 가장 많이 사용되는 프로토콜이기도 합니다. HTTP는 내재적으로 안전하지 않은 프로토콜입니다. 모든 정보가 보안되지 않은 네트워크를 통해 인증되지 않은 피어 사이에서 일반 텍스트로 전송되기 때문입니다. HTTP를 보안하기 위해 전송 레벨 보안을 적용할 수 있습니다.

전송 레벨 보안을 사용하여 웹 서비스 메시지를 보안할 수 있습니다. 그러나 전송 레벨 보안 기능은 WS-Security 또는 HTTP 기본 인증에서 제공하는 기능과 독립적입니다.

SSL 및 TLS는 보안 HTTP 연결을 위한 인증, 데이터 보안, 암호 토큰 지원을 포함하는 보안 기능을 제공합니다. HTTPS와 함께 실행하려면 서비스 포트 주소는 https:// 양식이어야 합니다. SSL 및 TLS를 사용할 때 SOAP 메시지와 HTTP 기본 인증을 포함하여 전송 데이터의 무결성과 기밀성을 확인합니다.

[AIX Solaris HP-UX Linux Windows]웹 서비스 애플리케이션은 보다 안전한 TLS 연결에 대해서도 FIPS(Federal Information Processing Standard)에서 승인한 암호를 사용할 수 있습니다.

WebSphere® Application Server는 JSSE(Java™ Secure Sockets Extension) 패키지를 사용하여 SSL 및 TLS를 지원합니다.

이 태스크는 다른 웹 서비스 서버에 대한 클라이언트 역할을 하는 웹 서비스의 HTTP 아웃바운드 전송 레벨 보안을 구성할 수 있는 여러 방법 중 하나입니다. 또한 어셈블리 도구 또는 Java 특성을 사용하여 HTTP 아웃바운드 전송 레벨 보안을 구성할 수 있습니다. HTTP 아웃바운드 전송 레벨 보안을 구성하지 않으면, 웹 서비스 런타임은 유효한 SSL(Secure Sockets Layer) 구성을 위해 WebSphere 제품에서 Java EE(Java Enterprise Edition) 보안 런타임을 따릅니다. WebSphere 제품에서 Java EE 보안 런타임을 사용하는 SSL 구성이 없으면 JSSE(Java Secure Socket Extension) 시스템 특성이 사용됩니다.

웹 서비스 애플리케이션에 대한 추가 HTTP 전송 특성을 정의할 수 있습니다. 추가 특성을 사용하여 HTTP 아웃바운드 연결의 연결 풀을 관리하고, HTTP 메시지의 컨텐츠 인코딩을 구성하고, HTTP 지속적 연결을 사용하고, 제한시간을 초과할 때 HTTP 요청을 재전송합니다.

프로시저

  1. 웹 서비스 애플리케이션을 개발 및 어셈블하십시오.
    1. 어셈블리 도구를 사용하여 애플리케이션에 대한 HTTP 아웃바운드 전송 레벨 보안을 구성 및 어셈블할 수 있습니다.
  2. 애플리케이션를 배치하십시오.
    1. 웹 서비스 애플리케이션 배치에 대한 자세한 정보는 웹 서비스 배치를 참조하십시오.
  3. 애플리케이션에 대한 전송 레벨 보안을 구성하십시오.
    1. 다음 방법 중 하나를 사용하여 HTTP 아웃바운드 전송 레벨 보안을 구성하십시오.
      • 관리 콘솔을 사용하여 HTTP 아웃바운드 전송 레벨 보안을 구성하십시오.
      • Java 특성을 사용하여 HTTP 아웃바운드 전송 레벨 보안을 구성하십시오.
  4. 웹 서비스 애플리케이션에 대한 추가 HTTP 전송 특성을 정의하십시오.
    1. 다음 방법 중 하나를 사용하여 추가 HTTP 전송 특성을 정의하십시오.
      • 관리 콘솔의 JVM 사용자 정의 특성 패널을 사용하여 추가 HTTP 전송 특성을 구성하십시오.
      • 어셈블리 도구를 사용하여 추가 HTTP 전송 특성을 구성하십시오.

결과

이 단계를 완료하여 전송 레벨에서 웹 서비스 애플리케이션을 보안합니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_secwsaatl
파일 이름:twbs_secwsaatl.html