서비스 및 애플리케이션 계층
서비스 및 애플리케이션 계층은 BioStar X의 소프트웨어 구성 요소와 런타임 환경을 보호하는 데 중점을 둡니다.
서비스에 최소 권한 원칙 적용
-
로컬 시스템 계정 또는 Administrator 계정 대신 전용 서비스 계정으로 BioStar X 서비스를 실행하세요.
-
필요한 최소 권한(서비스로 로그온, 특정 디렉터리 읽기/쓰기)만 부여하세요.
-
가능하다면 각 BioStar X 서비스 구성 요소에 별도 계정을 사용하세요.
단계별 안내
-
BioStar X 서비스를 위한 전용 로컬 사용자 계정을 생성하세요.
-
서비스(
services.msc)를 열고 BioStar X 서비스를 마우스 오른쪽 버튼으로 클릭한 후 속성 → 로그온 탭을 선택하세요. -
전용 계정을 할당하세요.
-
파일 시스템 액세스 제어 목록(ACL)을 적용해 해당 계정이 필요한 디렉터리에만 접근할 수 있도록 설정하세요.
-
해당 계정에 대한 대화형 로그온 권한을 거부하세요.
여러 서비스 간에 계정을 공유하면 침해 감사가 어려워집니다.
보안 애플리케이션 구성 파일
-
시크릿 정보(예: 데이터베이스 연결 문자열, API 키)가 포함된 구성 파일에 대한 접근을 제한하세요.
-
지원되는 경우 Windows 데이터 보호 API(DPAPI) 또는 Key Vault 솔루션을 사용하세요.
-
시크릿 정보는 바이너리 파일과 별도로 저장하고 하드 코딩을 피하세요.
암호화 키 파일 보호 (util/ 디렉터리)
-
BioStar X 서비스 계정만 읽기 권한을 갖도록 NTFS 권한을 제한하세요.
-
일반 사용자 및 대화형 로그인에 대한 접근을 차단하세요.
-
업그레이드 전에
util/디렉터리를 오프라인 저장소에 안전하게 백업하세요.
암호화 키 파일을 분실하거나 손상되면 데이터 손실 또는 무단 복호화가 발생할 수 있습니다.
모범 사례
저장된 시크릿 정보(예: 데이터베이스 암호, API 키)를 주기적으로 교체하세요.
애플리케이션 런타임 구성 요소 유지
-
BioStar X와 종속 런타임 구성 요소(예: Visual C++ 재배포 가능 패키지)를 최신 상태로 유지하세요.
-
패치 관련 벤더 공지 사항을 구독하세요.
-
다운타임을 방지하기 위해 업데이트 절차를 문서화하세요.
애플리케이션 허용 목록
-
Windows Defender 애플리케이션 제어(Windows Defender Application Control, WDAC) 또는 AppLocker를 사용하여 신뢰할 수 있는 바이너리만 허용하세요.
-
임시 디렉터리(예:
%TEMP%,%APPDATA%)에서의 실행을 차단하세요.
단계별 안내
-
로컬 보안 정책을 실행하고 응용 프로그램 제어 정책 → AppLocker로 이동하세요.
-
실행 파일, 스크립트 및 DLL 경로에 대한 규칙을 정의하세요.
-
서명된 BioStar X 바이너리를 허용하세요.
-
사용자가 쓰기 권한이 있는 디렉터리에서의 실행을 거부하세요.
-
먼저 감사 모드로 배포하여 테스트하고 적용하세요.