SAP Concur에 대한 'Updates to File Transfer Security'에 대한 내용에 대해 정리해봄
해당 내용으로 검색을해보면 Shared: AWS FileTransfer for Clients and Vendors의 .pdf파일이 검색됨
문서의 일부분의 내용에 대해 번역한 내용이 정확하지 않을수 있지만 재정리해보면
- AWS파일전송에 관련 고객과 밴더사를 위한 가이드
- SAP Concur의 보안강화를 위한 권장사항에 대한 내용
- SSH 암호화 알고리즘에 대한 정보를 확인할수 있는 링크가 있음
- 현재 보안정책은 2020-06이고 2024년 4월16일에 2022-03으로 보안정책이 업데이트 될 예정인듯 → 보안정책에 지원하는 SFTP 클라이언트로 전환해야 한다고 함
- "보안정책에 대한 알고리즘 내용을 참고하여 SAP Concur와 사용되는 인터페이스나 기능 등이 있는 경우 확인 및 수정이 필요하다는 것 같음"
- 위 내용 외에도 여러 내용들이 존재함
해당 문서에 담긴 링크 내용을 확인해보면
- AWS Transfer Family는 AWS스토리지 안/밖으로 파일 전송할수 있는 보안전송 서비스라고 함
- AWS Transfer Family에 대한 보안정책 사용된 암호화 알고리즘에 대한 지원관련 내용
- 뭔지모르지만 CloudFormation을 사용한 Transfer Family서버 생성 후 기본보안 정책을 수락하는 고객은 자동으로 최신정책이 할당되는듯?
- 최신보안 정책으로 업데이트하는 것이 권장한다고 하며 클라이언트 호환성에 우려되는 부분에 대한 내용
- 위에서 보았던 2022-03 보안정책에 대한 TransferSecurityPolicy-2022-03 링크가 있음
- 알고리즘 유형에 관련된 내용에 대해 유의할부분
- SFTP 서버는 SshCiphers,SshKexs,SshMacs 알고리즘 사용
- FTP서버는 TisCiphers 알고리즘사용 → 근데 FTP는 암호화(알고리즘)을 사용안하다고 함?
- 아래 스크롤하면 SshCiphers,SshKexs,SshMacs 섹션에 대한 보안정책에 대한 정보를 확인할수 있음
- "각 섹션별 보안정책에 대한 표시가 되어있는데 예를들어 2020-06에서 표시된 보안정책이 2022-03에 없다면? 지원을 안하는 건가?"
SAP PO안에 Concur 보안정책의 어떤부분을 확인해야할까?
다음 처음으로 돌아가 AWS File Transfer for Clients and Vendors pdf문서의 목차를 보면 SFTP,SSH,Cipher,Security 등의 단어가 보이는데 PO-Concur 인터페이스와도 관련있어보임
AWS파일 전송 프로토콜
- 모든 계정은 SFTP(SSH)를 사용해야한다고 함 → 기타 프로토콜,인증에 대해서는 허용하지 않는듯
- 중요한 부분으로는 위에도 언급했지만 Strongest cipher를 사용할것을 권장한다고 함
- "TransferSecurityPolicy의 보안정책이 PO-Concur 인터페이스에 어떤영향을 주는지는 현재로서는 알수 없음"
인증 및 파일 전송에 대한
- AWS파일전송 DNS엔디포인트
- IP주소는 변경될수 있어 DNS endpoint를 허용되는 목록에 추가하는것을 권장한다고 함
- SFTP의 SSH 키 인증
- 컨커와 데이터 교환을 위해선 Username,SSH인증이 있는 SFTP가 필요
- 클라이언트에서는 Username이 Concur Entity ID라고 함
- key는 RSA 포맷이여야한다고 하는데 2048-4096인데 2048를 권장한다고 함
- 계정당 최대 10개의 SSH키를 허용한다고 함
- 디렉토리 구조
- 각 계정은 고유의 디렉토리로 설정 → 다른 디렉토리 이동 불가
- 모든 파일은 14일이 지나면 디렉토리에서 삭제된다고 함
- 컨커에 업로드 되는 파일은 SAP Concur PGP공개 키인 concursolutionsrotate.asc.asc로 암호화해야한다고 함.
- /in 디렉토리에는 처리가 필요한 암호화된 파일이 업로드가 됨
- /out 디렉토리에는 컨커에서 생성한 PGP키로 암호화되어 적재됨
- 사례
- 타임아웃은 파일 전송 후 연결을 닫고 연결이 장시간 지속되는 경우 타임아웃발생
- 폴링은 컨커에 반복적으로 인증하는 경우 서비스가 거부되며 성능에 안좋은 영향을 주며 연결은 시간당 두번을 권장한다고 함
- 파일이름을 바꾸지말라고 하며 동일한 파일명을 반복해서 업로드 하지 말라고 함
파일형식
- 텍스트 파일 업로드는 ASCII나 UTF-8로 인코딩 필요
- 파일크기는 1GB 비압축 데이터를 초과할수 없다고 함
- 파일 네이밍은 파일타입,엔티티ID 등 기존형식으로 날짜/시간이 사용되며 파일이름에 공백은 허용되지 않는다고 함
PGP키
- 모든파일은 PGP암호화가 필요하며 컨커→ /out 디렉토리로 전달되는 파일은 PGP키로 암호화된다고 함
- 컨커 테스트나 운영계정에 대해 하나의 클리이언트에 키를 지원한다고 함
- PGP키는 OpenPGP를 사용하여 PGP 공개 키를 version4 형식
- 키는 RSA이며 서명과 암호화는 2048를 권장하고 생성 시 기본 GnuPG옵션이라고 함
- 공개 서명 키와 암호화 하위 키가 있어야한다고 함
- 키가 만료일이 되기전에 새 PGP키를 생성하여 파일전송이 중단되지 않게 해야하며 만료일이 없는 키를 지원한다고 함
- 다시한번 Strong security posture에 대한 강조(매우중요한듯)
- 클라이언트 관점에서 새 PGP키를 제공 시
- SAP Concur지원 포털에서 pgp키를 요청
- pgp 공개 키 파일을 컨커담당자한테 첨부하여 보냄
- 만료날짜가 다가오는 키에 대한 교체는 컨커 작업은 아닌듯
결론
"이정도 내용을 보면서 느낀건 예를들어 Concur-PO 간 SFTP-PGP로 연계하는 인터페이스가 존재하는경우 해당 인터페이스에서 사용되는 암호화 알고리즘을 확인이 필요한것 같은데 대체 위에 암호정책의 내용가지고 PO PGP어디에 설정되어있는 것을 확인을 해야하는지 아직 이해못함"
"SAP PO의 ESR의 SFTP ADAPTER > SFTP 어댑터메타데이터나 SFTP+PGP 송,수신 채널정보를 봐도 암호정책내용을 확인할수 없었음"
내용을 보면
"SAP Concur-AWS Transfer Family SFTP 컨넥터 간에 SFTP 구성으로 보이는데 SFTP컨넥터는 SFTP프로토콜을 사용하여 Amazone스토리지와 외부 파트너간 파일/메시지 전송하기 위한 설정이라고함"
"SAP Concur에서의 'Updates to File Transfer Security' 메시지는 컨커-PO간 SFTP+PGP모듈 인터페이스로 인해 발생되는 메시지는 아닌듯하고 보안정책에 대해서도 PO의 영향도는 없는 것 같음"
댓글 없음:
댓글 쓰기