제품 여행

데이터 베이스 접근 제어와 CUBRID

by 윤준수 posted Aug 23, 2020

데이터 베이스 서비스/운영 환경에서는 데이터의 손실을 근본적으로 차단하기 위한 여러가지 솔루션이 있습니다.

그 중 대표적인 솔루션인 데이터 베이스 접근 제어가 어떻게 CUBRID와 연동 되는지에 대해 기술하였습니다.

 

 

CUBRID 접속 환경


CUBRID 데이터 베이스의 접근하는 기본적으로 2가지 형태 입니다. (환경에 따라 다를 수 있습니다.)

스크린샷, 2020-08-23 00-05-36.png

데이터 베이스 개발자 또는 관리자를 위한 경우
- IDE, Manager 툴을 사용하여, CUBRID 사용, 관리

 

 

스크린샷, 2020-08-23 00-05-28.png

CUBRID 데이터베이스를 활용하여, 애플리케이션을 서비스 하기 위한 경우
- 웹 서비스를 위한 WAS 사용, 별도의 애플리케이션 사용

CUBRID는 데이터베이스의 연결 전 BROKER 서버의 PORT로 접속 하여, 데이터베이스와 연결 됩니다.

브로커 포트 확인 하기

- 현재 설정 된 값은 기본 설정 값으로 환경 설명을 위한 정보 입니다. 구성 시 변경 가능 합니다.

- query_editor(TCP_30000) 개발 및 관리자용 / broker1(TCP_33000) 서비스용

cubrid@host1$ cat $CUBRID/conf/cubrid_broker.conf

 

[broker]
MASTER_SHM_ID           =30001
ADMIN_LOG_FILE          =log/broker/cubr
id_broker.log

 

[%query_editor]                                         -- 브로커 명
SERVICE                 =ON
SSL            =OFF
BROKER_PORT             =30000                          -- 브로커 PORT(TCP)
MIN_NUM_APPL_SERVER     =5
MAX_NUM_APPL_SERVER     =40
APPL_SERVER_SHM_ID      =30000
LOG_DIR                 =log/broker/sql_log
ERROR_LOG_DIR           =log/broker/error_log
SQL_LOG                 =ON
TIME_TO_KILL            =50
SESSION_TIMEOUT         =60
KEEP_CONNECTION         =AUTO
CCI_DEFAULT_AUTOCOMMIT  =ON

 

[%BROKER1]                                              -- 브로커 명
SERVICE                 =ON  
SSL            =OFF
BROKER_PORT             =33000                          -- 브로커
PORT(TCP)
MIN_NUM_APPL_SERVER     =20
MAX_NUM_APPL_SERVER     =40
APPL_SERVER_SHM_ID      =33000
LOG_DIR                 =log/broker/sql_log
ERROR_LOG_DIR           =log/broker/error_log
SQL_LOG                 =ON
TIME_TO_KILL            =50
SESSION_TIMEOUT         =60
KEEP_CONNECTION         =AUTO
CCI_DEFAULT_AUTOCOMMIT  =ON

 

데이터 베이스 접근제어


CUBRID와 대표적으로 연동 되는 데이터 베이스 접근 제어 방식 중 GATEWAY(Proxy) 방식에 대해 설명 합니다.

대표적인 국내 데이터 베이스 접근제어 솔루션

 

DB-i (SOMANSA - https://www.somansa.com/)

스크린샷, 2020-08-23 00-30-34.png

 

 

 

PETRA (SINSIWAY - http://www.sinsiway.com/)

스크린샷, 2020-08-23 00-30-29.png

 

ChakraMax (WareValley - https://www.warevalley.com/)

스크린샷, 2020-08-23 00-30-43.png

 

DBSAFER DB (PNP SECURE - https://www.pnpsecure.com/)

스크린샷, 2020-08-23 00-30-38.png

 

 

 

CUBRID와 DB 접근 제어 연동


스크린샷, 2020-08-23 00-23-01.png

대부분 솔루션들이 동일한 패턴으로 사용 됩니다.

Client 또는 WAS/APP(이하: 사용자) DB 접근 제어 솔루션 Agent(이하: Agent)가 설치가 된 상황

사용자는 CUBRID 데이터 베이스(브로커) 서버로 연결을 요청하게 되면, Agent가 연결 PORT를 변경하여, DB 접근 제어로 패킷을 보내게 됩니다.

DB 접근 제어 GATEWAY는 감사, 정책을 확인하고 CUBRID 데이터 베이스로 정상 PORT로 변경 하여 송신합니다.

 

아래는 간단한 예시 입니다.

1. 사용자가 TCP_30000으로 CUBRID 연결 시도

2. Agent에 의해 TCP_9292 변경 하며, DB 접근 제어 GATEWAY로 패킷 송신

3. DB 접근제어 GATEWAY는 Agent로 수신 받은 패킷에 담긴 데이터를 분석하여 감사 및 정책 적용을 수행 합니다.

4. 정상적인 연결, SQL, 정책에 어긋나지 않는 데이터 일 경우 TCP_9292로 받은 패킷을 TCP_30000으로 수정하여, CUBRID 서버에 송신 합니다.

 

확인 사항

- 솔루션 마다 변경 되는 PORT가 다름.

- 솔루션 마다 고유한 기능, 정책, 감사 기능이 다름

- DB 접근 제어 솔루션을 연동 한다하더라도 CUBRID에서 변경해야할 설정은 없음.

- 해당 정보는 CUBRID에 종속된 정보이며, 타DBMS와 다를 수 있습니다.

DB 접근 제어 솔루션을 CUBRID와 연동할 시 주의할 점


크게 세가지만 기억하시면 됩니다.

1. Client 단에 설치 된 DB 접근 제어 솔루션 Agent 프로그램이 사용 PORT를 변경 한다.

2. 변경 된 PORT는 데이터 베이스로 바로 가는 것이 아니라 DB 접근 제어 솔루션 서버로 전송 된다.

3. DB 접근 제어 솔루션 서버에서 감사, 정책 등 진행이 되면 정상 PORT로 패킷을 수정하여, CUBRID 데이터 베이스 서버로 송신한다.

위 3가지 사항에서 주의할 점은 방화벽 오픈을 2번 해주어야 합니다.

 

기존 (CUBRID 연결 시 TCP_30000 사용)

1) User or Server <---> CUBRID : TCP_30000 open

 

DB 접근 제어 사용 시 (CUBRID 연결 시 TCP_30000 사용)

1) User or Server <---> DB 접근 제어 GATEWAY  : TCP_9292(솔루션 마다 다름, 설명을 위한 임의의 PORT)

2) DB 접근 제어 GATEWAY <---> CUBRID : TCP_30000 open

 

마치며.


도입 전,

- 운영/서비스 환경에 DB 접근 제어 솔루션을 도입 예정이라며, 솔루션 업체에 CUBRID의 버전과 호환 여부에 대해 문의를 해보시고 지원 가능 여부 확인

- DB 접근 제어 솔루션에서 사용 되는 PORT 정보 확인

 

도입 후,

- 위와 같은 환경을 이해하지 못한 상황이라면, CUBRID 연결이 끊어지거나 간단한 SQL이 수행 되지 않을 수 있습니다.

- 이슈를 가장 간단하게 처리할 수 있는 방법은 동일한 SQL을 java나 python과 같은 코드로 작성하여 CUBRID 서버에서 직접 수행 해보시기 바랍니다.