19.3 Replication Security

19.3 Replication Security

19.3.1 Setting Up Replication to Use Encrypted Connections 19.3.2 Encrypting Binary Log Files and Relay Log Files 19.3.3 Replication Privilege Checks

복제 source 서버와 replica에 저장되고 이들 사이에서 전송되는 데이터에 대한 무단 액세스를 방지하려면, Chapter 8, Security에 설명된 대로, 설치된 어떤 MySQL 인스턴스에 대해서든 선택할 보안 조치를 사용하여 관련된 모든 서버를 설정해야 합니다.

추가로, replication 토폴로지에 있는 서버의 경우 다음과 같은 보안 조치를 구현하는 것을 고려하십시오:

• binary log를 전송하기 위해 암호화된 연결을 사용하도록 source와 replica를 설정하여, 전송 중인 이 데이터를 보호합니다. 이러한 연결에 대한 암호화는, 서버를 암호화된 네트워크 연결을 지원하도록 설정하는 것에 더해, CHANGE REPLICATION SOURCE TO 문을 사용하여 활성화해야 합니다. 자세한 내용은 Section 19.3.1, “Setting Up Replication to Use Encrypted Connections”을 참조하십시오.

• source와 replica에서 binary log 파일과 relay log 파일을 암호화하여, 저장 중인 이 데이터와 binary log 캐시에서 사용 중인 모든 데이터를 보호합니다. binary log 암호화는 binlog_encryption 시스템 변수(system variable)를 사용하여 활성화합니다. 자세한 내용은 Section 19.3.2, “Encrypting Binary Log Files and Relay Log Files”을 참조하십시오.

• replication applier에 권한 검사(privilege check)를 적용하여, 특권이 있거나 원치 않는 작업의 무단 또는 실수에 의한 사용으로부터 replication 채널을 보호하도록 돕습니다. 권한 검사는 PRIVILEGE_CHECKS_USER 계정을 설정하여 구현하며, MySQL은 이를 사용해 해당 채널에 대한 각 개별 트랜잭션을 사용자가 승인했는지 확인합니다. 자세한 내용은 Section 19.3.3, “Replication Privilege Checks”을 참조하십시오.

Group Replication의 경우, binary log 암호화와 권한 검사를 replication 그룹 멤버에서 보안 조치로 사용할 수 있습니다. 또한 group 멤버 간의 연결(그룹 통신 연결과 분산 복구 연결로 구성)을 암호화하고, 신뢰할 수 없는 호스트를 제외하기 위해 IP 주소 허용 목록(allowlisting)을 적용하는 것도 고려해야 합니다. Group Replication에 특화된 이러한 보안 조치에 대한 정보는 Section 20.6, “Group Replication Security”를 참조하십시오.