코드 서명이 환경을 보호하는 방법

코드 서명이 없으면 레코드에 대한 ServiceNow 액세스 권한을 얻은 공격자는 보호된 인스턴스에서 SQL 문을 수정할 수 있습니다. MID 서버가 이 데이터 소스 요청을 처리할 때 악의적인 SQL 명령을 실행하여 시스템 무결성과 보안을 손상시킬 수 있습니다.

코드 서명을 사용하여 신뢰서클 아키텍처를 구현하는 경우 MID 서버로의 데이터 전송은 다음 확인 프로세스를 따릅니다. 이 프로세스는 신뢰할 수 있는 인스턴스에서 시작된 승인된 코드만 MID 서버에서 실행할 수 있는지 확인하는 데 도움이 됩니다. 이 프로세스는 시스템을 손상시킬 수 있는 잠재적인 공격 벡터를 줄입니다.

1. 디지털 서명은 신뢰할 수 있는 인스턴스 내에서 생성되거나 업데이트된 데이터 소스에 적용됩니다.
2. 코드 서명 프로세스를 사용하여 신뢰할 수 있는 인스턴스에서 보호된 인스턴스로 서명된 데이터를 전송합니다.
3. MID 서버는 모든 수신 요청에서 디지털 서명을 확인하여 유효한 서명이 없는 요청은 자동으로 거부합니다.
4. MID 서버가 요청을 거부하면 이 거부를 기록하고 보호된 인스턴스로 알림을 보냅니다.

코드 서명 구현의 이점

코드 서명은 다음과 같은 몇 가지 주요 이점을 제공합니다.

실행 제어

암호로 확인된 스크립트만 MID 서버에서 실행할 수 있습니다.

변조 탐지

서명된 레코드에 대한 수정 사항은 즉시 식별되고 차단됩니다.

자동화된 보호

시스템은 수동 개입 없이 보안 적용을 처리합니다.

포괄적인 로깅

모든 서명 검증 실패는 상세한 감사 기록을 생성합니다.

코드 서명 확인 및 작업

유효한 구성이 있는 모든 메타데이터 테이블은 com.glide.code_signing(코드 서명 메타데이터 플러그인)을 사용하여 빌드 시 서명됩니다. 이 플러그인을 설치하면 트루업된 ServiceNow® Store 애플리케이션 버전의 모든 관련 기록에 대한 빌드 시간 서명이 포함된 코드 서명 OOB 앱 서명 플러그인(com.glide.code_signing.oob_apps_signatures)이 자동으로 설치됩니다. 테이블에 서명하도록 선택하면 보안 관리자 역할이 있는 관리자 사용자가 코드 서명 작업에 액세스할 수 있습니다.

업데이트 세트 서명

이 작업은 업데이트 세트의 서명 구성과 일치하는 기록에 서명합니다. 또한 이 작업은 모든 새 서명 기록과 검증 인증서를 업데이트 세트에 추가합니다.

주:

이번 릴리스에서는 Australia 스크립트 포함 및 비즈니스 규칙 기록이 새로운 '와일드카드 목적'을 사용하여 서명됩니다. 이렇게 하면 이전에 비어 있던 목적 값이 대체됩니다. 이렇게 변경하면 이러한 기록을 많이 처리할 때 임포트 경고와 수동 개입이 제거됩니다. 와일드카드 용도의 서명 구성은 이미 미리 정의되어 있으므로 생성하거나 업데이트할 수 없습니다. 이 값은 스크립트 포함 및 비즈니스 규칙에만 예약되어 있으며 다른 테이블에는 예약되지 않습니다. 다른 곳에서 사용하려고 하면 오류가 발생합니다.

대량 서명 기록

이 작업은 특정 메타데이터 테이블에 적용된 서명 구성과 일치하는 모든 기록에 서명합니다.

대량 서명 첨부 파일

이 작업은 지정된 서명 구성과 일치하는 테이블에 첨부된 모든 첨부 파일 기록에 서명합니다.