서버 측 보안이라고도 하는 백엔드 보안은 서버, 서버 측 코어, 데이터베이스, API 엔드포인트를 포함한 웹 애플리케이션의 백엔드 구성요소를 위협과 취약점으로부터 보호하기 위해 사용되는 방법을 의미합니다. 보안은 비공개 고객 데이터의 기밀성, 무결성, 가용성을 보장하기 때문에 웹 애플리케이션 개발의 필수 요소입니다.
서비스로서의 백엔드 제품을 사용할 때의 이점 중 하나는 많은 위협 관리 작업이 자동으로 수행된다는 점입니다. 그러나 잘못된 사용자 권한을 설정하는 등의 방식으로 가장 안전한 백엔드도 안전하지 않게 만들 수 있습니다.
콘텐츠 기반 웹 애플리케이션을 개발할 때는 프로그래밍 기술, 구성 및 설정 권장사항, 도구, 인프라, 서비스를 활용하여 잠재적 위협이나 위험을 완화해야 합니다. OWASP 상위 10개에서는 현재 및 새로운 웹 애플리케이션 보안 위험과 Google Cloud에서 이러한 위험을 완화하는 방법에 대한 개요를 제공합니다.
웹 애플리케이션 방화벽
Google Cloud Armor와 같은 웹 애플리케이션 방화벽 (WAF)은 일반적인 웹 취약점 및 공격을 비롯한 다양한 온라인 위협으로부터 웹 애플리케이션을 보호하도록 설계된 보안 솔루션입니다. 외부 요청과 내부 시스템 사이의 레이어 역할을 하며 외부 트래픽이 수신되는 부하 분산 또는 엔드포인트에서 직접 통합되는 경우가 많습니다. 트래픽을 허용하거나 거부하는 보안 정책을 기반으로 수신 요청을 모니터링하고 분석하여 악의적인 요청 및 잠재적인 위협을 차단합니다. WAF는 웹 애플리케이션을 위한 포괄적인 보안 전략을 수립하기 위해 정기적인 보안 테스트, 보안 코딩 관행, 네트워크 보안 제어를 비롯한 다른 보안 조치와 함께 사용되는 경우가 많습니다. 많은 클라우드 제공업체가 웹 애플리케이션 호스팅 환경에 통합할 수 있는 WAF 서비스를 제공합니다.
Google Cloud Armor를 설정하여 백엔드 보안을 강화하는 방법 자세히 알아보기
수신 트래픽의 프록시 레이어
수신 프록시 레이어(리버스 프록시라고도 함)는 클라이언트 요청과 웹 서버, 애플리케이션, 서비스 사이에 위치하는 네트워크 보안 구성요소입니다. 뒤에 있는 서버를 대신하여 중개자 역할을 하여 수신 요청을 처리합니다. 또한 보안, 부하 분산, 캐싱, 라우팅을 비롯한 여러 가지 이점을 제공합니다.
관리형 프록시 (또는 퍼사드) 레이어는 조직의 프록시 서버의 배포, 유지보수, 운영을 감독하는 서드 파티 제공업체 또는 관리형 서비스에 아웃소싱되는 네트워크 인프라 구성요소를 의미합니다. 관리형 프록시 레이어는 네트워크 보안을 강화하고 성능을 최적화하며 추가적인 네트워킹 기능을 제공합니다. 관리형 프록시 레이어를 활용하면 네트워킹 구성요소와 관련된 운영 및 관리 책임을 오프로드하여 사내 IT팀의 부담을 줄일 수 있습니다. 이러한 서비스는 종종 확장 가능하며 특정 보안 또는 규정 준수 요구사항을 충족하도록 맞춤설정할 수 있습니다.
예를 들어 외부에서 액세스할 수 있는 API의 경우 Apigee는 클라우드 기반 API 관리 플랫폼입니다. 이 플랫폼은 트래픽이 백엔드에 도달하기 전에 트래픽을 관리하고 요청을 격리하며 보안 정책을 시행하는 기능을 제공합니다.
서비스 권장사항
애플리케이션에서 사용 중인 서비스의 보안 권장사항을 고려하고 권장사항을 따르세요. 예를 들어 Cloud Run의 경우 요청을 인증하고 클라우드 리소스를 보호해야 합니다. Cloud SQL의 경우 데이터 구성, 설계, 관리를 위한 권장사항을 따르세요.
보안 비밀 관리자와 같은 보안 비밀 관리 시스템은 API 키, 인증서, 암호화 키와 같은 애플리케이션의 보안 비밀에 대한 보안 저장소, 관리, 액세스를 처리합니다. 이러한 서비스는 커넥터를 통해 다른 백엔드 서비스에 연결할 수 있으므로 백엔드 시스템에서 보안 비밀에 안전하게 액세스할 수 있습니다.
백엔드에서 다른 API, SDK 또는 서비스를 사용하는 경우에도 해당 권장사항을 조사하고 따르세요. 예를 들어 Google Maps Platform 서비스를 사용하는 경우 API 키 처리 및 애플리케이션 보호를 위한 권장사항을 따르세요.
액세스 로깅 및 감사를 비롯한 모니터링과 알림도 고려해야 할 중요한 요소입니다.
Google Cloud 보안 권장사항은 보안 아키텍처 및 앱 설계에 대한 일반적인 청사진과 개요를 제공합니다. Security Command Center에는 잘못된 구성, 취약점, 기타 위험을 식별하는 자동화된 도구 등 Google Cloud의 보안 및 위험 관리를 위한 도구 모음이 포함되어 있습니다.
개발 권장사항
백엔드를 구현하는 데 사용하는 프레임워크 및 언어에 대한 권장사항을 따릅니다. 대부분의 웹 프레임워크에는 게시된 가이드와 권장사항이 있습니다.
잠재적 문제를 식별하는 데 도움이 되도록 개발 또는 빌드 파이프라인의 일부로 자동 분석 도구를 사용하는 것이 좋습니다.
OWASP 웹 보안 테스트 가이드는 특히 웹 애플리케이션을 대상으로 하는 테스트 프레임워크를 제공합니다.