안녕하세요. 이번 시간에는 네이버 클라우드에서 TLSv1.2 이상으로만 제한하려면 어떻게 해야 하는지 알아보도록 하겠습니다. 1. 개요요즘 정부·감사기관·고객사 보안점검에서 TLS 1.2 미만 차단(즉 TLSv1.2 이상만 허용) 요구가 빈번합니다. 인프라 구성(콘텐츠 전송, 경계장비, 로드밸런서, 웹서버)에 따라 설정 위치와 우선순위가 달라집니다. 이 글은 CDN → WAF → LB → WEB(애플리케이션 서버) 관점으로 TLS 정책을 정리하고, NCP(네이버 클라우드) 환경에서 실제로 어떤 점을 확인·조치해야 하는지 단계별로 초안 형식으로 정리한 것입니다. 2. 왜 TLS 버전 제한이 필요할까요?1. 취약성 제거TLS 1.0/1.1은 이미 오래된 암호화 방식으로 여러 취약성이 보고되어 실무에서 퇴출 ..

안녕하세요. 이번 시간에는 AWS에서 Route 53 레코드 마이그레이션 방법에 대한 가이드를 작성하도록 하겠습니다. 1. 개요DNS는 인터넷의 전화번호부와 같은 역할을 하는 핵심 인프라입니다. 기업이 성장하고 인프라가 변화함에 따라 DNS 레코드를 다른 호스팅 존이나 계정으로 마이그레이션해야 하는 상황이 자주 발생합니다. 특히 AWS Route 53을 사용하는 환경에서는 서비스 통합, 계정 통합, 또는 인프라 재구성으로 인해 DNS 레코드 마이그레이션이 필요한 경우가 많습니다.DNS 마이그레이션은 단순해 보이지만 잘못 수행할 경우 서비스 중단, 이메일 전달 실패, 웹사이트 접속 불가 등 심각한 문제를 야기할 수 있습니다. 따라서 체계적이고 안전한 마이그레이션 전략이 필수적입니다.이 가이드에서는 AWS ..

안녕하세요. 이번 시간에는 네이버 클라우드 플랫폼의 쿠버네티스 서비스인 NKS에서 Envoy Ingress Gateway에서 XFF를 설정하여 Client의 Real IP를 알아내는 방법을 작성하도록 하겠습니다. 1. 문제 상황NKS 환경에서 애플리케이션을 운영하면서 외부 클라이언트가 서비스에 접속할 때 애플리케이션 로그에 찍히는 IP가 전부 NPLB의 프록시 IP로만 보이는 문제가 있을 텐데요.- 기대했던 값: 클라이언트 실제 IP (예: 123.123.xxx.xxx)- 실제 확인된 값: NPLB 노드 IP 혹은 Ingress Gateway Pod IP즉, 실제 사용자 IP를 확인할 수 없는 상황이 발생하게 되는데요. 이럴 경우 보안 로그, 접근 제어, 분석 등의 관점에서 클라이언트의 Real IP는 ..

안녕하세요. 이번 시간에는 NCP에서 Global Edge Certificate Provisioning으로 인증서 관리하는 가이드를 작성하도록 하겠습니다.NCP에서 서비스를 운영하다 보면 주기적으로 인증서 운영의 복잡성이 생기게 됩니다. 이런 상황에 유용하게 쓸 수 있도록 Global Edge 서비스에서 Certificate Provisioning 기능을 출시했고 운영이 훨씬 간편해졌습니다. 1. 기능 등장 배경1. HTTPS 인증서 운영의 복잡성전 세계 사용자에게 HTTPS 서비스를 제공할 경우, 기존에는 다음과 같은 제약이 있었습니다:(1) 각 지역(Edge/PoP) 별로 인증서를 수동 배포하거나(2) 중앙에서 인증서를 TLS 핸드셰이크에 사용하는 구조(3) 이로 인해 인증서 관리가 복잡하고 오류 가..

안녕하세요. 최근 많은 기업 환경에서 보안 사고가 많이 발생하여 보안 이슈가 대두되고 있는 요즘입니다. 이번 시간에는 NACL에서 신규 기능인 로드밸런서 ACL로 전환 작업 가이드를 작성하도록 하겠습니다. 1. 개요 네이버 클라우드에서는 그동안 Load Balancer에 보안그룹(Security Group) 개념이 없어, 접근 통제를 위해 NACL을 이용한 구조를 짜야했습니다. 그러나 최근 Load Balancer 자체에 ACL(Access Control List) 기능이 새롭게 추가되면서, 보안 및 트래픽 통제 전략에 큰 변화가 생기게 되었습니다.기존에는 NACL를 사용해야만 접근이 통제되었기 때문에 NCP 네트워크 구조를 잘 모르는 사용자분들은 초기에 예비 대역없이 크게 할당한다거나 로드밸런서에 접..