안녕하세요. 이번 시간에는 네이버 클라우드에서 TLSv1.2 이상으로만 제한하려면 어떻게 해야 하는지 알아보도록 하겠습니다. 1. 개요요즘 정부·감사기관·고객사 보안점검에서 TLS 1.2 미만 차단(즉 TLSv1.2 이상만 허용) 요구가 빈번합니다. 인프라 구성(콘텐츠 전송, 경계장비, 로드밸런서, 웹서버)에 따라 설정 위치와 우선순위가 달라집니다. 이 글은 CDN → WAF → LB → WEB(애플리케이션 서버) 관점으로 TLS 정책을 정리하고, NCP(네이버 클라우드) 환경에서 실제로 어떤 점을 확인·조치해야 하는지 단계별로 초안 형식으로 정리한 것입니다. 2. 왜 TLS 버전 제한이 필요할까요?1. 취약성 제거TLS 1.0/1.1은 이미 오래된 암호화 방식으로 여러 취약성이 보고되어 실무에서 퇴출 ..

안녕하세요. 이번 시간에는 NCP에서 Global Edge Certificate Provisioning으로 인증서 관리하는 가이드를 작성하도록 하겠습니다.NCP에서 서비스를 운영하다 보면 주기적으로 인증서 운영의 복잡성이 생기게 됩니다. 이런 상황에 유용하게 쓸 수 있도록 Global Edge 서비스에서 Certificate Provisioning 기능을 출시했고 운영이 훨씬 간편해졌습니다. 1. 기능 등장 배경1. HTTPS 인증서 운영의 복잡성전 세계 사용자에게 HTTPS 서비스를 제공할 경우, 기존에는 다음과 같은 제약이 있었습니다:(1) 각 지역(Edge/PoP) 별로 인증서를 수동 배포하거나(2) 중앙에서 인증서를 TLS 핸드셰이크에 사용하는 구조(3) 이로 인해 인증서 관리가 복잡하고 오류 가..

안녕하세요. 이번 시간에는 NCLOUD에서 주의해야 할 기업 환경에서 VPN Full Tunneling과 Split Tunneling에 대해 알아보겠습니다. 0. 개요 기업 환경에서는 보안 강화를 위해 VPN(Virtual Private Network)을 활용하는 경우가 많습니다. VPN을 사용하면 사내 네트워크에 원격으로 접속할 수 있으며, 인터넷을 통한 데이터 전송을 암호화하여 보안을 강화할 수 있습니다.   하지만 VPN의 트래픽 처리 방식에 따라 Full Tunneling(풀 터널링)과 Split Tunneling(스플릿 터널링) 두 가지 방식으로 나뉘며, 각각 장단점이 존재합니다.   이 글에서는 Full Tunneling과 Split Tunneling의 차이점을 설명하고, 기업 환경에서 어떤 ..

안녕하세요 이번 시간에는 네이버 클라우드 플랫폼에서 리전 간 지리적 레이턴시 문제를 해결하기 위한 아이디어를 생각해보고자 합니다. 1. 문제 상황최근 가상의 서비스 사업자는 한국에서의 사업을 글로벌 사업으로 확장하며 싱가포르에 인프라를 구성하였습니다. 사업자는 유연하고 탄력적인 인프라 환경을 원하여 퍼블릭 클라우드에 서비스를 구성하였고 자체 IDC를 보유하고 있어 민감한 정보가 있는 DB 서버는 IDC에 구성되길 희망합니다.  현재 인프라 구성 상 싱가포르 리전과 국내 IDC 환경이 IPsecVPN으로 연결되어 있고 싱가포르 리전과 한국 리전 역시 IPsecVPN으로 연결되어 있습니다. 앞선 요구사항으로 국내 IDC에는 DB 서버를 싱가포르 리전에는 WEB/WAS 서버를 배치하였습니다. 이 경우 국내에 ..

안녕하세요 이번 시간에는 Global Edge와 Match Protocol 문제점을 다뤄보고자 합니다. 1. Match Protocol이란? IT 인프라에서 Match Protocol은 주로 네트워크 통신과 관련된 프로토콜 중 하나로, 클라이언트와 서버 간의 데이터 패킷을 효율적으로 일치시키고 전송하는 데 사용됩니다. 2. Global Edge를 통한 통신 Flow 도식화현재 Global Edge를 보면 서비스 프로토콜로 [HTTP and HTTPS] 두 개의 프로토콜로 모두 동작합니다. 하지만 오리진 설정에서 오리진 프로토콜은 반드시 HTTP 또는 HTTPS로 보내게 되어 있습니다. 이 뜻은 CDN에서 어떤 요청이 와도 오리진 WAF, ALB로 HTTP나 HTTPS로 1개만 선택해서 보내야 한다는 뜻입..

안녕하세요. 이번 시간에는 Ncloud의 글로벌 CDN 서비스인 Global Edge에서 멀티 어카운트에서 SSL 인증서를 업데이트하는 방법을 소개하고자 합니다. 1. 개요엔터프라이즈 환경에서 운영/QA/개발 환경으로 계정을 분리하고 1개의 WildCard 인증서로 구성하는 것은 기존에 기능을 제공하지 않았지만 최근에 기능 요청을 통해 여러 계정에서 1개의 인증서로 Global Edge의 인증서를 업데이트할 수 있게 되었습니다. 2. Certificate Manager에서 인증서 추가하기Ncloud Certificate Manager에 인증서를 여러 계정에 등록합니다. 기본적으로 Certificate Manager는 1개의 인증서를 여러 계정에 등록할 수 있습니다. Security Monitoring W..