웹 사이트 보안
Cloudflare 제품으로 자산을 보호하는 방법을 자세히 알아보고 자신에게 적합한 보안 설정을 선택하세요.
계정 보안
Cloudflare 계정에 강력한 보안 상태를 적용하는 것은 웹 사이트를 전반적으로 안전하게 만드는 중요한 단계입니다. 2단계 인증(2FA)은 로그인할 때 두 번째 정보를 요구하여 계정 보안을 강화합니다.
선호하는 모바일 인증 응용 프로그램을 통해 등록하여 2FA를 이용할 수 있도록 이 지침을 따르세요. 복구 코드 사본을 안전한 위치에 저장하여 계정이 잠기는 상황을 방지하세요.
알림
알림을 관리하여 경고를 받으려는 내용과 방식을 정의합니다. 활성화 권장:
- 수동 원본 모니터링 경고: 문제를 신속하게 해결할 수 있도록 Cloudflare 에지 네트워크에서 원본 웹 서버에 5분 이상 도달할 수 없을 경우 알림을 받습니다.
- HTTPS DDoS 경고: 인터넷 자산을 대상으로 하는 DDoS 공격을 Cloudflare에서 자동으로 감지하고 완화하는 실시간 이메일에 등록합니다.
- 보안 이벤트 경고: 관련 로그 항목을 생성하는 모든 Cloudflare 서비스에서 방화벽 관련 이벤트가 급증하면 2시간 이내에 경고를 수신합니다.
DNS 레코드 관리
Cloudflare DNS를 사용할 경우 Cloudflare의 글로벌 Anycast 네트워크가 도메인에 대한 모든 DNS 쿼리에 응답합니다. DNS 레코드는 도메인에 대한 정보를 방문자 및 다른 웹 서비스와 통신하도록 해줍니다.
Cloudflare DNS를 이용하면 DNS 탭에서 웹 사이트에 대한 모든 레코드를 관리할 수 있습니다. 사용할 수 있는 옵션에 대한 Cloudflare 대시보드 살펴보기를 시청해보세요.
오렌지색 클라우드와 회색 클라우드 비교
오렌지색 클라우드 기호 는 해당 호스트 이름으로 향하는 트래픽이 Cloudflare를 통해 이동한다는 의미입니다. 이를 통해 원본 IP 숨기기, 캐싱, SSL, 웹 애플리케이션 방화벽 등의 기능을 사용할 수 있습니다. A, AAAA, CNAME 레코드에 오렌지색 클라우드를 활성화하는 것을 권장합니다.
회색 클라우드 는 Cloudflare에서 DNS에 레코드를 알리지만, 모든 트래픽은 Cloudflare를 거치지 않고 원본에서 라우팅된다는 것을 의미합니다. 이는 A, AAAA, CNAME 이외의 레코드 등 일부 컨텍스트에서 유용하며, 메일, FTP를 포함하여 레코드나 비 웹 트래픽으로 서비스를 검증하려는 경우에 유용합니다. Cloudflare에서 레코드 관련 문제가 있을 경우 DNS 탭에서 회색 클라우드로 설정해 레코드에 대하여 Cloudflare를 중지할 수 있습니다.
온보딩 후 이메일 전송이 되지 않는 문제가 생길 경우 메일을 수신하는 데 사용한 DNS 레코드를 DNS 탭에서 회색 클라우드로 설정합니다. 기본 구성은 HTTP 트래픽만 프록시 설정할 수 있으며 메일 트래픽이 중단됩니다.
원본 IP 주소 숨기기
Cloudflare에서는 악의적 트래픽을 감지하고 차단하는 여러 기능을 제공합니다. 그러나 악의적 사용자가 실제 리소스를 호스팅하는 서버의 원본 IP를 찾을 경우, 트래픽이나 공격을 서버에 직접 전송할 수 있게 됩니다.
이 정보가 유출되지 않도록 조치할 단계를 고려하세요.
- 해당 영역의 DNS 레코드를 검토합니다. 가능한 경우 하위 도메인을 모두 Cloudflare에 유지하고 원본 정보의 SPF 및 TXT 레코드를 점검합니다.
- 보호하려는 웹 리소스와 동일한 서버에서 메일 서비스를 호스팅하지 마십시오. 존재하지 않는 주소로 전송된 이메일이 공격자에게 돌아가서 메일 서버 IP가 노출되기 때문입니다.
- 사용자가 제공한 임의 주소에 웹 서버가 연결되지 않았는지 확인합니다.
- DNS 레코드가 공개 도메인에 있으므로 온보딩 후 원본 IP를 순환시킵니다. 기록 레코드는 유지되며 Cloudflare에 등록하기 전 IP 주소를 포함합니다.
DNSSEC 사용
DNSSEC은 기존 DNS 레코드에 암호화된 서명을 추가함으로써 안전한 도메인 네임 시스템을 만듭니다. 이러한 디지털 서명은 DNS 이름 서버에 A, AAAA, MX, CNAME 등의 공통 레코드와 함께 저장됩니다.
관련 서명을 점검함으로써 요청한 DNS 레코드가 경로상 공격으로 주입되는 가짜 레코드와 달리, 권한 있는 이름 서버에서 왔으며 도중에 변경되지 않고 왔다는 점을 확인할 수 있습니다.
Cloudflare에서의 도메인 DNS 위에 인증 계층을 추가하려면 DNSSEC를 사용할 것을 강력히 권장합니다.
SSL 암호화 사용
SSL 인증서 사용하면 사용자 정보가 암호화되고 인터넷상에서 사용자가 안전하게 보호됩니다. 수동으로 SSL을 구성하려면 여러 단계가 필요하고, 잘못 구성하면 사용자가 웹 사이트에 연결할 수 없게 됩니다.
Cloudflare를 사용하면 버튼 클릭 한 번으로 HTTPS가 활성화됩니다. Cloudflare는 에지 인증서와 원본 서버 인증서를 제공합니다.
- 에지 인증서: Cloudflare는 기본적으로 Cloudflare의 모든 도메인에 무료이고 공유되지 않으며 공개적으로 신뢰할 수 있는 SSL 인증서를 발급하고 갱신합니다. 도메인에 대해서는 도메인 활성화 후 24시간 이내에 Universal SSL 인증서가 자동으로 주어집니다. 사이트에서 데이터 기밀성을 보장하려면 전체 또는 전체(엄격) 설정을 활성화하는 것을 권장합니다.
- 원본 인증 기관(CA): 이 인증서를 사용하여 Cloudflare와 원본 웹 서버 사이의 트래픽을 암호화합니다. 이러한 인증서는 배포된 다음 엄격 SSL 모드와 호환됩니다.
WAF로 보호받기
웹 애플리케이션 방화벽(WAF)을 배포하여, 규칙 집합(주로 정책이라고 부름)으로 허용할 송수신 트래픽 유형을 결정할 수 있습니다. WAF를 사용하면 SQL 삽입 공격, 교차 사이트 스크립팅, 교차 사이트 위조 등의 공격으로부터 보호됩니다.
Cloudflare의 WAF를 사용하면 자동 보호 기능과 사용자 설정 규칙을 설정할 수 있는 유연성이 제공됩니다.
- 속도 제한 규칙: 식과 일치하는 수신 요청에 속도 제한이 정의되고 이러한 제한에 도달했을 때 취할 조치가 정의됩니다.
- WAF 관리 규칙 집합: 사전 구성된 정책을 활성화하여 최신 제로 데이 취약성 등의 위험으로부터 즉시 보호받을 수 있습니다.
- 노출된 자격 증명 확인: 계정 탈취 목적의 도난/노출된 자격 증명 사용을 모니터링하고 차단합니다.
- 방화벽 분석: 보안 위협을 조사한 다음 활동 로그를 기반으로 보안 구성을 맞춤화합니다.
WAF 구성 팁
관리 규칙 집합을 사용하는 경우:
- 기술 스택에 해당하는 규칙 그룹만 활성화합니다. 예를 들어 WordPress를 사용하고 있다면 Cloudflare WordPress 그룹을 활성화합니다. 사용자 설정 규칙을 만드는 기능도 있습니다.
- 최신 공격 벡터에 대응해서 자동으로 보호되도록 WAF를 켜고 Cloudflare Specials를 활성화하는 것을 권장합니다.
브라우저 캐시 TTL 및 에지 캐시 TTL 알아보기
이러한 주요 기능으로 사이트를 보호하고 콘텐츠를 최신 상태로 유지할 수 있습니다.
- 에지 캐시 Time to Live(TTL) 는 에지 네트워크에서 리소스를 얼마나 오래 캐시할지 지정합니다. 원본에 다시 요청하기 전에 캐시된 리소스를 유지할 기간을 구성할 수 있습니다.
- 브라우저 캐시 TTL 은 방문자의 브라우저에 캐시된 리소스의 만료를 설정합니다.
예를 들어, 20분마다 자동으로 캐시되는 리소스로 선거 결과 페이지를 업데이트하고 있다면 에지 캐시 TTL을 20분으로 설정하고 브라우저 캐시 TTL을 약 1분으로 설정하여 사용자에게 새 데이터가 제공되도록 합니다. 아니면 파일을 업데이트할 때마다 파일 URL이나 호스트 이름으로 직접 캐시를 제거할 수 있습니다.