SaaS 공급자용 Cloudflare SSL

온라인 조직에서 SSL/TLS 암호화를 채택하는 것이 보안 모범 사례가 되었고 대규모 기술 기업의 안전한 인터넷 구축을 요구하는 목소리가 높아지면서, SSL/TLS 암호화는 하나의 요구 사항으로 자리 잡고 있습니다. 예를 들어, 2016년1 말부터는 Google Chrome 웹 브라우저에서 HTTPS를 사용하지 않는 웹 사이트에 접속하면 사용자가 잘 볼 수 있는 곳에 '안전하지 않음'이라는 문구가 표시됩니다. 동시에 Mozilla의 FireFox 웹 브라우저는 HTTPS에 의해 보호되지 않는 정보 양식을 제출하려 하는 사용자에게 훨씬 더 중대한 경고를 표시하기 시작했습니다.2

http

Chrome 68의 HTTP 페이지 처리

SaaS용 Cloudflare SSL은 SaaS 기업의 최종 사용자가 계속해서 사용자 지정 베니티 도메인을 사용할 수 있게 하며 동시에 SSL을 통한 통신을 보호합니다. 최종 고객은 브랜드 방문자 경험 향상, 신뢰 향상, SEO 순위, 더 빠른 속도를 위한 HTTP/2 활용과 같은 혜택을 누릴 수 있습니다. Cloudflare는 구입부터 배포까지 전체 SSL 수명 주기를 자동화하며 수 분 만에 인증서를 갱신하고 SaaS 기업이 초기 지원 흐름의 일환으로 이와 같은 혜택을 고객에게 제공합니다

저희에게 알려주세요!

SaaS 공급자가 SSL 최종 고객의 니즈를 해결하면서 처할 수 있는 시나리오는 다음 세 가지입니다.

ssl for saas scenario 1

암호화되지 않은 브랜드 베니티 도메인

SSL이 없는 사용자 지정 베니티 도메인은 SSL의 성능상 이점을 누릴 수 없을 뿐만 아니라 데이터 전송을 안전하게 할 수 없어 스누핑에 취약해지며, 콘텐츠가 방문자에게 도달하기 전에 수정되거나 삽입될 수 있습니다.

ssl for saas scenario 2

암호화된 비 브랜드 도메인

SaaS 공급자를 통해 SSL을 지원하는 도메인은 사용자 지정 베니티 도메인을 지원하지 않으며, 이는 브랜드 평판 악화와 낮은 SEO 순위로 이어집니다.

ssl for saas scenario 3

까다로운 사내 방식

암호화된 브랜드 베니티 도메인을 원하는 SaaS 공급자는 SSL 수명 주기를 수동으로 관리함으로써 긴 배포 시간과 많은 간접비를 부담할 수도 있고 복잡한 자동 사내 솔루션을 구축할 수도 있습니다.

"Cloudflare의 API는 고객의 SSL 인증서 자동 갱신 및 유지 관리, 프로비전, 서비스 제공을 처리하므로 Cloudflare는 SaaS용 SSL을 사용하여 더욱 간단한 흐름을 구현했습니다. 또한 엔드 투 엔드 HTTPS는 이제 Cloudflare가 고객을 위한 개인정보 보호 및 성능을 강화했으며 전에는 불가능했지만 로컬 저장소와 같은 브라우저 기능을 활용할 수 있게 되었음을 의미합니다."
Andrew Murray
Olo의 CTO

SaaS 오퍼링의 성능 및 보안을 최적화할 준비가 되셨나요?

Cloudflare와 상의하십시오.

Cloudflare Argo avoids congestion

브랜드 방문자 경험

최종 고객에게 브랜드가 있는 사용자 지정 도메인을 쓸 수 있는 옵션을 제공하는 SaaS 공급자는 계속해서 이러한 서비스를 제공할 수 있으며, 동시에 완전히 관리되는 SSL 인증서의 혜택도 누릴 수 있습니다. 브랜드 도메인은 최종 고객에게 더 높은 검색 엔진 순위와 더 나은 방문자 신뢰를 제공합니다.

Cloudflare Argo reuses connections

고객 자산 보호 및 성능 유지

최종 고객 도메인의 SSL/TLS 인증서는 중요한 고객 데이터의 안전한 전송을 보장하며 메시지 가로채기(man-in-the-middle) 공격과 네트워크 스누핑을 방지합니다. 또한 더 빠른 속도를 위해 HTTP/2 프로토콜을 사용할 수 있게 되었습니다.

Cloudflare Argo works on Cloudflare's private network

자동화된 SSL 수명 주기 관리

Cloudflare는 개인 키 생성 및 보호에서 도메인 확인, 발급, 갱신 및 재발급까지 SaaS 공급자의 고객 베니티 도메인의 전체 SSL 수명 주기를 관리합니다.

Cloudflare Argo tiered caching

빠른 글로벌 SSL 배포

SSL 발급 프로세스에서 Cloudflare는 194개의 데이터 센터로 구성된 글로벌 네트워크에 새 인증서를 배포하여 수 분 안에 HTTPS를 온라인 상태로 전환하고 방문자와 가장 가까이에 보냅니다.

사내 SSL 솔루션 구축의 과제

사용자 지정 베니티 도메인을 위한 사내 SSL 솔루션을 구축하는 데는 두 가지 방법이 있습니다. 두 방법은 SaaS 공급자와 최종 고객 모두에게 많은 노력을 필요로 합니다. 아래 다이어그램에서 자동화된 방법(위)은 SSL 프로세스를 자동화하지만 많은 엔지니어링 작업이 필요하며 복잡한 보안 문제를 해결해야 합니다. 수동 방법(아래)은 SaaS 공급자 팀 및 최종 고객 모두에 많은 작업을 요구하며 인증서 만료 기한을 놓치거나 서비스 중단이 생길 가능성이 높습니다. SSL 인증서를 대규모 글로벌 분산 네트워크에 배포할 수 있지 않은 이상 어떤 방법을 사용하든 성능에 지장이 생길 수 있습니다.

  HTTP 전용 CNAME 수동으로 업로드 인증서 수동으로 관리 인증서 수명 주기 고객 연락 팀 구성 및 교육 사용자 지정 API 통합(예: Let’sEncrypt 사용) 시간 엔지니어링 작업 자동화된 방법 수동 방법 웹 사이트 # 증가 글로벌 인증서 배포 네트워크 고객 작업이 필요한 수동 갱신 고급 인증 질문 암호화 키 안전하게 처리 지속적인 유지 관리 및 계속되는 지원 활동 Cloudflare 방법 쉬운 Cloudflare API/ UI 통합

HTTP 전용 CNAME

먼저 SaaS 공급자 최종 고객은 CNAME이 있으며 사용자 지정된 베니티 도메인에서 HTTP 트래픽만 보내고 받을 수 있습니다.

SaaS용 SSL은 어떻게 작동하나요?

SaaS 프로세스용 SSL은 전적으로 Cloudflare가 처리하며 SaaS 공급자는 최종 고객 사용자 지정 도메인 초기 지원 워크플로의 일환으로 한 번의 API 호출만 보내면 됩니다. 즉, Cloudflare 대시보드에서 클릭 몇 번만 하면 됩니다. 그 후에는 SaaS 공급자 최종 고객이 SaaS 공급자의 도메인에 초기 CNAME을 추가하기만 하면 됩니다. 나머지 사용자 지정 도메인 초기 지원 프로세스는 Cloudflare에서 관리합니다.

이 과정의 나머지 부분은 Cloudflare에 의해 관리되며 다음을 포함합니다.

  • 인증 기관에 SSL 인증서 발급에 대한 최종 고객의 사용자 지정 도메인 확인을 요청합니다.
  • 인증 기관에서 유효성 검사 토큰을 받고 Cloudflare의 에지에 액세스할 수 있습니다.
  • 인증 기관에 HTTP 유효성 검사를 완료하도록 지시한 후 SSL 인증서를 발급하도록 요청합니다.
  • 인증서를 수신하여 전 세계 194개 이상의 데이터 센터의 Cloudflare 네트워크 에지에 푸시하여 대기 시간 및 TLS 성능을 최적화합니다.

자주 묻는 질문

Q: 고객의 트래픽을 어떻게 내 원본으로 보내나요? 보안이 설정되어 있나요?

A: 예, Cloudflare는 Full 또는 Strict SSL 모드 사용을 권장합니다. 이렇게 하면 원본으로 전송되는 트래픽이 HTTPS를 사용합니다. 이 옵션은 해당 영역의 Crypto 탭에서 구성할 수 있습니다. Strict 모드를 사용하면 원본의 인증서가 고객의 호스트 이름(예: support.yourcustomer.site )과 일치하는 SAN(주체 대체 이름)을 포함하는지 확인해야 합니다. Strict 모드에 사용할 수 있는 인증서를 생성하는 데 Cloudflare의 Origin CA 제품을 사용할 수 있습니다.

Q: 인증서를 발급하는 데 얼마나 걸리며 사용할 준비가 될 때 까지 얼마나 걸리나요?

A: 인증서는 보통 수 분 이내에 검증 및 발급 과정을 거쳐 Cloudflare의 에지로 푸시됩니다. GET 호출을 사용하면 초기화, 검증 보류, 발급 보류, 배포 보류, 활성화 등과 같은 다양한 상태로 진행되는 과정을 모니터링할 수 있습니다.

$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{
  "result": {
  "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
  "hostname": "support.yourcustomer.site",
  "ssl": {
  "id": "3463325d-8116-48f3-ab4e-a75fb9727326",
  "type": "dv",
  "method": "http",
  "status": "active"
  }
},
  "success": true
}

Q: 갱신이나 재발급은 얼마나 걸리나요? 고객이나 제가 취해야 할 조치가 있나요?

A: 아니요, Cloudflare가 모두 해드립니다. 당사에서 발급하는 인증서는 일 년 간(365일) 유효하며 만료되기 최소 30일 전에 자동으로 갱신됩니다. 이러한 인증서는 고객의 호스트 이름에 고유하게 발급되며, CNAME이 유지되는 한 호스트 이름의 '도메인 유효성 검사 제어'를 설명함으로써 계속 갱신할 수 있습니다. 고객이 탈퇴하는 경우 인증서를 에지에서 해제하고 해당 인증서를 갱신하려 하지 않도록 Cloudflare에 DELETE 요청을 보내주는 것이 좋습니다.

Q: 내 고객이 Cloudflare의 어떤 혜택을 이용할 수 있나요?

A: (Cloudflare의 신뢰할 수 있는 네임서비스를 사용하고 있지 않은 경우) 고객의 DNS 인프라 보호 예외와 더불어 간략한 대답은 '모두'입니다. 트래픽이 화이트 레이블 호스트 이름으로 향하면 Cloudflare는 업계를 선도하는 DDoS 방어, CDN, WAF, HTTP/2, 부하 분산 등을 제공할 수 있습니다.

Q: 내 고객이 이미 사용자 지정 호스트 이름에 HTTPS를 사용하는 경우엔 어떻게 되나요? 마이그레이션하는 동안 가동 중지 시간을 방지할 방법이 있나요?

A: 경우에 따라 고객이 제공한 키 자료에 이미 내부적으로 조직된 솔루션이 있을 수 있습니다. 혹은 고객이 원하는 호스트 이름에서 HTTPS를 제공하는 경쟁사 제품을 사용하고 있으며 짧은 유지 관리 기간을 참지 못하고 있을 수도 있습니다.

각 경우에 대해 Cloudflare는 전용 인증에서 이용할 수 있는 두 가지의 SaaS 오퍼링용 SSL을 위한 '사전 검사' 방식으로 이메일과 CNAME을 제공합니다. 간단히 API 호출의 SSL 방식을 “http”에서 “이메일”이나 “CNAME”으로 바꾸어 요청을 전송하기만 하면 됩니다. 자세한 정보는 API 문서에서 확인하시기 바랍니다.

또 다른 방법인 CNAME 토큰은 일반적으로 베니티 이름의 DNS를 제어할 때 사용됩니다. (Cloudflare 고객 중 웹 사이트 구축 및 호스팅 서비스를 제공하는 일부 SaaS 고객은 워크플로의 일부로 사용자 지정 도메인 등록을 포함시킵니다.)

마지막으로 여러분은 (Cloudflare가 역방향 프록시에 삽입하도록 하는 대신) 'http' 검사 메서드에 의해 원본에서 반환되는 HTTP 토큰을 처리할 수 있습니다. 토큰이 제 위치에 삽입되면 Cloudflare의 자동 재시도 큐가 이를 감지합니다. Cloudflare에 토큰이 삽입되었음을 곧바로 알려주려면 POST 중 언제든 동일 SSL 본문의 끝점으로 PATCH를 보내면 됩니다. 그러면 Cloudflare에서 바로 확인합니다.

SaaS 오퍼링의 성능 및 보안을 최적화할 준비가 되셨나요?

Cloudflare와 상의하십시오.