SaaS 공급자용 Cloudflare SSL

온라인 조직에서 SSL/TLS 암호화를 채택하는 것이 보안 모범 사례가 되었고 대규모 기술 기업의 안전한 인터넷 구축을 요구하는 목소리가 높아지면서, SSL/TLS 암호화는 하나의 요구 사항으로 자리 잡고 있습니다. 예를 들어, 2016년1 말부터는 Google Chrome 웹 브라우저에서 HTTPS를 사용하지 않는 웹 사이트에 접속하면 사용자가 잘 볼 수 있는 곳에 '안전하지 않음'이라는 문구가 표시됩니다. 동시에 Mozilla의 FireFox 웹 브라우저는 HTTPS에 의해 보호되지 않는 정보 양식을 제출하려 하는 사용자에게 훨씬 더 중대한 경고를 표시하기 시작했습니다.2

Chrome 68의 HTTP 페이지 처리

SaaS용 Cloudflare SSL은 SaaS 기업의 최종 사용자가 계속해서 사용자 지정 베니티 도메인을 사용할 수 있게 하며 동시에 SSL을 통한 통신을 보호합니다. 최종 고객은 브랜드 방문자 경험 향상, 신뢰 향상, SEO 순위, 더 빠른 속도를 위한 HTTP/2 활용과 같은 혜택을 누릴 수 있습니다. Cloudflare는 구입부터 배포까지 전체 SSL 수명 주기를 자동화하며 수 분 만에 인증서를 갱신하고 SaaS 기업이 초기 지원 흐름의 일환으로 이와 같은 혜택을 고객에게 제공합니다

저희에게 알려주세요!

SaaS 공급자가 SSL 최종 고객의 니즈를 해결하면서 처할 수 있는 시나리오는 다음 세 가지입니다.

암호화되지 않은 브랜드 베니티 도메인

SSL이 없는 사용자 지정 베니티 도메인은 SSL의 성능상 이점을 누릴 수 없을 뿐만 아니라 데이터 전송을 안전하게 할 수 없어 스누핑에 취약해지며, 콘텐츠가 방문자에게 도달하기 전에 수정되거나 삽입될 수 있습니다.

암호화된 비 브랜드 도메인

SaaS 공급자를 통해 SSL을 지원하는 도메인은 사용자 지정 베니티 도메인을 지원하지 않으며, 이는 브랜드 평판 악화와 낮은 SEO 순위로 이어집니다.

까다로운 사내 방식

암호화된 브랜드 베니티 도메인을 원하는 SaaS 공급자는 SSL 수명 주기를 수동으로 관리함으로써 긴 배포 시간과 많은 간접비를 부담할 수도 있고 복잡한 자동 사내 솔루션을 구축할 수도 있습니다.

"Cloudflare의 API는 고객의 SSL 인증서 자동 갱신 및 유지 관리, 프로비전, 서비스 제공을 처리하므로 Cloudflare는 SaaS용 SSL을 사용하여 더욱 간단한 흐름을 구현했습니다. 또한 엔드 투 엔드 HTTPS는 이제 Cloudflare가 고객을 위한 개인정보 보호 및 성능을 강화했으며 전에는 불가능했지만 로컬 저장소와 같은 브라우저 기능을 활용할 수 있게 되었음을 의미합니다."
Andrew Murray
Olo의 CTO

SaaS 오퍼링의 성능 및 보안을 최적화할 준비가 되셨나요?

Cloudflare와 상의하십시오.

Cloudflare Argo avoids congestion

브랜드 방문자 경험

최종 고객에게 브랜드가 있는 사용자 지정 도메인을 쓸 수 있는 옵션을 제공하는 SaaS 공급자는 계속해서 이러한 서비스를 제공할 수 있으며, 동시에 완전히 관리되는 SSL 인증서의 혜택도 누릴 수 있습니다. 브랜드 도메인은 최종 고객에게 더 높은 검색 엔진 순위와 더 나은 방문자 신뢰를 제공합니다.

Cloudflare Argo reuses connections

고객 자산 보호 및 성능 유지

최종 고객 도메인의 SSL/TLS 인증서는 중요한 고객 데이터의 안전한 전송을 보장하며 메시지 가로채기(man-in-the-middle) 공격과 네트워크 스누핑을 방지합니다. 또한 더 빠른 속도를 위해 HTTP/2 프로토콜을 사용할 수 있게 되었습니다.

Cloudfare Argo works on Cloudflare's private network

자동화된 SSL 수명 주기 관리

Cloudflare는 개인 키 생성 및 보호에서 도메인 확인, 발급, 갱신 및 재발급까지 SaaS 공급자의 고객 베니티 도메인의 전체 SSL 수명 주기를 관리합니다.

Cloudflare Argo tiered caching

빠른 글로벌 SSL 배포

SSL 발급 프로세스에서 Cloudflare는 155개의 데이터 센터로 구성된 글로벌 네트워크에 새 인증서를 배포하여 수 분 안에 HTTPS를 온라인 상태로 전환하고 방문자와 가장 가까이에 보냅니다.

사내 SSL 솔루션 구축의 과제

사용자 지정 베니티 도메인을 위한 사내 SSL 솔루션을 구축하는 데는 두 가지 방법이 있습니다. 두 방법은 SaaS 공급자와 최종 고객 모두에게 많은 노력을 필요로 합니다. 아래 다이어그램에서 자동화된 방법(위)은 SSL 프로세스를 자동화하지만 많은 엔지니어링 작업이 필요하며 복잡한 보안 문제를 해결해야 합니다. 수동 방법(아래)은 SaaS 공급자 팀 및 최종 고객 모두에 많은 작업을 요구하며 인증서 만료 기한을 놓치거나 서비스 중단이 생길 가능성이 높습니다. SSL 인증서를 대규모 글로벌 분산 네트워크에 배포할 수 있지 않은 이상 어떤 방법을 사용하든 성능에 지장이 생길 수 있습니다.

HTTP 전용 CNAME 수동으로 업로드 인증서 수동으로 관리 인증서 수명 주기 고객 연락 팀 구성 및 교육 사용자 지정 API 통합(예: Let’sEncrypt 사용) 시간 엔지니어링 작업 자동화된 방법 수동 방법 웹 사이트 # 증가 글로벌 인증서 배포 네트워크 고객 작업이 필요한 수동 갱신 고급 인증 질문 암호화 키 안전하게 처리 지속적인 유지 관리 및 계속되는 지원 활동 Cloudflare 방법 쉬운 Cloudflare API/ UI 통합

HTTP 전용 CNAME

먼저 SaaS 공급자 최종 고객은 CNAME이 있으며 사용자 지정된 베니티 도메인에서 HTTP 트래픽만 보내고 받을 수 있습니다.

SaaS용 SSL은 어떻게 작동하나요?

SaaS 프로세스용 SSL은 전적으로 Cloudflare가 처리하며 SaaS 공급자는 최종 고객 사용자 지정 도메인 초기 지원 워크플로의 일환으로 한 번의 API 호출만 보내면 됩니다. 즉, Cloudflare 대시보드에서 클릭 몇 번만 하면 됩니다. 그 후에는 SaaS 공급자 최종 고객이 SaaS 공급자의 도메인에 초기 CNAME을 추가하기만 하면 됩니다. 나머지 사용자 지정 도메인 초기 지원 프로세스는 Cloudflare에서 관리합니다.

이 과정의 나머지 부분은 Cloudflare에 의해 관리되며 다음을 포함합니다.

  • 인증 기관에 SSL 인증서 발급에 대한 최종 고객의 사용자 지정 도메인 확인을 요청합니다.
  • 인증 기관에서 유효성 검사 토큰을 받고 Cloudflare의 에지에 액세스할 수 있습니다.
  • 인증 기관에 HTTP 유효성 검사를 완료하도록 지시한 후 SSL 인증서를 발급하도록 요청합니다.
  • 인증서를 수신하여 전 세계 155개 이상의 데이터 센터의 Cloudflare 네트워크 에지에 푸시하여 대기 시간 및 TLS 성능을 최적화합니다.

자주 묻는 질문

Q: 고객의 트래픽을 어떻게 내 원본으로 보내나요? 보안이 설정되어 있나요?

A: 예, Cloudflare는 Full 또는 Strict SSL 모드 사용을 권장합니다. 이렇게 하면 원본으로 전송되는 트래픽이 HTTPS를 사용합니다. 이 옵션은 해당 영역의 Crypto 탭에서 구성할 수 있습니다. Strict 모드를 사용하면 원본의 인증서가 고객의 호스트 이름(예: support.yourcustomer.site )과 일치하는 SAN(주체 대체 이름)을 포함하는지 확인해야 합니다. Strict 모드에 사용할 수 있는 인증서를 생성하는 데 Cloudflare의 Origin CA 제품을 사용할 수 있습니다.

Q: 인증서를 발급하는 데 얼마나 걸리며 사용할 준비가 될 때 까지 얼마나 걸리나요?

A: 인증서는 보통 수 분 이내에 검증 및 발급 과정을 거쳐 Cloudflare의 에지로 푸시됩니다. GET 호출을 사용하면 초기화, 검증 보류, 발급 보류, 배포 보류, 활성화 등과 같은 다양한 상태로 진행되는 과정을 모니터링할 수 있습니다.

$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site
{
  "result": {
  "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
  "hostname": "support.yourcustomer.site",
  "ssl": {
  "id": "3463325d-8116-48f3-ab4e-a75fb9727326",
  "type": "dv",
  "method": "http",
  "status": "active"
  }
},
  "success": true
}

Q: 갱신이나 재발급은 얼마나 걸리나요? 고객이나 제가 취해야 할 조치가 있나요?

A: 아니요, Cloudflare가 모두 해드립니다. 당사에서 발급하는 인증서는 일 년 간(365일) 유효하며 만료되기 최소 30일 전에 자동으로 갱신됩니다. 이러한 인증서는 고객의 호스트 이름에 고유하게 발급되며, CNAME이 유지되는 한 호스트 이름의 '도메인 유효성 검사 제어'를 설명함으로써 계속 갱신할 수 있습니다. 고객이 탈퇴하는 경우 인증서를 에지에서 해제하고 해당 인증서를 갱신하려 하지 않도록 Cloudflare에 DELETE 요청을 보내주는 것이 좋습니다.

Q: 내 고객이 Cloudflare의 어떤 혜택을 이용할 수 있나요?

A: (Cloudflare의 신뢰할 수 있는 네임서비스를 사용하고 있지 않은 경우) 고객의 DNS 인프라 보호 예외와 더불어 간략한 대답은 '모두'입니다. 트래픽이 화이트 레이블 호스트 이름으로 향하면 Cloudflare는 업계를 선도하는 DDoS 방어, CDN, WAF, HTTP/2, 부하 분산 등을 제공할 수 있습니다.

Q: 내 고객이 이미 사용자 지정 호스트 이름에 HTTPS를 사용하는 경우엔 어떻게 되나요? 마이그레이션하는 동안 가동 중지 시간을 방지할 방법이 있나요?

A: 경우에 따라 고객이 제공한 키 자료에 이미 내부적으로 조직된 솔루션이 있을 수 있습니다. 혹은 고객이 원하는 호스트 이름에서 HTTPS를 제공하는 경쟁사 제품을 사용하고 있으며 짧은 유지 관리 기간을 참지 못하고 있을 수도 있습니다.

각 경우에 대해 Cloudflare는 전용 인증에서 이용할 수 있는 두 가지의 SaaS 오퍼링용 SSL을 위한 '사전 검사' 방식으로 이메일과 CNAME을 제공합니다. 간단히 API 호출의 SSL 방식을 “http”에서 “이메일”이나 “CNAME”으로 바꾸어 요청을 전송하기만 하면 됩니다. 자세한 정보는 API 문서에서 확인하시기 바랍니다.

또 다른 방법인 CNAME 토큰은 일반적으로 베니티 이름의 DNS를 제어할 때 사용됩니다. (Cloudflare 고객 중 웹 사이트 구축 및 호스팅 서비스를 제공하는 일부 SaaS 고객은 워크플로의 일부로 사용자 지정 도메인 등록을 포함시킵니다.)

마지막으로 여러분은 (Cloudflare가 역방향 프록시에 삽입하도록 하는 대신) 'http' 검사 메서드에 의해 원본에서 반환되는 HTTP 토큰을 처리할 수 있습니다. 토큰이 제 위치에 삽입되면 Cloudflare의 자동 재시도 큐가 이를 감지합니다. Cloudflare에 토큰이 삽입되었음을 곧바로 알려주려면 POST 중 언제든 동일 SSL 본문의 끝점으로 PATCH를 보내면 됩니다. 그러면 Cloudflare에서 바로 확인합니다.

SaaS 오퍼링의 성능 및 보안을 최적화할 준비가 되셨나요?

Cloudflare와 상의하십시오.