NGINX는 4억 개가 넘는 웹사이트에 전원을 공급하는 인기 있는 웹 서버입니다. 하지만 웹 서버 그 이상입니다.
클라우드 네이티브 아키텍처를 위해 설계된 소프트웨어 기반 올인원 로드 밸런서 , 웹 서버 , API 게이트웨이 ,
역방향 프록시인 NGINX는 실제로 IT 인프라와 애플리케이션 현대화 노력을 가속화하는 Swiss Army Knife™입니다.
그러나 이 광범위하고 다재다능한 기능은 조직 전체에 많은 NGINX 인스턴스가 분산되도록 만들 수 있으며,
때로는 NGINX Open Source와 NGINX Plus가 다른 그룹에서 관리됩니다.
모든 인스턴스를 어떻게 추적합니까? 최신 구성 및 보안 설정을 어떻게 보장합니까?
바로 여기서 NGINX의 최신 솔루션인 NGINX Instance Manager가 등장합니다.
NGINX Instance Manager는 NGINX 자산 관리, 구성 및 가시성을 간소화합니다.
NGINX 전문가이며 NGINX 구성에 대한 많은 경험이 있는 DevOps 사용자에게 이상적입니다.
NGINX Instance Manager가 조직에 어떻게 도움이 될 수 있는지 살펴보겠습니다.
효과적인 IT 자산 관리와 보안을 위한 첫 번째 요건은 IT 자산의 정확한 인벤토리입니다.
NGINX Instance Manager를 사용하면 NGINX Open Source와 NGINX Plus 인스턴스를 모두 빠르게 찾을 수 있습니다.
일부 고객은 모든 NGINX Open Source 인스턴스를 추적하는 것이 어려울 수 있다고 말합니다.
조직 전체에 수천 개가 있을 것으로 생각하지만 실제로는 모릅니다.
NGINX Instance Manager를 사용하면 NGINX 추적에 대해 스트레스를 받을 필요가 없습니다!
기업은 CVE( Common Vulnerabilities and Exposures ) 의 영향을 받는 소프트웨어나 인프라를 실행하는 것을
금지하는 엄격한 보안 정책을 가지고 있습니다.
NGINX Instance Manager는 CVE의 영향을 받는 소프트웨어 버전을 실행하는 NGINX 인스턴스를 식별합니다.
이러한 가시성을 통해 인스턴스를 CVE에 대한 수정 사항이 있는 버전으로 업그레이드할 수 있습니다.
많은 고객과 마찬가지로 일부 구성에 녹이 슬었을 수 있습니다.
NGINX Instance Manager의 Analyzer는 구성을 자동으로 스캔하고
고객 성공 팀이 고객 프로덕션 환경에서 겪은 문제에서 얻은 모범 사례를 기반으로 변경 권장 사항을 제시합니다.
그런 다음 기본 Monaco Editor (네이티브 Visual Studio Code 형식)를 사용하여
권장 사항과 필요하다고 결정한 다른 변경 사항을 구현할 수 있습니다.
Analyzer와 Monaco Editor를 사용하면 NGINX Instance Manager에서 이전 구성을 매우 쉽게 정리할 수 있습니다.
NGINX 인스턴스에 대한 가시성을 확보한 후에는 고성능과 강력한 보안을 보장하기 위해 인스턴스를 모니터링 해야 합니다.
NGINX Instance Manager를 사용하면 오류와 같은 운영 메트릭을 Grafana 또는
Prometheus 와 같은 선호하는 모니터링 솔루션으로 전달할 수 있습니다 .
솔루션의 기본 알림 메커니즘을 사용하여 NGINX 문제에 대한 알림을 받을 수 있습니다.4xx
NGINX Instance Manager는 DevOps 팀이 위에서 설명한 모든 기능(인스턴스 검색, 구성 및 지속적인 모니터링)을
자동화할 수 있는 간단한 RESTful API를 제공합니다.
이러한 작업을 CI/CD 워크플로에 쉽게 통합하여 DevOps 생산성을 높일 수 있습니다.
NGINX Instance Manager를 사용해 보시겠습니까?
30일 무료 체험판을 다운로드하거나 저희 에게 연락하여 사용 사례에 대해 논의하세요.
올해 초에 NGINX Instance Manager를 출시하여 기업이 NGINX Open Source 및 NGINX Plus 인스턴스를 검색, 추적, 보안 및 구성할 수 있도록 지원했습니다. 다음 기능을 도입한 NGINX Instance Manager 버전 1.0을 발표하게 되어 기쁩니다.
- 인증서 관리 – 만료된 인증서를 감지하고 교체하여 안전하고 중단 없는 서비스를 보장합니다
NGINX 인스턴스가 많을수록 관리하기가 더 어려워질 수 있습니다. 이제 NGINX 인스턴스와 RBAC 역할에 태그를 적용하여 그룹의 모든 멤버에 대해 한 번에 조치를 취할 수 있습니다. 관리 팀(DevOps, NetOps), 목적(테스트, 샌드박스, 프로덕션), 운영 체제(CentOS, Ubuntu), NGINX 모델(NGINX Open Source, NGINX Plus) 및 환경(AWS, 온프레미스, 프라이빗 클라우드)별로 인스턴스를 분류하는 등 모든 특성에 따라 NGINX 인스턴스 또는 역할을 그룹화할 수 있습니다.
태그를 사용하면 다음과 같은 작업을 더 빠르고 쉽게 수행할 수 있습니다.
대규모 구성 관리 – 한 번에 그룹의 모든 태그가 지정된 NGINX 인스턴스에 구성을 적용하여 일관성을 보장할 수 있습니다. 다음 스크린샷에서 인스턴스는 운영 체제와 NGINX 모델에 따라 태그가 지정됩니다.
컨텍스트에서 모니터링 - Grafana 대시보드에는 쉼표로 구분된 값이 있는 태그 필드가 포함되어 있습니다. PromQL 쿼리를 구성하여 태그로 그룹화된 메트릭을 표시할 수 있습니다.
액세스 제어 – OpenID Connect 및 JWT를 사용하여 NGINX Plus에서 권한을 구현하면 태그가 지정된 역할에 따라 사용자 액세스를 제한할 수 있습니다. 예를 들어, QA 팀 구성원이 test로 태그가 지정된 NGINX 인스턴스만 관리하도록 허용할 수 있습니다.
참고: 이 기능은 기술 미리보기로 제공됩니다. 프로덕션 환경에서 사용하는 것은 권장하지 않으며 최선의 노력으로만 지원을 제공할 수 있습니다.
스크린샷에서 Finance 역할이 있는 사용자는 Finance 태그가 지정된 NGINX 인스턴스에 대한 읽기-쓰기 액세스 권한이 부여되고 다른 인스턴스에는 부여되지 않습니다. 마찬가지로 Finance_RO 역할이 있는 사용자는 Finance 태그가 지정된 인스턴스에 대한 읽기 전용 액세스 권한만 부여됩니다.
이 스크린샷에서 user1에게 재무 역할이 할당되었습니다(표시 이름: 재무 읽기 쓰기로 식별).
NGINX는 현재 인터넷에서 1위 웹 서버입니다. 많은 사이트가 이에 의존하고 있기 때문에 NGINX 인스턴스에서 만료된 SSL/TLS 인증서로 인해 중단이 발생할 가능성이 있습니다. NGINX Instance Manager 인증서 관리 인터페이스를 사용하면 만료된 인증서를 감지하고 교체하여 안전하고 중단 없는 서비스를 보장할 수 있습니다.
인증서 스캔 보고서는 만료까지 남은 일수를 지정합니다. API를 사용하여 갱신된 인증서가 필요한 웹 서버를 쿼리하고 추적할 수 있습니다. 별도의 에이전트가 필요하지 않습니다. 인증서가 만료되었음을 확인하면 인증서를 교체할 수 있습니다. 사실, Instance Manager를 사용하여 키 파일과 JavaScript 파일, 인증서를 포함하여 NGINX 구성에서 참조된 모든 파일을 업데이트하고 교체할 수 있습니다.
스크린샷은 포트 443에서 수신 대기하고 있으며 IP 주소가 10.1.1.0/24 범위에 있는 NGINX 인스턴스의 인증서 스캔 결과를 보여줍니다.
이 스크린샷에서는 구성 편집기를 사용하여 관리되는 NGINX 인스턴스에 인증서를 업로드합니다.
30일 무료 체험판을 다운로드하거나 저희에게 문의하여 사용 사례에 대해 논의해 보세요.
NGINX는 4억 개 이상의 웹사이트를 지원하는 인기 있는 웹 서버입니다.
하지만 이는 웹 서버 그 이상입니다. 클라우드 네이티브 아키텍처용으로 설계된 소프트웨어 기반 올인원 로드 밸런서 , 웹 서버 , API 게이트웨이 및 역방향 프록시인 NGINX는 실제로 IT 인프라를 가속화하는 Swiss Army Knife™입니다.
그러나 이러한 광범위하고 다재다능한 기능으로 인해 조직 전체에 많은 NGINX 인스턴스가 분산될 수 있으며, 때로는 서로 다른 그룹에서 관리되는 NGINX 오픈 소스 및 NGINX Plus를 사용하기도 합니다. 모든 인스턴스를 어떻게 추적합니까? 최신 상태 구성과 보안 설정인지 어떻게 확인합니까 ? NGINX의 최신 솔루션인 NGINX 인스턴스 관리자가 바로 여기에 있습니다.
NGINX 인스턴스 관리자는 NGINX 자산 관리, 구성 및 가시성을 단순화합니다. NGINX 전문가이고 NGINX 구성에 대한 경험이 많은 DevOps 사용자에게 이상적입니다. NGINX 인스턴스 관리자가 조직에 어떻게 도움이 되는지 살펴보겠습니다.
NGINX Instance 관리
효과적인 IT 자산 관리 및 보안을 위한 첫 번째 요구 사항은 IT 자산의 정확한 인벤토리입니다. NGINX 인스턴스 관리자를 사용하면 NGINX 오픈 소스와 NGINX Plus 인스턴스를 모두 빠르게 검색할 수 있습니다. 일부 고객은 모든 NGINX 오픈 소스 인스턴스를 추적하는 것이 어려울 수 있다고 말합니다. 그들은 조직 전체에 수천 개가 있을 것으로 의심하지만 실제로는 알지 못합니다. NGINX 인스턴스 관리자를 사용하면 NGINX 확산에 대해 스트레스를 받을 필요가 없습니다!
기업 보안 정책 준수 보장
Common Vulnerability and Exposures 기업에는 CVE( ) 의 영향을 받는 소프트웨어 또는 인프라 실행을 금지하는 엄격한 보안 정책이 있습니다.
NGINX 인스턴스 관리자는 CVE의 영향을 받는 소프트웨어 버전을 실행하는 NGINX 인스턴스를 식별합니다. 이러한 가시성을 통해 인스턴스를 CVE 수정 사항이 포함된 버전으로 업그레이드할 수 있습니다.
간편한 NGINX 구성 관리
귀하가 당사의 많은 고객과 같다면 귀하의 구성 중 일부가 녹슬어 있는 부분이 있을 것입니다. NGINX 인스턴스 관리자의 분석기는 구성을 자동으로 스캔하고 고객 성공 팀이 고객 프로덕션 환경에서 직면한 문제에서 수집한 모범 사례를 기반으로 변경 권장 사항을 제시합니다.
그런 다음 내장된 Monaco 편집기 (기본 Visual Studio Code 형식)를 사용하여 권장 사항을 구현하고 필요하다고 결정한 기타 변경 사항을 구현할 수 있습니다. 분석기 및 Monaco 편집기를 사용하면 NGINX 인스턴스 관리자를 사용하여 이전 구성을 매우 쉽게 정리할 수 있습니다.
선호하는 도구를 사용한 원활한 NGINX 모니터링
NGINX 인스턴스에 대한 가시성을 확보한 후에는 이를 모니터링하여 고성능과 강력한 보안을 보장해야 합니다. NGINX 인스턴스 관리자를 사용하면 4xx 와 같은 에러메세지를 Grafana 또는 Prometheus의 지표를 전달할 수 있습니다. 솔루션의 기본 경고 메커니즘을 사용하여 NGINX 문제에 대한 알림을 받을 수 있습니다.
NGINX 구성 및 유지 관리 자동화
NGINX 인스턴스 관리자는 DevOps 팀이 위에서 설명한 모든 기능(인스턴스 검색, 구성 및 지속적인 모니터링)을 자동화할 수 있는 간단한 RESTful API를 제공합니다. 이러한 작업을 CI/CD 워크플로에 쉽게 통합하여 DevOps 생산성을 높일 수 있습니다.
F5의 2022년 애플리케이션 전략 현황 보고서에 따르면 IT 의사 결정자의 90%는 자신의 조직이 5년 전보다 31% 증가한 200~1,000개의 앱을 관리한다고 보고했습니다. 어떻게 WAAP 채택을 촉진하는지에 대한 Enterprise Strategy Group의 또 다른 설문조사 최신 앱 보안 동향이 (2022년 5월, F5 제공)에서 대다수의 IT 의사 결정권자는 지난 2년 동안 애플리케이션 보안이 더욱 어려워졌으며 72%가 WAAP를 사용하고 있다고 말했습니다. WAF는 웹 애플리케이션을 보호합니다. 조직이 디지털 혁신을 계속하고 웹 애플리케이션이 계속해서 확산됨에 따라 WAF 보호에 대한 필요성도 커지고 있습니다. 그러나 대부분의 도구와 마찬가지로 WAF가 많을수록 일관되고 효과적으로 관리하기가 더 어려워집니다.
대규모 WAF를 관리하는 데 따른 과제는 다음과 같습니다.
대규모 WAF 관리는 보안 및 애플리케이션 팀이 모두 설정 및 유지 관리에 참여한다는 것을 의미합니다. WAF를 효과적으로 관리하고 애플리케이션을 적절하게 보호하려면 공격에 대한 전체적인 가시성과 WAF 성능을 글로벌 규모로 편집 및 게시할 수 있는 기능과 결합하는 적절한 도구가 필요합니다. 이 블로그에서는 WAF 제품군에 대한 중앙 집중식 보안 시각화 및 구성 관리의 이점을 살펴봅니다.
중앙 집중식 WAF 가시성을 통해 대규모로 실행 가능한 보안 통찰력 제공
대규모 WAF를 쉽게 관리하고 정보에 근거한 결정을 내리는 데 필요한 통찰력을 얻으려면 단일 창에서 WAF 전체에 대한 가시성을 제공하는 관리 플레인이 필요합니다. 주요 위반 및 공격, 오탐 및 부정, 공격 중인 앱, 악의적 행위자에 대한 정보를 볼 수 있습니다. 지리적 위치를 포함한 공격 그래프를 기반으로 보안 정책을 조정하고 WAF 이벤트 로그를 자세히 살펴보는 방법을 알아볼 수 있습니다.
NGINX의 도움: F5 NGINX Management Suite 보안 모니터링
의 보안 모니터링 모듈의 일반 가용성을 발표하게 되어 기쁘게 생각합니다 인 F5 NGINX Management Suite NGINX 제품군을 위한 통합 트래픽 관리 및 보안 솔루션 2022년 8월에 도입한 . 용 시각화 도구입니다 F5 NGINX App Protect WAF 보안 모니터링은 즉시 사용하기 쉬운 . 타사 도구의 필요성을 줄일 뿐만 아니라 앱 및 API 보호에 대한 고유하고 선별된 통찰력을 제공합니다. 보안, 개발 및 플랫폼 운영 팀은 위협을 분석하고, 보호 정보를 확인하고, 정책 조정 영역을 식별할 수 있는 능력을 확보하여 더 쉽게 문제를 감지하고 신속하게 해결할 수 있습니다.
그림 1: 보안 모니터링 기본 대시보드는 보안 팀에게 모든 웹 공격, 봇 공격, 위협 인텔리전스, 공격 요청 및 주요 공격 지리적 위치에 대한 개요 가시성과 추가 세부 위협 분석 및 빠른 문제 해결을 위한 탭을 제공합니다.
보안 모니터링 모듈을 사용하면 다음을 수행할 수 있습니다.
전체 NGINX 앱에 대한 구성 관리 WAF 플릿 보호
앱 공격과 취약점을 식별하는 데는 인식과 가시성이 필수적이지만 공격을 자동으로 감지하고 완화하는 WAF 정책을 구현하여 얻은 통찰력에 따라 조치를 취할 수 없다면 아무런 가치가 없습니다. WAF의 실제 가치는 WAF 전체에 걸쳐 정책을 생성, 배포 및 수정할 수 있는 속도와 용이성에 의해 정의됩니다. 수동 업데이트에는 막대한 시간과 정확한 기록 보관이 필요하므로 공격과 취약성에 더욱 취약해집니다. 그리고 타사 도구는 잠재적으로 효과적이기는 하지만 불필요한 복잡성을 추가합니다.
중앙 집중식 관리 플레인을 사용하면 보안 정책을 업데이트하고 버튼을 한 번만 눌러 하나, 여러 개 또는 모든 WAF에 푸시할 수 있는 기능을 통해 구성 관리가 가능해집니다. 이 방법에는 두 가지 분명한 이점이 있습니다.
NGINX의 도움: F5 NGINX Management Suite 인스턴스 관리자 – 구성 관리
모듈을 사용하여 대규모로 NGINX App Protect WAF를 관리할 수 있습니다 인스턴스 관리자 이제 NGINX Management Suite의 . 이 향상된 기능은 NGINX App Protect WAF에 대한 정책, 공격 서명 및 위협 캠페인을 생성, 수정 및 게시하기 위한 중앙 집중식 인터페이스를 제공하므로 위협에 대한 대응력이 향상되고 트래픽 급증을 처리할 수 있습니다.
그림 2: Instance Manager를 사용하면 보안 팀이 하나, 여러 개 또는 전체 NGINX App Protect WAF 인스턴스에 대한 정책을 생성, 수정 및 게시할 수 있습니다. 이 이미지는 WAF 인스턴스 그룹에 게시하기 위해 선택되는 정책을 보여줍니다.
인스턴스 관리자 모듈을 사용하면 다음을 수행할 수 있습니다.
F5 NGINX Management Suite 의 핵심 모듈인 Instance Manager는 모든 NGINX 오픈 소스 및 NGINX Plus 인스턴스를 쉽고 효율적으로 찾고, 관리하고, 모니터링할 수 있는 귀중한 리소스입니다 . 이제 인스턴스 관리자를 사용하면 NGINX 인스턴스를 간단하게 추적할 수 있습니다. 사용하기 쉬운 인터페이스를 통해 조직은 단일 창에서 모든 인스턴스를 편리하게 모니터링할 수 있습니다.
또한 인스턴스 관리자는 CVE(Common Vulnerability and Exposures)의 영향을 받는 인스턴스와 잠재적으로 만료된 SSL 인증서가 있는 인스턴스를 식별할 수 있습니다. 이러한 광범위한 검색 기능은 정보 기술(IT) 자산의 보안과 안전을 보장하는 데 매우 중요합니다. 또한 이 모듈은 이러한 취약점을 해결하는 데 도움이 되는 새 버전이 존재할 때 이를 알려주므로 NGINX 인스턴스를 사전에 관리하고 보호하려는 모든 사람에게 필수적입니다.
Instance Manager를 사용하면 자산이 정확하게 추적되고 있음을 확신할 수 있어 관리가 향상되고 전반적인 보안이 강화됩니다.
F5 NGINX Management Suite 의 핵심 모듈인 Instance Manager는 모든 NGINX 오픈 소스 및 NGINX Plus 인스턴스를 쉽고 효율적으로 찾고, 관리하고, 모니터링할 수 있는 귀중한 리소스입니다 . 이제 인스턴스 관리자를 사용하면 NGINX 인스턴스를 간단하게 추적할 수 있습니다. 사용하기 쉬운 인터페이스를 통해 조직은 단일 창에서 모든 인스턴스를 편리하게 모니터링할 수 있습니다.
또한 인스턴스 관리자는 CVE(Common Vulnerability and Exposures)의 영향을 받는 인스턴스와 잠재적으로 만료된 SSL 인증서가 있는 인스턴스를 식별할 수 있습니다. 이러한 광범위한 검색 기능은 정보 기술(IT) 자산의 보안과 안전을 보장하는 데 매우 중요합니다. 또한 이 모듈은 이러한 취약점을 해결하는 데 도움이 되는 새 버전이 존재할 때 이를 알려주므로 NGINX 인스턴스를 사전에 관리하고 보호하려는 모든 사람에게 필수적입니다.
Instance Manager를 사용하면 자산이 정확하게 추적되고 있음을 확신할 수 있어 관리가 향상되고 전반적인 보안이 강화됩니다.
NGINX Management Suite 인스턴스 관리자 작동 방식
인스턴스 관리자를 사용하면 ICMP(인터넷 제어 메시지 프로토콜)를 사용하여 활성 호스트를 식별하여 환경에서 NGINX 인스턴스를 쉽게 검색할 수 있습니다.
활성 호스트를 식별하는 데 두 가지 기본 방법을 사용할 수 있습니다.
인스턴스를 검색하려면 검색 페이지로 이동하여 포트 번호와 함께 IP 주소를 제공하세요. 이 프로세스는 간단하며 스캔 페이지에 제공된 단계에 따라 수행할 수 있습니다.
그림 1. ICMP가 활성화된 경우 NGINX 스캔 개요
활성 호스트를 식별하려면 먼저 ICMP Hello 패킷을 사용하여 포트 접근성을 확인한 다음 TCP 핸드셰이크를 수행합니다. NGINX를 탐지하려면 서버의 HTTP 헤더를 분석하세요.
참고 : NGINX Plus에서 HTTP가 활성화된 경우 스캔을 통해 CVE 취약점이 드러날 수 있습니다. 그러나 NGINX Plus에서 HTTP를 비활성화하면 잠재적으로 이 접근 방식의 정확성에 영향을 미칠 수 있습니다. 비활성화하도록 선택하면 스캔에서 CVE를 식별할 수 없습니다. 따라서 활성 호스트를 식별하는 데 있어 가장 포괄적이고 효과적인 결과를 얻으려면 NGINX Plus에서 HTTP를 활성화된 상태로 유지하는 것이 좋습니다.
그림 2. ICMP가 활성화된 경우 Wireshark 캡처
ICMP가 비활성화되면 TCP 핸드셰이크 방법을 통해 포트를 확인하여 포트가 제대로 작동하는지 확인할 수 있습니다. 이 방법은 포트의 응답을 평가하고 포트가 예상대로 작동하는지 확인합니다. SYN 요청에 응답하면 인스턴스 관리자는 포트가 NGINX를 실행 중인지 또는 인증서가 만료되었는지 확인할 수 있습니다.
참고 : SYN 요청에 응답하지 않으면 프로세스가 지연될 수 있으며 잠재적으로 포트 고갈 문제가 발생할 수 있습니다.
그림 3. ICMP가 비활성화된 경우 NGINX 스캔 개요
인스턴스 관리자에는 NGINX 서버의 일부인지 여부에 관계없이 모든 서버의 SSL 인증서 날짜를 확인할 수 있는 기능이 있습니다. 이 모듈은 잠재적인 만료를 식별하기 위해 각 서버의 SSL 인증서 날짜를 포괄적으로 평가합니다. Instance Manager가 수행하는 스캔은 요청된 모든 포트를 검사하고, 만료된 SSL 인증서에 대해 경고하며, 기업을 안전하게 유지하는 데 도움이 되는 귀중한 통찰력을 제공합니다.
그림 4. ICMP가 비활성화된 경우 Wireshark 캡처
마지막으로, 역할 기반 액세스 제어(RBAC)를 구현하면 스캔을 시작할 수 있는 사람과 스캔 결과에 대한 액세스 권한을 부여한 사람을 완벽하게 제어할 수 있습니다. 이 기능을 사용하면 승인된 담당자만 결과에 액세스할 수 있으므로 민감한 정보는 기밀로 안전하게 유지됩니다.
인스턴스 관리자를 사용하면 ICMP(인터넷 제어 메시지 프로토콜)를 사용하여 활성 호스트를 식별하여 환경에서 NGINX 인스턴스를 쉽게 검색할 수 있습니다.
㈜시큐웨이브 | 서울시 서초구 매헌로 16 하이브랜드 빌딩 4F | 사업자등록번호 : 264-81-09394
대표번호 : 02-3404-5757 | 팩스 : 02-3404-5778 | E-mail : sales@secuwave.co.kr
COPYRIGHT © 2024 NGINXKOREA CO,. LTD. ALL RIGHTS RESERVED.