운영 환경 actuator 노출 여부
436
작성한 질문수 1
운영환경에서 actuator endpoint를 노출 시킬 수 있을지
문의 드립니다.
개발 환경에서는 상관 없겠지만, 실제 서비스 운영 환경에서
actuator 관련 end point url을 노출시키면 보안 관련 이슈 및 문제로 인해 노출시키지 못하는걸로 알고 있는데
해당 운영 환경에서 가능한 것인지 문의 드립니다.
추가로 운영 환경에서는 actuator end point 노출에 대한
안전 장치가 별도 구성되어야 되는지 문의 드립니다.
답변 1
1
안녕하세요, 이도원입니다.
Actuator의 기능은 보안상 외부에 노출하지 않는 것이 좋습니다. 어떤 설정이 들어가느냐에 따라서 달라지겠지만, 애플리케이션의 다양한 정보가 노출되기 때문입니다. 따라서, actuator의 URI를 허가된 곳에서만 사용되도록 WebSecurity를 제어하시는 것이 좋을 것 같습니다. apigateway-service에서도 제어가 가능하며, user-service와 같은 애플리케이션에서는 WebSecurity와 같은 빈으로 제어하실 수도 있습니다. 해당 URI에 접속 요청 시, 일반적인 Token이나 인증이 아닌, 관리자의 인증으로만 허가해 주는 방식이면 외부 서비스의 연결 없이도 제어가 가능할 거라 생각됩니다.
감사합니다.
kafka 업데이트 강의 듣고 시포요
0
85
1
강의 교안
0
73
1
마이크로서비스간 통신 시, 인증 처리
0
79
1
api gateway 에서 인증 처리
0
65
1
섹션 19 질문드립니다
0
52
1
강의 자료 업데이트
0
82
1
부하분산 강의 섹션
0
57
1
강의자료는 어디에서?
0
71
1
강의 자료는 어디서 다운 받을 수 있나요?
0
110
1
전체 사용자 조회시 오류
0
58
1
혹시 pk 외 별도의 id 를 부여한 이유가 있을까요 ??
0
110
2
학습 방향
0
95
2
카프카 커넥터 사용 목적 문의
0
85
2
kafka 강의
0
108
2
서비스 디스커버리 종류
0
87
2
강의 자료에 대해서 궁금해요
0
116
2
GlobalFilter, LoggingFilter가 동작하지 않습니다.
0
90
2
Kafka Source Connect 버전 에러
0
84
2
소스커넥터는 사용안한 거 맞죠?
0
81
2
강의자료 업데이트 문의
0
95
2
강의에서 BCryptPasswordEncoder 에 역할(5-2)
0
56
1
강의 업데이트 계획이 궁금합니다.
0
112
2
MSA 애플리케이션에 Spring Web과 Spring Data JPA를 사용하는 것이 바람직한지 궁금합니다. (MSA 설계와 관련된 질문입니다)
0
161
2
어떤 것이 업데이트 된 건가요?
0
163
2