• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    미해결

운영 환경 actuator 노출 여부

21.08.31 10:02 작성 조회수 228

0

운영환경에서 actuator endpoint를 노출 시킬 수 있을지 

문의 드립니다.

개발 환경에서는 상관 없겠지만, 실제 서비스 운영 환경에서

actuator 관련 end point url을 노출시키면 보안 관련 이슈 및 문제로 인해 노출시키지 못하는걸로 알고 있는데

해당 운영 환경에서 가능한 것인지 문의 드립니다.

추가로 운영 환경에서는 actuator end point 노출에 대한

안전 장치가 별도 구성되어야 되는지 문의 드립니다.

course-thumbnail

Spring Cloud로 개발하는 마이크로서비스 애플리케이션(MSA)

Micrometer 구현

강의실 바로가기

답변 1

답변을 작성해보세요.

1

Dowon Lee님의 프로필

Dowon Lee

지식공유자

2021.09.02

안녕하세요, 이도원입니다. 

Actuator의 기능은 보안상 외부에 노출하지 않는 것이 좋습니다. 어떤 설정이 들어가느냐에 따라서 달라지겠지만, 애플리케이션의 다양한 정보가 노출되기 때문입니다. 따라서, actuator의 URI를 허가된 곳에서만 사용되도록 WebSecurity를 제어하시는 것이 좋을 것 같습니다. apigateway-service에서도 제어가 가능하며, user-service와 같은 애플리케이션에서는 WebSecurity와 같은 빈으로 제어하실 수도 있습니다. 해당 URI에 접속 요청 시, 일반적인 Token이나 인증이 아닌, 관리자의 인증으로만 허가해 주는 방식이면 외부 서비스의 연결 없이도 제어가 가능할 거라 생각됩니다. 

감사합니다. 

이 글과 비슷한 Q&A