과제
Last updated
Last updated
엔터프라이즈 애플리케이션을 개발하는 H사는 고객사의 보안규정에 맞게 소프트웨어 및 인프라를 개발, 설계, 구축하고 있습니다. 새로운 웹 애플리케이션을 구축하는 과정에서 웹서버에 대한 접근은 단일 포인트를 통해서만 가능해야 한다는 요구 조건이 있어서 아래와 같은 구조를 가진 웹서비스를 구축중입니다.
애플리케이션 로드 밸런서에서 웹서버로의 접근은 웹서버의 보안그룹을 통해서 접근제한을 하고 클라우드프론트 웹 배포(Web Distribution)에서 애플리케이션 로드 밸런서의 접근은 클라우드프론트에 들어온 웹 요청에 사용자 지정 HTTP 헤더를 추가하고 애플리케이션 로드 밸랜서에 연동된 웹 애플리케이션 방화벽(WAF)에서 HTTP 헤더값을 확인해서 일치할 경우에는 접근은 허가하는 방식으로 웹서비스를 설계 및 구축했습니다.
이로써 웹서비스의 접근은 클라우드프론트 웹 배포를 통해서만 가능하지만 고객사의 추가 요청 사항은 사용자 지정 헤더값은 하나의 암호이기 때문에 주기적으로 변경을 해줘야 한다고 합니다. AWS Secrets Manager의 Secret 자동 교체 기능을 사용해서 비밀(사용자 지정 헤더) 변경을 자동화하세요.
CDK를 통해서 기본 인프라 구축을 하고 비밀(사용자 지정 헤더), 클라우드프론트 웹 배포에 지정된 사용자 지정 헤더와 WAF 규칙도 업데이트 해주는 람다를 생성하세요.
