์ฌ์ฉ์๊ฐ APIM์ ๋ชจ๋ ๋ชจ๋์ ๋ก๊ทธ์ธํ ๋ ์ํธ๊ฐ ์ผ๋ฐ ํ
์คํธ๋ก ํ๋ฆ
๋๋ค.
๋ก๊ทธ์ธํ๋ฉด ํค๋ ํญ์ ์์ ๋ฐ์ดํฐ๊ฐ ์ผ๋ฐ ํ ์คํธ๋ก ํ์๋๋์ง ํ์ธํ์ญ์์ค.
OWASP A3-Sensitive Data Exposure์ ๋ฐ๋ฅด๋ฉด ์ํธ๋ ์ผ๋ฐ ํ ์คํธ ํ์์ผ๋ก ์ด๋ํ ์ ์์ผ๋ฉฐ ๋ค์์ ์ํํ์ฌ ๋ฐฉ์งํด์ผ ํฉ๋๋ค.
์ด๊ฒ์ด ์ฃผ์ ๊ด์ฌ์ฌ์ด๊ณ 3.1์ ์ต์ข ๋ฒ์ ์ ์ด๋ฅผ ํฌํจํ ์ ์์ผ๋ฏ๋ก ์ดํด๋ณด๊ณ ๋์์ฃผ์ธ์. ๊ทธ๊ฒ์ ๋๊ฒ ํ๊ฐ๋ ๊ฒ์ ๋๋ค.
APIM์ ๋ชจ๋ ๋ฒ์
@ashishpilania18 ์ฌ๊ธฐ์ ๋ฌธ์ ๊ฐ ๋ณด์ด์ง ์์ต๋๋ค. ๋ธ๋ผ์ฐ์ ๋คํธ์ํฌ ํญ์๋ ์ ์ถํ๋ ์์์ ์ผ๋ฐ ํ
์คํธ ๊ฐ์ด ํ์๋ฉ๋๋ค. https
๋ฅผ ์ฌ์ฉํ๋ ๊ฒฝ์ฐ ์ ์ ์ผ๋ก ์ ์กํ ๋(๋ธ๋ผ์ฐ์ ์์ ๋๊ฐ ๋) ํ์์ด ์ํธํ๋ฉ๋๋ค.
@ํ๋ผ๋ฏผ๋ค
๋๋ ์ดํดํ์ง๋ง OWASP์ ๋ณด์ ์ง์นจ์ ๋ฐ๋ผ ํด๋ผ์ด์ธํธ ์ธก์์ https๋ฅผ ๋ณด๋ด๊ธฐ ์ ์ ์ํธํํด์ผ ํ๋ฏ๋ก ํด๋ผ์ด์ธํธ ์ธก์์๋ ์๋ฌด๋ ๋น๋ฐ๋ฒํธ๋ฅผ ๋ณผ ์ ์์ต๋๋ค.
์ 3์๊ฐ ์ด๋ฅผ ์ ์ฉํ ์ ์๋ ๋ฐฉ๋ฒ์ ๋ํ ์ฐ๋ ค๊ฐ ์ฌ์ ํ ์์ต๋๋ค. ์ด์จ๋ ์ด๊ฒ์ ๋ณด์ ๊ด๋ จ ๋ฌธ์ ์ด๋ฏ๋ก https://github.com/wso2/product-apim/security/policy ์์ ํ๋ก์ ํธ ๋ณด์ ์ ์ฑ ์ ๋ฐ๋ผ ์ด ๋ฌธ์ ๋ฅผ ๋ณด๊ณ ํ ์ ์์ต๋๋ค.
@ํ๋ผ๋ฏผ๋ค
์๋ฅผ ๋ค์ด ๋คํธ์ํฌ์ ์ค๋ํผ ํ ๋ช
์ ๋ฃ์๊ณ ๋ก๊ทธ์ธํ๋ ๋์ ๋ณด๋ด๋ ๋ชจ๋ ํจํท์ ์ค๋ํํ๊ณ ์์ต๋๋ค. ๋ฐ๋ผ์ ํจํท์ด http ๋คํธ์ํฌ์์ https๋ฅผ ํตํด ๋๋ฌํ๊ธฐ ์ ์ ์ํธ๋ฅผ ์๊ณ ์ ์ฒด ์์คํ
์ ์ทจ์ฝํ๊ฒ ๋ง๋ญ๋๋ค.
์ข ๋ด์ฃผ์ธ์
์๋ ํ์ธ์ @ashishpilania18 ,
HTTPS ์๋ ๋ฐฉ์ ์์๋ ๋ถ๊ฐ๋ฅํฉ๋๋ค. ์ค๊ฐ์ ์ค๋ํ์ ํ๋ฉด API Manager ์๋ฒ์ ๊ฐ์ธ ํค๊ฐ ์์ด์ผ ํ์ง ์์ต๋๊น?
@tmkasun
๋ณด์์์ ์ด์ ๋ก ์ฐ๋ฆฌ๋ ๊ทํ์ ์์ฉ ํ๋ก๊ทธ๋จ์ WAF๋ฅผ ํตํด ๋ฐฐ์นํ์ผ๋ฉฐ ์ด๋ก ์ธํด WAF๋ฅผ ํตํด ์ํธ๋ฅผ ์ฝ๊ฒ ๋ณผ ์ ์์ต๋๋ค. ์ด๋ฅผ ํผํ๊ธฐ ์ํด TLS๋ฅผ ํตํ ์ํธ ํด์ฑ์ด ํ์ํ์ต๋๋ค. ์ ํฌ ์ชฝ์์ ์ด๊ฒ์ ๊ตฌํํ๋ ๋ฐฉ๋ฒ์ ์ ์ํ๊ณ ๋์์ฃผ์ธ์.
@tmkasun
์ด์ ๊ด๋ จํ์ฌ ๋์์ ์ฃผ์๊ณ ์ฐ๋ฆฌ๊ฐ ํ ์ ์๋ ๋ชจ๋ ๋ณ๊ฒฝ ์ฌํญ์ ์ ์ํ๊ณ ์คํํ๋๋ก ํ์ญ์์ค.
๊ฐ์ฅ ์ ์ฉํ ๋๊ธ
@ashishpilania18 ์ฌ๊ธฐ์ ๋ฌธ์ ๊ฐ ๋ณด์ด์ง ์์ต๋๋ค. ๋ธ๋ผ์ฐ์ ๋คํธ์ํฌ ํญ์๋ ์ ์ถํ๋ ์์์ ์ผ๋ฐ ํ ์คํธ ๊ฐ์ด ํ์๋ฉ๋๋ค.
https
๋ฅผ ์ฌ์ฉํ๋ ๊ฒฝ์ฐ ์ ์ ์ผ๋ก ์ ์กํ ๋(๋ธ๋ผ์ฐ์ ์์ ๋๊ฐ ๋) ํ์์ด ์ํธํ๋ฉ๋๋ค.