한 원격 SaaS 기업은 애플리케이션 자체를 수정할 필요 없이 스테이징 환경을 라이브 버전과 다르게 보호할 수 있는 편리하면서도 안전한 방법을 찾고 있었습니다. 이 기업은 모든 팀원(임시 팀원 포함)이 자격 증명을 공유해야 하는 HTTP Basic 인증을 사용하고 있었는데, 이는 매우 번거로웠습니다.

IP 기반 액세스 제한을 배포하고 ZenVPN 전용 서버를 사용하여 스테이징 애플리케이션과 특정 백오피스 애플리케이션에 고정된 IP 주소 집합에서 연결합니다.

또한 팀원 대부분이 개인 하드웨어를 업무에 사용하고 일부는 독립 계약자이기 때문에 클라이언트가 자신의 컴퓨터에 대한 이러한 수준의 제어를 허용하지 않는 팀원들에게 포괄적인 트래픽 라우팅 규칙을 주입하지 않는 것이 중요했습니다. 분할 터널링을 사용하면 프로젝트 관련 트래픽만 VPN을 통해 라우팅되므로 이 문제를 쉽게 해결할 수 있었습니다.

마지막으로, 이 회사는 애플리케이션 서버에 대한 ssh 액세스에 사용하는 바스티온 호스트에 IP 화이트리스트를 구현하여 추가 보안 계층을 추가하기로 결정했습니다.

구현

스테이징 및 백오피스 애플리케이션의 경우, Nginx ngx_http_access_module 모듈을 사용하여 IP 제한을 구현했습니다:

allow: "{{ shield_ips }}"
deny: all

바스티온 호스트의 경우 AWS 보안 그룹을 사용하여 제한을 구현했습니다:

resource "aws_security_group" "bastion" { name = "bastion" vpc_id = aws_vpc.main.id ingress { description = "SSH from Internet" protocol = "tcp" from_port = 22 to_port = 22 cidr_blocks = shieldIps ipv6_cidr_blocks = shieldIpv6s } }

결론

이 회사는 IP 기반 액세스 제한과 함께 ZenVPN을 사용하여 스테이징 및 백오피스 애플리케이션에 대한 액세스를 눈에 띄지 않게 관리할 수 있었고 핵심 제품 개발에 집중할 수 있었습니다.