카우치베이스 서버 7.0에 TLS 1.3 암호화 도입

이제 플랫폼의 보안을 강화하기 위한 몇 가지 추가 개선 사항이 포함된 Couchbase Server 7.0 베타를 사용할 수 있습니다. Couchbase는 포트폴리오 전반에 걸쳐 TLS 암호화를 사용하여 네트워크를 통한 통신의 보안을 보장하므로 외부에서 애플리케이션이 데이터베이스에 요청하거나 클러스터의 노드 사이 또는 클러스터 간에 이동하는 데이터를 도청하거나 변조할 수 없습니다. 새로운 중요한 발표는 TLS 1.3 지원의 도입입니다. 

TLS란 무엇인가요? 

약간의 역사부터 시작하겠습니다.  

전자상거래나 온라인 뱅킹과 같은 보안 웹사이트에 접속하는 것에 대해 이야기할 때, 사람들은 종종 SSL 암호화를 기본 시스템으로 언급하며 이를 안전하게 보호한다고 말하는 것을 듣게 됩니다. 이는 일반적인 실수입니다. 보안 소켓 계층(SSL)은 원래 이를 위해 사용되던 시스템이었지만 1999년에 전송 계층 보안(TLS)이 도입되면서 대체되었습니다(RFC 2246)는 전 세계가 온라인 통신을 보호하는 데 사용하는 방법입니다. 시간이 지남에 따라 TLS 1.1(RFC 4346) 표준을 2006년에 발표했고, 2008년에 다시 TLS 1.2 표준을 발표했습니다(RFC 5246). 하지만 HTTPS는 SSL을 의미하지 않나요? 아니요, HTTPS의 S는 보안 HTTP를 의미합니다.

2018년 여름, TLS 1.3 표준의 최종 사양은 다음과 같이 합의되었습니다. RFC 8446 그리고 이것이 바로 Couchbase Server 7.0에서 소개하는 기능입니다.

TLS는 클라이언트와 서버로 구성됩니다. 클라이언트는 핸드셰이크로 연결을 시작하여 처리할 수 있는 암호 모음 목록을 제시합니다. 암호 모음은 일반적으로 키 교환 알고리즘, 일괄 암호화 알고리즘, 메시지 인증 코드(MAC) 알고리즘을 포함하는 암호화 알고리즘 집합입니다. 이 목록에서 서버는 통신 방법을 알고 있는 기능 집합을 선택한 다음 클라이언트에게 진행 방법을 알려줍니다.

카우치베이스가 TLS 1.3 지원을 추가하는 이유는 무엇인가요?

 TLS 버전 1.2는 현재까지도 여전히 안전한 옵션이지만, 최신 1.3 표준을 채택함으로써 아직 발견되지 않은 위협에 대한 미래 대비를 하고 있습니다. 다른 보안과 마찬가지로 시간이 지남에 따라 알고리즘과 프로토콜이 개선되어 보안이 강화되고 통신을 가로채거나 변조하기 어렵게 만드는 추가 기능이 추가됩니다. 

예를 들어, 이전 TLS 1.2에서는 관리자가 강력한 암호를 약한 암호보다 선호하도록 암호 모음 기본 설정을 구성할 수 있었지만 대부분의 관리자는 이 기능을 활용하지 않고 암호의 기본 순서를 그대로 두어 자신도 모르게 취약한 상태로 만듭니다. TLS 1.3이 도입되면서 이러한 구형 암호 중 상당수는 옵션으로 사용할 수 없게 되었기 때문에 기본 제공되는 암호 제품군은 이미 더 높은 표준에 도달했습니다. 

현재 세계에서 가장 인기 있는 웹 브라우저인 Google 크롬, 더 이상 지원하지 않습니다. TLS 1.0 또는 1.1 프로토콜을 사용하여 보안이 설정된 웹사이트에 연결합니다. Firefox, Safari 및 Edge에도 유사한 조치가 마련되어 있습니다.  또한 신용카드 결제를 처리하는 기업에게 의무화된 PCI DSS 보안 표준은 2018년 7월부터 TLS 1.1 이상을 요구하고 있으며, TLS 1.2를 사용하도록 강력히 권고하고 있습니다.  많은 업계에서 TLS 1.0과 1.1은 더 이상 안전하지 않다고 생각하기 때문에 Couchbase는 모든 사용 사례에 TLS 1.2 이상을 사용할 것을 고객에게 권장합니다. TLS 1.3을 도입함으로써 표준보다 한 발 앞서 나가게 되었습니다.

Couchbase Server 7.0에서 TLS 1.3을 사용하려면 어떻게 해야 하나요?

이 과정은 간단하며 다음과 같은 우수한 무료 SSL/TLS 테스트 도구를 사용할 것입니다. http://testssl.sh 를 클릭하여 사용 중인 프로토콜을 확인합니다.

최신 버전은 웹사이트에서 다운로드 또는 git 복제본으로 받을 수 있으며, 여기서는 Ubuntu 16 머신을 사용하여 git 저장소를 통해 다운로드하겠습니다.

다음으로 Couchbase Server 7.0 베타의 기본 설치를 테스트해 보겠습니다. 간결성을 위해 추가 헤더 및 경고 없이 테스트 SSL 도구를 호출하고 프로토콜 정보만 표시하겠습니다. 이 도구는 Couchbase Server 노드 중 하나에서 데이터 서비스 TLS 암호화 포트. 

보시다시피 서버와 클라이언트는 서로가 이해하는 가장 강력한 프로토콜을 협상했기 때문에 별도의 구성 변경 없이 TLS 1.3으로 최종 연결이 설정됩니다.

클러스터에서 더 이상 사용되지 않는 구형 TLS 1.0/1.1 프로토콜도 제공하지 않도록 하려면 어떻게 해야 할까요? 클러스터 전체에 대한 CLI 명령을 실행하여 TLS 버전 1.2를 최소한으로 요구할 수 있습니다. 

그런 다음 데이터 서비스 포트를 다시 테스트합니다.

 보시다시피 TLS 1.2 이상만 옵션으로 제공되었습니다. 

이 글을 쓰는 시점에, Couchbase Server 7.0 베타의 모든 Couchbase 서비스에서 TLS 1.3이 구현되지 않았으므로 클러스터 전체에 TLS 1.3 최소값을 설정하는 옵션은 아직 사용할 수 없습니다.

하지만 REST API를 사용하여 사용할 수 있는 서비스에서 최소 TLS를 1.3으로 설정하면 됩니다. 데이터 서비스 암호화 포트를 TLS 1.3만 허용하도록 설정해 보겠습니다. 

그런 다음 테스트 도구를 다시 실행합니다. 

보시다시피, 이제 TLS 1.3이 유일한 옵션으로 제공됩니다.

지금 바로 Couchbase Server 7.0 베타를 사용해 보고 새로운 보안 기능을 사용해 보세요!

베타 사용 가능 여부 및 기간

문서

새로운 기능

릴리스 노트

추가 블로그

최신 멀티테넌트 애플리케이션을 위한 범위 및 컬렉션: Couchbase 7.0

N1QL을 사용한 카우치베이스 트랜잭션

커뮤니티 에디션 및 엔터프라이즈 에디션 베타 버전 받기

다운로드

카우치베이스 7 베타는 엔터프라이즈 에디션과 커뮤니티 에디션 모두에서 사용할 수 있습니다. 누구나 다음에서 소프트웨어를 다운로드할 수 있습니다. https://www.couchbase.com/downloads

고객 지원은 일반 지원 채널을 통해 제공되며, 커뮤니티 지원은 다음 Couchbase 포럼을 통해 제공됩니다. https://www.couchbase.com/forums/