작성
·
329
0
운영환경에서 actuator endpoint를 노출 시킬 수 있을지
문의 드립니다.
개발 환경에서는 상관 없겠지만, 실제 서비스 운영 환경에서
actuator 관련 end point url을 노출시키면 보안 관련 이슈 및 문제로 인해 노출시키지 못하는걸로 알고 있는데
해당 운영 환경에서 가능한 것인지 문의 드립니다.
추가로 운영 환경에서는 actuator end point 노출에 대한
안전 장치가 별도 구성되어야 되는지 문의 드립니다.
답변 1
1
안녕하세요, 이도원입니다.
Actuator의 기능은 보안상 외부에 노출하지 않는 것이 좋습니다. 어떤 설정이 들어가느냐에 따라서 달라지겠지만, 애플리케이션의 다양한 정보가 노출되기 때문입니다. 따라서, actuator의 URI를 허가된 곳에서만 사용되도록 WebSecurity를 제어하시는 것이 좋을 것 같습니다. apigateway-service에서도 제어가 가능하며, user-service와 같은 애플리케이션에서는 WebSecurity와 같은 빈으로 제어하실 수도 있습니다. 해당 URI에 접속 요청 시, 일반적인 Token이나 인증이 아닌, 관리자의 인증으로만 허가해 주는 방식이면 외부 서비스의 연결 없이도 제어가 가능할 거라 생각됩니다.
감사합니다.