저는 오랫동안 ColdFusion을 사용해 왔습니다. 보안을 극대화하려면 웹 서버를 ColdFusion 서버와 물리적으로 분리해야 한다는 것이 내 머리 속에 심어진 것입니다. 그래서 저는 항상 Adobe가 "분산 모드"라고 부르는 것을 사용하여 이 작업을 수행해 왔습니다. IIS는 한 서버에 있고 ColdFusion은 다른 서버에 있습니다. 네트워크를 통해서라도 평소처럼 웹 커넥터를 통해 통신합니다.
몇 년 동안 저는 역방향 프록시를 사용하는 것이 분산 모드에서 실행하는 것만큼 안전하다는 게시물을 접했습니다. 역방향 프록시 설정을 사용하면 웹 서버와 ColdFusion 서버가 동일한 물리적 시스템에 있지만 기본적으로 요청을 처리하고 웹 서버로 작동하는 프록시 서버가 있습니다. 아직도 내 생각에는 물리적 분리가 더 안전하다고 생각합니다.
인터넷에서 확실한 추천을 찾기는 어렵습니다. 분산 모드는 여전히 언급되어 있습니다.ColdFusion 11 설명서-멀티호밍 및 분산 사용에 대한 정보를 포함하여 웹 서버 구성 도구에 대한 자세한 내용은 ColdFusion 구성 및 관리 안내서를 참조하십시오.. (참조 페이지에는 실제로 많은 정보가 없지만) 두 설정 모두 다양한 블로그와 게시물에서 언급되는 것 같지만 사람들이 분산 모드 설정보다는 역방향 프록시 설정을 사용하는 것이 더 일반적이라고 생각합니다. 구체적인 것은 없고, 웹을 샅샅이 뒤지면서 느낀 것뿐입니다. 웹 서버와 ColdFusion 서버가 별도의 서버에 있는 분산 모드에서 실행하면 설정 시 확실히 복잡성이 추가됩니다. 정적 파일은 웹 서버에 있고 CFML 파일은 ColdFusion 서버에 있습니다. 기타. 타사 제품을 사용하는 경우 이를 올바르게 구성하기 어려울 수 있습니다.
그래서 내 질문은 다른 모든 것이 동일하다고 가정할 때 최대 보안을 위해 분산 모드를 사용합니까 아니면 역방향 프록시 설정을 사용합니까? 그리고 그렇게 하는 몇 가지 이유.
불행히도 ColdFusion 잠금 가이드는 문제를 혼란스럽게 합니다. 내가 찾은 것은 다음과 같습니다.
에서ColdFusion 9 잠금 가이드(14-15페이지)에는 다음과 같이 명시되어 있습니다.
ColdFusion을 분산 모드로 설치하는 것도 고려할 수 있습니다. 이를 통해 웹 서버는 ColdFusion 서버와 물리적으로 분리된 서버에 상주할 수 있습니다. 여러 웹 서버를 단일 ColdFusion 서버에 연결할 수도 있습니다(ColdFusion 9 설명서에서는 이를 멀티호밍이라고 함). 이러한 분리는 추가 보안을 제공할 수 있으며 최대 보안이 필요한 환경에서는 고려해야 합니다. 분산 모드를 설치하려면 내장 웹 서버 옵션을 선택하세요. 분산 모드 구성에 대한 자세한 내용은 다음을 참조하세요.http://www.adobe.com/support/coldfusion/administration/cfmx_in_distributed_mode/cfmx_in_distributed_mode02.html. 멀티호밍에 대한 자세한 내용은 다음을 참조하세요.http://help.adobe.com/en_US/ColdFusion/9.0/Admin/WSc3ff6d0ea77859461172e0811cbf364104-7fc3.html.
공용 웹 서버와 ColdFusion 서버를 분리하는 또 다른 방법은 역방향 프록시를 사용하는 것입니다. 역방향 프록시 설정에서 ColdFusion 서버에는 여전히 웹 서버가 설치되어 있지만 모든 외부 클라이언트 요청은 프록시 서버에서 처리되며 특정 요청은 처리를 위해 ColdFusion 서버로 전송됩니다.
에서ColdFusion 10 잠금 가이드(27 페이지) 해당 진술은 다음과 같이 정리되었습니다.
보안을 극대화하려면 별도의 물리적 서버에서 웹 서버와 ColdFusion을 실행하는 것이 좋습니다. 공용 웹 서버와 ColdFusion 서버를 분리하는 한 가지 방법은 역방향 프록시를 사용하는 것입니다.
역방향 프록시 설정에서 ColdFusion 서버에는 웹 서버가 계속 설치되어 있지만 모든 외부 클라이언트 요청은 프록시 서버에서 처리되며 특정 요청만 처리를 위해 ColdFusion 서버로 전송됩니다. 역방향 프록시를 설정하려면 웹 서버 설명서를 참조하세요.
그리고ColdFusion 11 잠금 가이드둘 다 언급이 없습니다. 웹 서버 구성 도구 실행과 함께 다른 문서에 명령문이 있는 11페이지나 그 부근에 있어야 할 것 같습니다. 피트가 최근 문서에서 이 내용을 왜 꺼냈는지 매우 궁금합니다.
Adobe ColdFusion을 사용하는 동안 더 많은 정보를 제공하기 위해 이 질문에 Railo 태그를 추가했습니다.
답변1
"분산 모드"(웹 서버와 CF 서버가 별도의 상자에 있음)를 리버스 프록시 사용과 상호 배타적인 것으로 혼동하고 있습니다. 실제로는 두 가지 별도의 문제입니다. 역방향 프록시는 표준 웹 커넥터 사용의 대안일 뿐입니다. 이는 단순히 웹 서버(IIS, Apache, Nginx)가 CFML 페이지에 대한 요청을 CF 상자의 특정 호스트/포트에 있는 HTTP/HTTPS 또는 AJP 포트로 리디렉션하도록 합니다. 적절한 포트가 열려 있는 한 로컬 호스트 또는 네트워크의 다른 서버로 프록시하도록 역방향 프록시를 구성할 수 있습니다.
전. 포트 8009에서 Tomcat의 AJP 수신기를 활성화할 수 있습니다. 그런 다음 Apache 웹 서버(네트워크의 어느 위치에나 있을 수 있음)에서 Proxy_ajp 모듈을 사용하여 .cfm 파일에 대한 프록시 요청을 해당 포트로 되돌립니다.
내 웹 서버를 겨냥한 공격 벡터의 수가 훨씬 적은 것 같기 때문에 저는 개인적으로 분산 모드를 다루어 본 적이 없습니다. 그러나 "분산 모드"를 사용하기로 선택한 경우 스톡 커넥터 또는 역방향 프록시를 사용하여 그렇게 할 수 있습니다. 그것은 당신에게 달려 있습니다.
답변2
분산 모드 또는 REVERSE PROXY 설정은 거의 유사한 수준의 보안을 제공하지만 분산 모드에는 추가 고가용성 및 안정성 서버 시나리오가 있습니다.