WAF
AWS WAF Custom Rule 간단 예제
cors를 맞추다가 스트레스 받아서 기존의 waf에 cors과 관련된 것들을 처리할 수 있을 거라 생각했는데, 역시나 있었다. 우아한 형제들 기술 블로그를 참조해서 대강 설명을 읽고, 가볍게 작동만 시켰다. 내가 원하는 것은 특정 도메인이 아니면 요청을 없애고 싶었다. ALB에 WAF옵션을 붙여놨기 때문에 WAF 옵션만 설정해줬다. AWS WAF -> Web ACLs -> acl 선택 후에 커스텀 룰을 만든다. 룰 설정 header에 origin에는 도메인 주소가 실려있어서 활용했다. header에 origin에 프론트 도메인이 없으면 block시키는 조건이다. 이래도 되나 싶긴 하지만, 일단 원하는 것은 만들어 냈다. 추후 여러 조건들을 활용해서 커스텀 룰을 더 많이 만들고, 디테일한 설정도 가능할 것..
[Nodejs] blocked by CORS policy: No 'Access-Control-Allow-Origin' header is pres
작업을 하다가 프론트가 Form-data에 실어서 보내면 이상하게 Cors가 걸렸다. 설정은 다 마쳤는데.. 처음에 Nginx 셋팅이 이상한가 싶어서 용량도 모두 재셋팅했다. 대부분의 레퍼런스들은 서버내의 ngimx.config 파일에서 옵션을 추가해줘야 한다해서, 저기에 추가하고, 저기가 아닌가 싶어 nginx 폴더 내의 server 탭에는 모두 추가해봤는데도 안 됐다. 혹시 AWS 로드밸런서에 문제가 있나 싶어 검사하기로 했다. WAF에 들어가서 확인해보니 .... ....? action에 block이 있었다. ( 캡쳐에는 전부 ALLOW 지만..) WAF 옵션에서, common rules를 제거하니 정상작동 됐다.
AWS 로드밸런스 ACL 적용 EC2 WAF, ACL
이번 프로젝트에서 보안과 악의적 중복 요청 방지에 대해 고민하다 WAF를 선택했다. 물론 악성 쿼리나 중복 방지등등 여러 예외처리도 프론트와 백단에서 처리해야겠지만, 아무리 신경쓴다고 해도, 현재의 상황에선 한계점이 있을 것이라 생각했다. AWS에서 규칙을 제공한다는 이야기를 듣고 도입해보기로 했다. 적용할 때 레퍼런스가 딱히 없어서 AWS 공식 문서를 보고 적용했다. 기본 정의 AWS WAF는 가용성에 영향을 주거나, 보안을 위협하거나, 리소스를 과도하게 사용하는 일반적인 웹 공격으로부터 웹 애플리케이션이나 API를 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. AWS WAF에서는 SQL 주입 또는 사이트 간 스크립팅과 같은 일반적인 공격 패턴을 차단하는 보안 규칙 및 사용자가 정의한 특정 트..