API 보안 FIPS 규정 준수 NGINX App Protect로 달성

만약 귀하가 정부나 규제 산업에서 일해본 적이 있다면, API 보안 을 위한 FIPS (Federal Information Processing Standards)에 대해 들어보셨을 것입니다.

FIPS는 매우 광범위한 표준 출판물 모음이지만, 소프트웨어 산업에서는 암호화에 관한 구체적인 출판물인 FIPS 140-2 암호 모듈의 보안 요구사항을 가리키는 용어로 자주 사용됩니다.
FIPS는 미국과 캐나다의 공동 노력으로 만들어진 암호 모듈 검증 프로그램으로, 민감한 정보의 보호를 위해 두 나라 연방 기관에서 인증된 암호 모듈을 표준화하고 검증합니다.

FIPS는 4개의 보안 레벨(1~4)을 정의하며, 이는 암호 모듈 보안 요구사항에 대한 것입니다.

• 보안 레벨 1은 소프트웨어 암호 모듈에 특히 적용됩니다. 이는 사용 가능한 암호 알고리즘과 이들의 무결성을 검증하기 위해 수행되어야 하는 자체 테스트를 규정합니다.
• 보안 레벨 2~4는 탐지 방지 코팅이나 봉인과 같은 다양한 정도의 물리적 보안 수단이 필요하므로 고객이 선택한 하드웨어에 설치된 소프트웨어 솔루션에는 적용되지 않습니다. 이러한 레벨은 역할 기반 또는 신원 기반 인증도 필요로 합니다.

목차

1. FIPS 란?
2. FIPS 규정 준수가 중요한 이유
3. NGINX Plus로 FIPS 규정 준수 개선
 3-1. RHEL
4. NGINX 오픈소스에 대한 FIPS 규정 준수

1. FIPS (Federal Information Processing Standards)란?

FIPS (Federal Information Processing Standards)는 미국 정부가 사용하는 컴퓨터 시스템과 관련된 표준과 규정의 모음입니다. 이런 표준들은 미국 정부 기관들이 안전하게 데이터를 처리, 저장, 전송할 수 있도록 도와줍니다. FIPS는 정보 보안에 중점을 두고 있어, 암호화 알고리즘과 같은 중요한 기술에 관한 규정을 포함하고 있습니다.

비유를 사용하자면, FIPS는 마치 놀이터의 규칙과 안전 기준 같은 것입니다. 놀이터에서 아이들이 안전하게 놀 수 있도록, 그리고 놀이기구들이 튼튼하게 설치되어 있도록 규칙과 기준을 지키는 것처럼, FIPS는 미국 정부 시스템에서 데이터를 안전하게 처리하기 위한 ‘규칙’을 제공합니다. 이 규칙들을 따르면, 개발자들은 정부 기관의 요구사항을 충족하는 안전한 API를 구축할 수 있습니다.

2. API 보안 에서 FIPS 규정 준수가 중요한 이유

FIPS 140-2 인증을 따르지 않고 민감한 정보를 처리하는 것은 심각한 결과를 초래할 수 있습니다.
최소한, 미국 연방 정부와 같이 FIPS를 필요로하는 조직과의 유익한 계약을 잃을 수 있습니다.
최악의 경우에는 개인 정보나 국가 안보 문서가 유출될 수 있습니다. FIPS는 북미 정부 인증이지만, 다음과 같은 이유로 전 세계적으로 암호화 기준이 되었습니다.

• FIPS 140-2 인증에 어느 정도 의존하는 HIPAA, PCI DSS, FedRAMP, FISMA, DFARS, CMMC, DoDIN APL, Common Criteria, NSA CSfC, HITECH 등의 프로그램 및 규정
• 규제 산업 (은행, 금융, 중요 인프라)
• 북미 외 16개국 이상에서 FIPS를 암호화 요구 사항의 기준으로 사용하고 있습니다. (호주, 벨기에, 덴마크, 프랑스, 독일, 이스라엘, 이탈리아, 일본, 네덜란드, 뉴질랜드, 노르웨이, 싱가포르, 대한민국, 스페인, 스웨덴, 영국)
• FIPS 140-2 테스트는 제3자 검증 기관이 암호화 작업이 정의된 표준을 충족시키는지 확인해주므로, 전 세계적인 사용으로 인해 데이터가 인터넷을 통과할 때 안전하다는 더 큰 신뢰성을 제공합니다.

3. NGINX App Protect로 API 보안 을 위한 FIPS 규정 준수 개선

FIPS 규정을 준수하려면 운영체제를 FIPS로 구성해야 합니다.
그러나 운영체제가 FIPS로 설정되어 있더라도, 여전히 준수 위험이 있을 수 있습니다. NGINX Plus에서 FIPS를 활성화하여, 클라이언트가 신뢰할 수 있는 구현과 강력한 암호를 사용하는지 확인할 수 있습니다.

NGINX Plus를 FIPS에 맞게 구성하는 것은 매우 간단한 과정입니다. NGINX Plus는 SSL/TLS 및 HTTP/2 트래픽의 암호화 및 복호화와 관련된 모든 작업에 대해 OpenSSL 암호 모듈을 전용으로 사용합니다. OpenSSL은 NGINX Plus의 일부가 아니라 운영 체제와 함께 제공됩니다.
따라서 운영체제 제조업체가 FIPS 140-2 레벨 1 인증을 획득하고 운영 체제가 FIPS로 실행 중인 경우, NGINX Plus는 모든 SSL/TLS 및 HTTP/2 트래픽 처리에 대해 FIPS 140-2 규정을 준수합니다.

FIPS 규정을 요구하는 많은 고객이 Red Hat Enterprise Linux (RHEL)을 사용하고 있다는 것을 발견하여, RHEL 7.4 서버에 대한 FIPS 모드 지침을 작성했습니다.
이는 호스트와 컨테이너 모두가 FIPS에 있는 경우, 베어 메탈 및 컨테이너화된 배포 모두에 적용됩니다. 다른 Linux 배포판 업체에서도 동등한 지침이 제공됩니다.

3-1. RHEL

RHEL은 NGINX Plus의 주요 대상 운영체제 중 하나이며, 모든 지원되는 RHEL 버전에서 NGINX Plus를 테스트하고 완전히 지원하는 것이 목표입니다. RHEL에 NGINX Plus를 설치한 후에는 업그레이드가 Red Hat 소프트웨어의 다른 부분과 동일하게 진행되므로 RHEL 내에서 네이티브로 업데이트를 다운로드하고 설치할 수 있습니다.

• 현재 지원되는 RHEL 버전을 확인하려면 NGINX Plus 기술 사양을 확인하세요. 아직 NGINX Plus를 실행하고 있지 않다면 무료 30일 평가판을 시작하십시오.

여러 기술을 사용하여 NGINX Plus 인스턴스가 FIPS 호환 모드에서 실행 중인지 확인할 수 있습니다.

• NGINX Plus FIPS 상태 확인 모듈은 지원되는 동적 모듈로 우리의 저장소에서 제공됩니다. 이 모듈을 로드하면 NGINX Plus가 시작될 때와 각 Worker 프로세스가 초기화될 때 FIPS 상태를 확인하고 로그에 기록합니다.
• 위에서 언급한 FIPS 모드 지침.
• OpenSSL이나 nmap과 같은 도구를 사용하여 NGINX Plus에서 지원하는 암호를 조사하고 FIPS에서 지원되지 않는 암호가 NGINX Plus에서 제공되지 않는지 확인합니다.
• Qualys의 SSL 서버 테스트와 같은 공개 스캐닝 도구를 사용하여 공개 NGINX Plus 인스턴스를 스캔하고 제공하는 암호를 나열합니다.

4. NGINX 오픈소스에 대한 규정 준수

NGINX는 FIPS 모드로 실행되는 FIPS 활성화 OS에서 NGINX Plus가 올바르게 작동하는지 테스트 및 검증합니다. 그러나 NGINX는 NGINX 오픈소스에 대해서는 유사한 진술을 할 수 없습니다.
특히, 타사 빌드 또는 자체 암호 기능을 구현하는 타사 모듈이 포함된 경우 더욱 그러합니다.
오픈 소스 도구를 사용하여 FIPS를 준수하는 솔루션을 빌드하고 유지 관리하는 것은 조직의 보안 정책에 따라 어렵거나 불가능할 수 있습니다.
또한 TLS 1.0을 활성화하거나 3DES와 같은 폐기된 암호 스택을 도입하는 지시문을 도입하여 FIPS 인증을 방해할 수 있는 위험이 있습니다.

마지막으로, 일부 운영체제의 FIPS 모드에서 NGINX 오픈소스가 올바르게 작동하도록 컴파일하려면 NGINX 자체에 필요한 종속성 이상이 필요할 수 있으며 이는 문서화 할 수 없으며 의도하지 않은 결과를 초래할 수 있습니다.
따라서 귀하의 조직의 보안 및 규정 준수 그룹에서 제공하는 지침을 검토하여 귀하가 작업하는 솔루션이 그 요구 사항을 충족하는지 확인하십시오.

물론 FIPS를 준수하기가 얼마나 쉬운지 이상적인 경우에만 NGINX Plus와 NGINX 오픈소스 간의 차이점이 더 많습니다. 차이점을 살펴보고 귀하의 조직에 적합한지 확인하십시오.

NGINX Plus를 시도하려면 무료 30일 평가판을 시작하거나 사용 사례에 대해 논의하려면 NGINX STORE에 연락하십시오.