PostgreSQL 데이터베이스 보안을 위한 필수 구성 설정
PostgreSQL 데이터베이스의 보안은 민감한 데이터를 보호하고 규정 준수를 보장하는 데 가장 중요합니다. 고급 오픈 소스 관계형 데이터베이스인 PostgreSQL은 액세스를 제어하고 통신을 암호화하며 잠재적 취약성을 최소화할 수 있는 강력한 구성 메커니즘을 제공합니다. 이 가이드는 프로덕션 환경에서 강화된 보안 태세를 확립하는 데 필요한 중요한 구성 파일과 매개변수를 자세히 다룹니다.
효과적인 PostgreSQL 보안은 누가 연결할 수 있는지, 그리고 어떻게 연결하는지를 통제하는 두 가지 주요 기둥에 의존합니다. 우리는 SSL/TLS를 사용한 필수 암호화 구현과 함께 postgresql.conf 내의 필수 설정과 중요한 클라이언트 인증 파일인 pg_hba.conf를 살펴볼 것입니다.
1. pg_hba.conf를 사용한 클라이언트 인증 강화
호스트 기반 인증 파일(pg_hba.conf)은 어떤 호스트가 연결할 수 있는지, 어떤 PostgreSQL 사용자로 연결할 수 있는지, 어떤 데이터베이스에 액세스할 수 있는지, 그리고 가장 중요하게는 해당 연결에 필요한 인증 방법을 지정합니다.
pg_hba.conf 구조 이해
pg_hba.conf의 각 라인은 특정 형식을 따릅니다:
TYPE DATABASE USER ADDRESS METHOD [OPTIONS]
- TYPE: 연결 유형 (예:
local,host,hostnossl,hostssl). - DATABASE: 대상 데이터베이스 이름.
- USER: 대상 데이터베이스 역할.
- ADDRESS: 클라이언트 IP 주소 범위.
- METHOD: 인증 메커니즘 (예:
scram-sha-256,md5,reject,trust).
인증 방법에 대한 모범 사례
프로덕션 환경에서 trust 방법을 절대 사용하지 마십시오. 이는 연결 기준을 충족하는 모든 사람이 비밀번호 없이 연결할 수 있도록 허용합니다. 권장되는 최신 인증 방법은 다음과 같습니다.
권장: scram-sha-256
SCRAM(Salted Challenge Response Authentication Mechanism)은 더 강력한 해싱을 사용하고 리플레이 공격을 방지함으로써 md5와 같은 이전 암호 방법보다 훨씬 향상된 기능을 제공합니다. 이는 원격 연결을 위한 기본 선택이 되어야 합니다.
# 5432 포트의 모든 원격 연결에 SCRAM 적용
host all all 0.0.0.0/0 scram-sha-256
로컬 연결
서버 자체에서 시작되는 연결(예: 동일한 시스템에서 실행되는 애플리케이션)의 경우 로컬 소켓을 사용하십시오. 가장 안전한 설정은 종종 peer (유닉스 도메인 소켓용) 또는 소켓이 비활성화되거나 제한된 경우 scram-sha-256입니다.
# 유닉스 소켓을 통한 로컬 연결에 peer 인증 사용
local all all peer
명시적으로 연결 거부
위험하거나 신뢰할 수 없는 네트워크로부터의 연결을 명시적으로 차단하려면 reject 방법을 사용하십시오.
# 알려진 안전하지 않은 IP 범위로부터의 모든 연결 차단
host all all 192.168.1.0/24 reject
실행 가능한 팁:
pg_hba.conf를 수정한 후에는 변경 사항을 적용하기 위해 구성을 반드시 다시 로드해야 합니다 (예:pg_ctl reload또는 postmaster 프로세스에 SIGHUP 신호 전송).
2. SSL/TLS 암호화 구현
민감한 데이터(비밀번호 포함)가 네트워크를 통해 가로채이는 것을 방지하기 위해, 모든 원격 연결에 SSL/TLS 암호화를 적용하는 것은 필수입니다.
postgresql.conf 구성
기본 구성 파일에서 다음 매개변수가 올바르게 설정되었는지 확인하십시오.
ssl = on: 전역적으로 SSL 지원을 활성화합니다.ssl_cert_file: 서버 인증서 파일 경로 (예:server.crt).ssl_key_file: 서버 개인 키 파일 경로 (예:server.key).
pg_hba.conf에서 SSL 적용
클라이언트가 SSL을 사용하도록 강제하려면 pg_hba.conf에서 연결 유형을 host에서 hostssl로 변경하십시오.
# SSL/TLS를 통한 연결만 허용
hostssl all all 0.0.0.0/0 scram-sha-256
SSL을 지원할 수 없는 레거시 클라이언트가 있는 경우, 비 SSL 연결을 명시적으로 허용하되 중요하지 않은 작업으로만 제한할 수 있지만, 전면적인 거부가 선호됩니다.
3. 공격 표면 영역 최소화
보안에는 데이터베이스 서버를 외부 위협에 노출하는 것을 줄이는 것이 포함됩니다. 이는 주로 네트워크 구성 및 불필요한 기능 비활성화를 통해 관리됩니다.
네트워크 수신 주소 제한
기본적으로 PostgreSQL은 모든 네트워크 인터페이스에서 수신 대기할 수 있습니다 (listen_addresses = '*'). 보안 강화를 위해 외부 액세스가 필요한 특정 인터페이스에서만 수신 대기하도록 명시적으로 구성하거나, 로컬 애플리케이션만 연결하는 경우 localhost로 설정하십시오.
postgresql.conf에서:
# 가능하면 localhost (127.0.0.1)에서만 수신 대기
listen_addresses = 'localhost'
# 또는, 특정 사설 네트워크 인터페이스에서만 수신 대기
# listen_addresses = '192.168.1.10'
보안 경고:
listen_addresses가*로 설정된 경우 모든 인터페이스가 사용됩니다.pg_hba.conf가 연결할 수 있는 IP 범위를 엄격하게 제어하는지 확인하십시오.
불필요한 확장 및 기능 비활성화
활성화된 모든 확장은 잠재적인 복잡성과 공격 벡터를 추가합니다. 설치된 확장을 정기적으로 감사하고 프로덕션 워크로드에 활발하게 사용되지 않는 것은 제거하십시오. 이는 전반적인 공격 표면을 최소화합니다.
비밀번호 보안 및 역할
기본 postgres 사용자와 같은 모든 관리 역할에 대해 ALTER USER를 사용하여 강력하고 복잡한 비밀번호를 설정했는지 확인하십시오.
ALTER USER postgres WITH PASSWORD 'YourStrongAndComplexPassword123!';
최소 권한의 원칙을 사용하십시오. 애플리케이션 사용자는 슈퍼유저 상태 대신 필요한 특정 테이블에 대해서만 SELECT, INSERT, UPDATE, DELETE 권한을 가져야 합니다.
4. 감사 및 로깅 구성
엄격하게 액세스 제어 메커니즘은 아니지만, 강력한 로깅은 보안 사고를 탐지하고 조사하는 데 중요합니다. 관련 이벤트를 캡처하도록 postgresql.conf에서 로깅 매개변수를 구성하십시오.
보안 감사를 위한 주요 설정:
log_statement = 'ddl'또는'all': 모든 데이터 정의 언어(DDL) 명령(예:CREATE TABLE,ALTER USER)을 로깅합니다. 보안 검토 중에는 일시적으로'all'로 설정할 수 있지만, 성능 영향을 유의하십시오.log_connections = on: 성공적인 모든 연결 시도를 로깅합니다.log_disconnections = on: 클라이언트가 연결을 끊을 때 로깅합니다.log_duration = on: 모든 구문의 실행 시간을 로깅하며, 이는 때때로 특이한 활동 패턴을 나타낼 수 있습니다.
pg_hba.conf의 엄격한 액세스 규칙, SSL을 통한 강제 암호화, 제한된 수신 주소, 그리고 포괄적인 로깅을 결합함으로써 PostgreSQL 배포를 보호하기 위한 견고한 기반을 구축하게 됩니다.
필수 보안 단계 요약
pg_hba.conf업데이트: 인증 방법으로scram-sha-256또는peer를 사용하십시오.- 암호화 적용:
postgresql.conf에서ssl = on을 설정하고pg_hba.conf에서hostssl항목을 사용하십시오. - 수신 제한:
listen_addresses를 필요한 인터페이스로만 구성하고, 가능하면 기본*를 피하십시오. - 최소 권한 적용: 데이터베이스 역할에 해당 기능에 절대적으로 필요한 권한만 부여하도록 제한하십시오.
- 구성 다시 로드: 보안 파일을 수정한 후에는 변경 사항을 적용하기 위해 항상 PostgreSQL을 다시 로드하거나 재시작하십시오.