DevOps 지식 허브
DevOps 지식 허브

Redis 설치 보안: 필수 구성 팁

고성능 Redis 설치를 무단 액세스 및 데이터 손실로부터 안전하게 보호하십시오. 이 필수 가이드는 네트워크 격리, 인증 및 운영 모범 사례에 중점을 둔 실행 가능한 단계별 구성 팁을 제공합니다. `bind` 지시문을 사용하여 액세스를 제한하는 방법, 강력한 암호 보호 (`requirepass` 또는 ACL) 구현 방법, 위험한 명령 비활성화 방법, 영구 파일 보안 방법을 알아보십시오. 모든 프로덕션 환경에서 Redis를 안전하게 배포하기 위한 필수 자료입니다.

28 조회수

Redis 설치 보안 설정 방법: 필수 구성 팁

Redis는 캐싱, 세션 관리, 메시지 브로커링 등에 자주 사용되는 강력하고 고성능의 인메모리 데이터 저장소입니다. 속도와 단순성 때문에 기본 Redis 구성은 종종 개발 환경에 최적화되어 있어 엄격한 보안보다 사용 편의성을 우선시합니다.

하지만 보안되지 않은 Redis 인스턴스를 인터넷이나 세분화되지 않은 내부 네트워크에 노출하면 치명적인 데이터 유출, 데이터 손실(FLUSHALL을 통한), 심지어는 지속성 파일 조작을 통한 원격 코드 실행으로 이어질 수 있습니다. 프로덕션 Redis 배포를 안전하게 보호하는 것은 필수적입니다. 이 가이드는 Redis 서버를 효과적으로 잠그기 위한 필수적이고 실행 가능한 구성 단계를 자세히 설명합니다.

1. 네트워크 구성: 노출 제한

가장 즉각적이고 효과적인 보안 조치는 Redis가 수신 대기하는 네트워크 인터페이스를 제어하는 것입니다. 기본적으로 Redis는 종종 모든 사용 가능한 인터페이스(0.0.0.0)에 바인딩되어 어디서든 액세스할 수 있게 됩니다.

특정 인터페이스 바인딩 (bind)

Redis가 필요한 인터페이스에서만 수신 대기하도록 구성해야 합니다. 대부분의 프로덕션 환경에서는 이는 루프백 주소 또는 애플리케이션 서버에서 사용하는 특정 사설 IP 주소에만 바인딩하는 것을 의미합니다.

내부 또는 로컬 전용 액세스

애플리케이션 서버가 Redis와 동일한 호스트에 있는 경우 루프백 주소에만 독점적으로 바인딩합니다.

# redis.conf 구성 조각
bind 127.0.0.1

네트워크 사설 액세스

애플리케이션 서버가 사설 네트워크 세그먼트(예: 백엔드 서브넷)에 있고 네트워크 액세스가 필요한 경우 해당 특정 사설 IP 주소에 바인딩합니다. 강력한 방화벽 규칙 없이는 공용 인터넷 연결 IP에 절대 바인딩하지 마십시오.

# Redis에 액세스해야 하는 특정 내부 IP 주소 나열
bind 192.168.1.100 10.0.0.5

보호 모드 이해

Redis 3.2부터 보호 모드(Protected Mode)가 기본적으로 활성화됩니다. 이 모드는 비밀번호(requirepass) 없이 서버가 실행되고 공용 인터페이스에 바인딩된 경우 모든 외부 클라이언트의 연결을 차단합니다. 유용하긴 하지만 보호 모드에만 의존하는 것은 불충분합니다. 항상 바인딩 제한과 인증을 모두 적용해야 합니다.

특정 구성을 위해 이를 비활성화해야 하는 경우 다음을 사용할 수 있습니다.

protected-mode no

⚠️ 경고: bindrequirepass를 올바르게 구성한 경우에만 protected-mode를 비활성화하십시오. 그렇지 않으면 Redis 인스턴스가 완전히 개방됩니다.

2. 인증 및 액세스 제어

네트워크 액세스가 제한되면 다음 방어 계층은 인증입니다. 클라이언트는 유효한 비밀번호를 제공하거나 가급적 최신 액세스 제어 목록(ACL) 시스템을 사용해야만 Redis와 상호 작용할 수 있습니다.

비밀번호 보호 구현 (requirepass)

redis.conf 파일에서 requirepass 지시문을 사용하여 클라이언트 인증을 적용합니다. 이는 기본 보안을 위한 전역 공유 비밀 키로 작동합니다.

# 강력하고 고유한 비밀번호 설정
requirepass T4h!S_Is_V3ry_S3cure_P@ss

비밀번호를 사용하여 연결하려면 클라이언트가 AUTH 명령을 사용해야 합니다.

# redis-cli 사용 예시
$ redis-cli
127.0.0.1:6379> AUTH T4h!S_Is_V3ry_S3cure_P@ss
OK
127.0.0.1:6379> PING
PONG

고급 보안: Redis 액세스 제어 목록(ACL)

Redis 6.0 이상을 실행하는 프로덕션 환경의 경우 ACL이 선호되는 인증 방법입니다. ACL을 사용하면 특정 비밀번호와 세분화된 권한(예: 사용자 A는 읽기만 가능, 사용자 B는 특정 키스페이스에 쓰기 가능)을 가진 여러 사용자를 정의할 수 있습니다.

ACL 구성은 일반적으로 redis.conf 또는 별도의 ACL 파일에 사용자 및 규칙을 정의하는 작업을 포함합니다.

# ACL 사용자 정의 예시 (redis.conf 또는 aclfile 내)
user default on # default 사용자는 활성화됨
user app_reader on >app_read_P@ss ~cache:* +get +scan
user app_writer on >app_write_P@ss ~data:* +set +del

위험한 명령 이름 변경 또는 비활성화

일부 관리 명령(예: FLUSHALL, CONFIG, KEYS, SHUTDOWN)은 오용될 경우 운영상의 중단을 일으키거나 민감한 구성 세부 정보를 노출할 수 있습니다. 이러한 명령을 모호한 이름으로 이름을 바꾸거나 완전히 비활성화하는 것이 좋습니다.

명령 이름을 바꾸려면 rename-command를 사용하십시오.

# CONFIG 명령 이름을 변경하여 무단 변경 방지
rename-command CONFIG HIDE_MY_CONFIG

# FLUSHALL 완전히 비활성화
rename-command FLUSHALL ""

3. 운영 보안 모범 사례

내부 Redis 구성 외에도 강력한 외부 운영 보안 조치를 적용하는 것이 완전한 보안 태세를 위해 중요합니다.

엄격한 방화벽 규칙 적용

bind 지시문 설정에 관계없이 클라우드 보안 그룹, iptables 또는 유사한 방화벽 솔루션을 사용하여 항상 네트워크 필터링을 적용하십시오. Redis 기본 포트(6379)는 신뢰할 수 있는 애플리케이션 서버의 특정 IP 주소 또는 IP 범위에만 열려야 합니다.

예시 방화벽 규칙 (Linux/iptables)

알려진 애플리케이션 서버 IP(192.168.1.50)에서 오는 포트 6379의 수신 트래픽만 허용:

# 기본적으로 포트 6379의 모든 수신 트래픽 거부
iptables -A INPUT -p tcp --dport 6379 -j DROP

# 특정 애플리케이션 서버 허용
iptables -A INPUT -p tcp -s 192.168.1.50 --dport 6379 -j ACCEPT

최소 권한으로 실행

Redis 서버 프로세스를 루트 사용자로 실행하지 마십시오. 공격자가 Redis 프로세스를 손상시키는 경우 루트로 실행하면 공격자에게 전체 운영 체제에 대한 완전한 제어 권한이 부여됩니다.

전용의 권한이 없는 시스템 사용자(예: redis)를 생성하고 운영 체제와 Redis init 스크립트를 구성하여 이 사용자로 서버를 실행하십시오. Redis 구성은 user 지시문을 사용하여 이를 적용할 수 있습니다(일반적으로 시스템 설정으로 처리됨).

# 제한된 사용자(시스템 수준 구성 선호)로 Redis 프로세스가 실행되도록 보장
user redis

구성 파일 및 지속성 파일 보안

redis.conf 파일에는 requirepass 비밀번호 및 네트워크 설정과 같은 민감한 정보가 포함되어 있습니다. 이 파일과 지속성 파일(RDB 스냅샷 및 AOF 로그)이 다른 시스템 사용자에 의한 무단 읽기 또는 수정을 방지하기 위해 제한적인 파일 권한으로 보호되는지 확인하십시오.

# 권장 권한 예시
# 'redis' 사용자 및 루트만 읽기/쓰기 가능해야 함
chown redis:redis /etc/redis/redis.conf
chmod 600 /etc/redis/redis.conf

SSL/TLS 암호화 구현

Redis 트래픽이 신뢰할 수 없는 네트워크 세그먼트(내부 포함)를 통과하는 환경에서는 SSL/TLS 암호화를 구현하십시오. Redis는 역사적으로 기본 TLS 지원이 부족했지만, 최신 버전(Redis 6부터 시작)에서는 이를 완벽하게 지원합니다. TLS 구성을 위해서는 인증서를 생성하고 redis.conf에 관련 지시문을 설정해야 합니다.

# TLS 활성화
tls-port 6379
tls-auth-clients yes
tls-cert-file /etc/redis/tls/redis.crt
tls-key-file /etc/redis/tls/redis.key

필수 보안 단계 요약

Redis 설치를 안전하게 보호하려면 계층화된 접근 방식이 필요합니다. 이러한 기본 단계를 적용하면 공격 표면을 크게 줄이고 소중한 인메모리 데이터를 보호할 수 있습니다.

  1. 네트워크 액세스 제한: bind 127.0.0.1 또는 특정 사설 IP 사용.
  2. 인증 적용: requirepass(기본) 또는 ACL(고급) 사용.
  3. 명령어 강화: 위험한 관리 명령어(FLUSHALL, CONFIG) 비활성화 또는 이름 변경.
  4. 방화벽 사용: 신뢰할 수 있는 애플리케이션 서버의 포트 6379 트래픽만 허용.
  5. 최소 권한: 비루트 전용 사용자로 Redis 프로세스 실행.
  6. 트래픽 암호화: 적절한 경우 네트워크 연결에 대해 SSL/TLS 활성화.