인프라 구성 가이드
Alpacon을 엔터프라이즈 환경에서 안전하게 구성하기 위한 가이드입니다.
방화벽 구성
서버 시스템
Alpacon 에이전트는 아웃바운드 HTTPS/WSS 연결을 사용합니다. 화이트리스트 기반 방화벽이나 프록시를 사용하는 경우, 다음 대상으로의 아웃바운드 연결을 허용해야 합니다.
| 도메인 | 용도 | 필수 여부 | 비고 |
|---|---|---|---|
https://<workspace>.<region>.alpacon.io | 핵심 기능 | 필수 | 워크스페이스 이름과 리전은 설정에 따라 다름 |
https://s3.* | WebFTP 업로드/다운로드 | 선택 | WebFTP 기능을 사용하지 않으면 선택사항 |
⚠️ 주의: 위 도메인을 허용하지 않으면 Alpacon의 전체 기능을 사용할 수 없습니다. 도메인이 조직별로 특정되므로 제3자 워크스페이스 연결과 같은 보안 위험은 없습니다.
프록시 시스템 사용 (선택사항)
Alpacon 에이전트는 프록시 연결을 지원합니다. HTTP_PROXY와 HTTPS_PROXY 환경 변수를 설정하면 에이전트가 이를 통해 백엔드 시스템에 연결합니다.
export HTTP_PROXY=http://proxy.company.com:8080
export HTTPS_PROXY=http://proxy.company.com:8080클라이언트 시스템
Alpacon 클라이언트(웹/CLI)는 아웃바운드 HTTPS/WSS 연결을 사용합니다. 화이트리스트 기반 방화벽이나 프록시를 사용하는 경우, 다음 대상으로의 아웃바운드 연결을 허용해야 합니다.
| 도메인 | 용도 | 필수 여부 | 비고 |
|---|---|---|---|
https://alpacon.io | 핵심 기능 | 필수 | |
https://<workspace>.<region>.alpacon.io | 핵심 기능 | 필수 | 워크스페이스 이름과 리전은 설정에 따라 다름 |
https://auth.alpacon.io | 인증 | 필수 | |
https://portal.alpacax.com | 프로필 | 필수 | |
https://pay.alpacax.com | 결제 | 선택 | 결제 관리자만 필요 |
https://s3.* | WebFTP 업로드/다운로드 | 선택 | WebFTP 기능을 사용하지 않으면 선택사항 |
보안 고려사항
SSH에서 Alpacon으로 전환
Alpacon을 사용하면 기존 SSH의 경계 기반 포트 보호를 제로 트러스트 방식으로 전환합니다.
권장 조치
-
SSH 포트 차단
- 사용자의 22번 포트 접근 차단
- 오직 비상용 접근만 유지
- 방화벽 설정 간소화
-
직접 SSH 접근 제한
# /etc/ssh/sshd_config 설정 예시 PermitRootLogin no PasswordAuthentication no PubkeyAuthentication no # Alpacon 전용 시스템의 경우 AllowUsers emergency-admin # 비상용 계정만 허용 -
VPN 의존도 제거
- VPN을 통한 내부망 접근 후 무제한 서버 접근은 보안 위협
- 복잡한 VPN이나 jump host는 가시성 저하
- Alpacon 단일 플랫폼으로 접근 간소화
보안 모범 사례
1. 최소 권한 원칙
- 사용자별 필요한 서버만 접근 허용
- 그룹 기반 권한 관리 활용
- 정기적인 권한 검토
2. 감사 로깅 설정
# Alpacon 워크스페이스 설정
audit:
retention: 90 # 90일 보관
alert_on_privileged: true # root 접근 시 알림
alert_on_sensitive_commands: true # 민감한 명령어 실행 시 알림3. MFA 필수화
# 워크스페이스 보안 정책
security:
mfa_required: true
mfa_for_privileged: mandatory # root 접근 시 필수
allowed_mfa_methods:
- hardware_key
- biometric
- otp고가용성 구성
리전별 구성
Alpacon은 글로벌 리전을 지원합니다. 가장 가까운 리전을 선택하여 레이턴시를 최소화하세요.
| 리전 | 엔드포인트 | 권장 지역 |
|---|---|---|
| US1 | *.us1.alpacon.io | 북미, 남미, 유럽 |
| AP1 | *.ap1.alpacon.io | 아시아-태평양 |
가용성 보장
- 이중화: 모든 컴포넌트 이중화
- 자동 페일오버: 장애 시 자동 전환
- SLA: 99.9% 가용성 보장
재해 복구
-
에이전트 자동 재연결
- 네트워크 장애 시 자동 재시도
- 지수 백오프 알고리즘 적용
-
세션 복구
- 연결 끊김 후 세션 자동 복구
- 세션 타임아웃 내 재연결 가능
컴플라이언스
규정 준수 준비 상황
Alpacon은 업계 표준 프레임워크 및 모범 사례를 따릅니다:
- SOC 2 프레임워크: SOC 2 Type II 보안 원칙에 부합하며 인증을 준비 중입니다
- ISO 27001 정렬: ISO 27001 표준에 부합하는 보안 제어
- GDPR 준수: GDPR 요구사항을 지원하도록 설계된 데이터 처리 관행 (EU 고객)
- HIPAA 준비: 의료 산업 요구사항을 고려하여 설계된 인프라
참고: 우리는 현재 SOC 2 Type II 및 기타 업계 인증을 획득하기 위해 적극적으로 노력하고 있습니다. 인증 상태에 대한 업데이트는 사용 가능해지는 대로 발표될 것입니다.
데이터 레지던시
- 데이터는 선택한 리전에만 저장
- 크로스 리전 복제 옵션 제공
- 온프레미스 배포 옵션 (엔터프라이즈)
문제 해결
연결 문제
| 증상 | 원인 | 해결 방법 |
|---|---|---|
| 에이전트 오프라인 | 방화벽 차단 | 아웃바운드 HTTPS/WSS 허용 |
| 간헐적 연결 끊김 | 프록시 타임아웃 | 프록시 keepalive 설정 조정 |
| 느린 응답 | 리전 거리 | 가까운 리전으로 변경 |
로그 확인
# 에이전트 로그
sudo systemctl status alpamon.service
sudo less /var/log/alpamon/alpamon.log마이그레이션 체크리스트
SSH에서 Alpacon으로 전환 시 체크리스트:
- 모든 서버에 Alpacon 에이전트 설치
- 사용자를 Alpacon 워크스페이스에 초대
- 그룹 및 권한 설정
- MFA 정책 구성
- 방화벽 규칙 업데이트
- SSH 포트 22 차단 (비상용 제외)
- 감사 로깅 설정
- 백업 및 복구 절차 수립
- 팀 교육 실시