보안

기본 툴과 모범 사례를 통해 보안 상황을 명확하게 파악하고, 운영을 간소화하고, 스토어의 모든 측면을 안전하게 유지하여 커머스 데이터를 보호할 수 있습니다.


모든 데이터 보호

B2C 및 B2B 구매자는 자신에게 최적화된 쇼핑 경험을 기대하면서도 본인의 민감한 데이터가 안전하게 보호된다고 믿습니다. 도처에 존재하는 사이버 위협으로부터 커머스 데이터를 안전하게 보호하는 데에는 어려움이 따릅니다.

 

Adobe Commerce는 레벨 1 솔루션 제공 업체로서 PCI 인증을 받았으며 Adobe 솔루션을 이용하는 기업은 PCI Attestation of Compliance를 자사의 PCI 인증 프로세스 지원에 사용할 수 있습니다. Adobe의 보안 스캐닝 등의 툴을 사용하여 사이트를 모니터링하고 보안 위험, 악성 코드, 무단 액세스에 대한 최신 정보를 정확하게 파악하면 온라인 비즈니스를 안전하게 운영할 수 있습니다. 전 세계 개발자들이 참여하는 Adobe의 활발한 커뮤니티를 이용하여 현재와 미래의 위협에 대해 항상 최신 보안을 유지할 수 있습니다.

Adobe Commerce 살펴보기

차세대 기술, 글로벌 파트너 에코시스템, 확장 마켓플레이스를 통해 e커머스 웹 사이트를 활성화하는 방법을 살펴보십시오.

안전한 웹 사이트 제작

사이트를 이용하는 고객은 HTTPS를 통해 안전하게 보호됩니다. 결제 및 계정 페이지는 항상 HTTPS를 사용하여 보호되지만, 사이트의 모든 페이지를 HTTPS로 보호하는 것이 좋습니다(공유 SSL 인증 또는 추가 비용을 지불하고 고객 고유 SSL 인증서 사용 필요).

Fastly는 Layer 3에서 Layer 7까지의 CDN 및 DDoS 공격으로부터 보호합니다. Fastly CDN을 통해 Origin 서버에 대한 직접 액세스를 차단할 수 있으며, 공용 DNS만 네트워크로 연결됩니다. Fastly DDOS 솔루션은 매우 파괴적인 Layer 3 및 Layer 4 공격과 그보다 복잡한 Layer 7 공격으로부터 보호합니다. Layer 7 공격은 전체 HTTP / HTTPS 요청과 헤더, 쿠키, 요청 경로, 클라이언트 IP 또는 지리적 위치와 같은 지표를 포함한 클라이언트 및 요청 기준을 기반으로 맞춤 규칙을 사용하여 차단할 수 있습니다.

Fastly WAF(웹 애플리케이션 방화벽)는 보호를 강화하기 위해 사용됩니다. Fastly의 WAF 기반 클라우드는 OWASP Core Ruleset 및 Commerce별 규칙 등 상업용 소스와 오픈 소스를 통해 서드파티 규칙을 사용합니다. 고객은 잘 알려진 주입 공격 및 악성 코드 주입, 크로스 사이트 스크립팅, 데이터 유출, HTTP 프로토콜 위반 및 10개의 주요 OWASP 위협을 포함한 주요 애플리케이션 계층 공격으로부터 보호됩니다. WAF 규칙은 새로운 취약점이 식별되면 업데이트됩니다. 따라서 Commerce가 소프트웨어 패치 전에 보안 문제를 “패칭“할 수 있습니다.

Adobe Commerce Cloud Pro 프로덕션 환경은 VPC(Virtual Private Cloud)로 구성되어 있어 모든 3개의 프로덕션 서버가 분리되고 클라우드 환경 내외부에 연결하는 기능이 제한됩니다. 클라우드 서버로의 보안 연결만 허용됩니다. SFTP 또는 rsync와 같은 안전한 프로토콜을 사용하여 파일을 전송할 수 있습니다. 고객은 SSH 터널을 사용하여 애플리케이션 커뮤니케이션을 보호합니다. 모든 서버 연결은 환경에 대한 연결을 제한하는 가상 방화벽인 클라우드 보안 그룹을 사용하여 제어됩니다. 고객의 기술 리소스는 SSH를 사용하여 이러한 서버에 액세스할 수 있습니다.


테스트 및 암호화

Adobe는 클라우드 애플리케이션의 주요 Adobe Commerce 인스턴스에 대해 정기적으로 모의 침투 테스트를 수행합니다. 모든 맞춤형 애플리케이션과 익스텐션에 대해서는 판매자 또는 파트너가 자체적으로 모의 침투 테스트를 수행해야 합니다.

Adobe Commerce는 결제 대행 서비스 통합을 필요로 하며, 이는 신용카드 결제 시 고객이 사용하는 브라우저에서 고객의 신용카드 데이터가 결제 대행업체로 전달되는 방식입니다. 이러한 결제 익스텐션의 경우 신용카드의 데이터는 Commerce 프로덕션 환경에 저장되지 않습니다.

Adobe Commerce는 보안 취약성에 대비하기 위해 주요 애플리케이션 코드를 정기적으로 테스트합니다. 이를 바탕으로 고객에게 결함 및 보안 문제에 대한 패치를 제공합니다. Commerce 제품 보안 팀은 OWASP 애플리케이션 보안 지침에 따라 Commerce 제품을 인증합니다. 여러 보안 취약성 평가 툴과 외부 공급업체를 통해 규정 준수 여부를 테스트하고 확인할 수 있습니다. 전체 코드 베이스는 이러한 툴을 사용하여 정기적으로 스캔 됩니다.

고객은 이메일과 애플리케이션 및 Commerce 보안 센터의 알림을 통해 보안 패치 알림을 받고 PCI 지침에 따라 출시 후 30일 이내에 이러한 패치가 맞춤형 애플리케이션에 적용되는지 확인해야 합니다. 또한 Commerce는 판매자가 정기적으로 사이트를 모니터링하고 알려진 보안 위험, 악성 코드, 무단 액세스에 대한 업데이트를 받을 수 있는 보안 스캔 툴을 제공합니다. 보안 스캔은 무료 서비스이며 모든 버전의 Adobe Commerce에서 실행할 수 있습니다.

안전한 저장을 위해 Amazon EBS(Elastic Block Store)가 사용되며, 모든 EBS 볼륨은 AES-265 알고리즘을 통해 암호화됩니다. 즉, 데이터는 저장과 동시에 암호화됩니다. 또한 시스템은 CDN과 Origin 서버 간이나 Origin 서버 간 전송 중에도 데이터를 암호화합니다. 고객의 암호는 해시로 저장되며, 결제 대행업체의 기밀 정보를 포함한 모든 민감한 정보는 SHA-256 알고리즘을 통해 암호화됩니다. Adobe Commerce 애플리케이션은 열 또는 행 수준 암호화나 데이터가 저장되어 있지 않거나, 서버 간 전송 중이 아닌 경우 암호화를 지원하지 않습니다.


안전한 웹 사이트 제작

모든 실행 가능한 코드는 읽기 전용 Squash FS 이미지로 배포되어 해당 환경에 대한 공격을 차단합니다. 파일 시스템은 읽기 전용이므로 시스템에 PHP 또는 JavaScript 코드를 삽입하거나 Commerce 애플리케이션 파일을 수정할 기회가 크게 줄어듭니다.

실행 가능한 코드를 Adobe Commerce 프로덕션 환경으로 가져오는 유일한 방법은 프로비저닝 프로세스를 통해 실행하는 것입니다. 소스 리포지토리에서 배포 프로세스를 시작하는 원격 리포지토리로 소스 코드를 가져올 수 있습니다. 해당 배포 대상에 대한 액세스가 제어되므로 배포 대상에 액세스할 수 있는 사용자를 정확하게 제어할 수 있습니다. 프로덕션 환경에 애플리케이션 코드를 배포하는 작업은 고객이 제어합니다.

중요한 KPI를 명확하게 파악하고 조직에 맞게 조정할 수 있습니다.

Linux, 애플리케이션 서버, 데이터베이스 로그의 모든 클라우드 활동은 모두 프로덕션 서버와 백업에 저장됩니다. 모든 소스 코드 변경 사항은 Git 리포지토리에 기록됩니다. 배포 내역은 Adobe Commerce Cloud 유저 인터페이스에서 확인할 수 있습니다. 모든 지원 액세스가 기록되며 지원 세션도 기록됩니다.

관련 콘텐츠

Adobe Commerce를 통해 얻을 수 있는 이점을 확인해 보십시오.