ObjectOS운영
프로덕션 준비
ObjectOS를 프로덕션에서 안전하게 운영하기 위한 체크리스트.
프로덕션 준비
ObjectOS를 프로덕션 트래픽에 노출하기 전에 이 체크리스트를 사용하세요.
HTTP 강화
ObjectStack 런타임은 디스패처 라우트에 대해 보수적인 보안 헤더를 제공합니다. 프로덕션 배포 시 다음을 확인해야 합니다.
Content-Security-Policy;X-Content-Type-Options;X-Frame-Options;Referrer-Policy;Permissions-Policy;Cross-Origin-Resource-Policy;- TLS가 확인된 후의 HSTS.
리버스 프록시가 헤더를 소유하는 경우 다음으로 최종 응답을 확인하세요.
curl -I https://app.example.com시크릿
다음 항목은 시크릿 관리자에 저장하세요.
| 시크릿 | 용도 |
|---|---|
OS_AUTH_SECRET | 세션 서명 기본 시크릿 |
OS_CLOUD_API_KEY | 컨트롤 플레인 Artifact API 접근 |
| 데이터베이스 자격 증명 | 비즈니스 데이터베이스 접근 |
| OIDC 클라이언트 시크릿 | 엔터프라이즈 SSO |
| 프로바이더 API 키 | 이메일, 스토리지, AI, 통합 |
시크릿을 아티팩트나 이미지에 절대 포함하지 마세요.
속도 제한
프레임워크는 토큰 버킷 속도 제한기를 제공합니다. 호출자 IP와 인증된 신원을 신뢰할 수 있는 어댑터, 인그레스 또는 게이트웨이 계층에서 속도 제한을 구성하세요.
권장 버킷:
| 트래픽 | 예시 제한 |
|---|---|
| 인증 엔드포인트 | 10/min/IP |
| 쓰기 요청 | 60/min/IP |
| 읽기 요청 | 600/min/IP |
다중 파드 배포에는 Redis와 같은 공유 백엔드를 사용하세요.
CORS
명시적인 오리진을 구성하세요.
https://app.example.com
https://admin.example.com자격 증명이 포함된 요청에는 와일드카드 오리진을 사용하지 마세요.
출시 체크리스트
- TLS가 엣지 또는 인그레스에서 종료됩니다.
- 보안 헤더가 존재합니다.
- TLS 검증 후 HSTS가 활성화되어 있습니다.
- CORS 오리진이 명시적입니다.
- 속도 제한이 인증 및 쓰기 엔드포인트를 보호합니다.
-
OS_AUTH_SECRET이 강력하며 시크릿으로 저장되어 있습니다. - OIDC 콜백 URL이 공개 도메인과 일치합니다.
- 비즈니스 데이터베이스 백업 및 복원이 테스트되었습니다.
- 감사 로그가 고객 정책에 따라 보존됩니다.
- 조직 간 부정 접근 테스트가 통과합니다.
- 롤백 계획이 ObjectOS 이미지와 아티팩트 버전을 모두 포함합니다.