114. Security (초급) : 버블의 보안 개요, Bubble 보안의 의미, 보안의 추가적 내용

이 섹션에서는 Bubble의 개인 정보 보호 및 보안에 대한 다양한 측면을 다룹니다.

• Bubble의 요금계획, 기능 등이 보안에 미치는 영향

 

(1) 보안 소개

이 섹션에서는 앱의 안전을 보장하고 사용자 데이터를 보호하는 주제를 자세히 살펴보겠습니다.

 

• 보안과 관련하여 Bubble의 주요 목표는 업계 모범 사례를 따르는 견고한 기반을 제공하는 것입니다. 플랫폼으로서의 버블은 ‘바퀴’를 재발명하지 않습니다. 대신, 우리는 증명된 방법론을 사용하여 세계 주요 소프트웨어 제공업체와 비교할 만큼 높은 보안 수준의 보안 도구를 제공합니다.

 

• Bubble의 보안 조치를 논의할 때 플랫폼의 유연성이 양날의 검이 될 수 있다는 점을 기억하는 것이 중요합니다. Bubble은 다양한 애플리케이션을 만들 수 있는 도구와 옵션을 제공합니다. 그러나 이는 또한 보안 환경을 보장하기 위해 이러한 도구를 올바르게 사용할 책임이 있음을 의미합니다.
• 앱의 보안은 궁극적으로 개발자의 손에 달려 있으며, 사용자와 데이터를 보호하기 위해 앱을 구축하는 동안 모범 사례를 통해 보안을 이해하고 구현하는 것이 중요합니다.

 

이 장 전체에서 우리는 Bubble 보안의 다양한 측면을 살펴보고 우리 플랫폼의 기능을 최대한 활용하여 안전한 애플리케이션을 만들 수 있는 방법에 대한 통찰력을 제공할 것입니다.

 

(2) 공동 보안 책임

Bubble은 "PaaS(Platform-as-a-Service)" 아키텍처 내에서 운영되며, 여기서 웹 애플리케이션 개발, 배포 및 호스팅을 위한 촉진자 역할을 합니다. 또한 Bubble은 Amazon Web Services(AWS)와 긴밀한 협력을 유지하고 있습니다.

 

이 구조는 Bubble, AWS 및 Bubble 개발자 사이에 보안 책임이 공유된다는 것을 의미합니다.

1. Bubble은 개발자가 데이터와 프로세스를 안전하게 유지하는 데 필요한 도구를 제공하고 유지 관리하는 데 최선을 다하고 있습니다. 여기에는 버블 계정 보안, 저장 및 전송 중인 데이터 암호화, 사용자 인증, 엄격한 애플리케이션 수준 보호 장치, 일관된 서비스 가동 시간, 침투 테스트, 로깅, 백업 및 DDoS 보호가 포함됩니다. Bubble은 보안을 위한 SOC 2 Type II 표준을 준수하며 EU 및 영국의 일반 데이터 보호 규정을 포함하여 해당 데이터 개인 정보 보호법의 표준을 충족하도록 설계된 조치를 구현했습니다.
2. Amazon AWS는 물리적 인프라, 하드웨어, 네트워크 및 서버 환경의 무결성과 같은 측면을 감독합니다.
3. Bubble 개발자는 Bubble의 약관 및 허용 가능한 사용 정책을 이해하고 준수하며, 안전한 계정 액세스를 유지하고, 정확한 최신 정보를 제공하고, Bubble의 설정과 도구를 올바르게 이해하고 사용하며, 적시에 보안 문제를 Bubble에 보고할 책임이 있습니다.

 

(3) 보안의 의미

앱 보안을 논할 때 해킹과 같은 악의적인 의도에 초점을 맞추는 것이 일반적입니다. 그러나 보안 조치를 계획할 때 해커는 잠재적인 보안 위험의 한 측면일 뿐이라는 점을 인식하는 것이 중요합니다.

 

• 다음으로, 똑같이 중요하게 고려해야 할 다른 요소들을 살펴봅니다.

 

1. 데이터베이스 유출

• 이 맥락에서 데이터베이스 유출이란, 데이터에 접근할 수 없는 사용자에게 실수로 데이터가 유출되는 것을 의미합니다. 이는 모든 개인 데이터 유형에 대해 적절한 Privacy rule(개인 정보 보호 규칙)을 설정하여 처리됩니다.

 

2. 앱 코드에서 데이터 공개

• Bubble은 코드가 없는 플랫폼이지만 최종 앱은 Bubble이 자동으로 생성하는 HTML, CSS, JSON 및 Javascript로 구성됩니다. 이러한 파일은 사용자의 장치에 다운로드되므로 기술에 정통한 사용자가 해당 파일을 볼 수 있습니다.
• 실수로 앱의 특정 부분에 API 키와 같은 민감한 데이터를 배치한 경우 사용자가 해당 데이터를 추출할 수 있습니다.
• 이 같은 보안에 대해서는 페이지 보안에 대한 글에서 이같은 잠재적 취약점에 대해 자세히 살펴보았습니다.

 

3. 승인되지 않은 계정에 접근

• 또 다른 잠재적인 취약성은 사용자가 다른 사용자의 계정으로 접속하는 것이 있습니다.
• 이 문제를 방지하기 위해 앱을 계획할 때 안전한 가입 및 로그인 프로세스가 있는지 확인해야 합니다. 비밀번호 정책과 2단계 인증 시행을 고려할 수도 있습니다.

 

4. 부적절한 앱 보안 설정

• Bubble은 HTTPS(TLS)를 사용하여 전송 중인 데이터 암호화, 사용자 이름과 비밀번호로 개발 환경 보호, 공동작업자의 액세스 수준 제어 등 앱 수준에서 다양한 설정을 제공합니다.
• 이러한 설정을 철저하게 검토하는 것이 좋습니다.
• 앱 보안 및 Bubble 계정 보안에 대한 글에서 이 주제를 더 자세히 살펴보겠습니다.

 

5. API 보안

• 잘못 설정된 API의 경우 API 호출로 인해 잠재적인 취약점이 발생할 수도 있습니다. API 보안에 대한 글에서 이에 대해 자세히 설명합니다.

 

(4) 보안의 추가적 내용

1. Bubble의 보안 기능 개요

115. 버블의 보안 기능 (중급) : 버블의 보안 개요, 계정 보안, Privacy rule, Logs, Preview 보안 > 바로가기

 

2. 앱 보안 정책 계획

116. 보안 정책 계획(중급) : 필수적 법률 보호, 선택적 보호, 보안을 위한 설계 > 바로가기

 

 

3. 클라이언트 사이드, 서버 사이드 보안

117. Client side & Server Side 보안 (중급) : 버블의 클라이언트 사이드와 서버 사이드 보안과 차이점 > 바로가기

 

4. 버블 계정 보안

118. Bubble 계정 보안 (중급) : 비밀번호를 저장하는 방법, 이중 인증, Hash, Salting > 바로가기

 

5. 앱 보안

119. App 보안 설정 (중급) : 버블의 앱 개발자 보안 설정, 협업 권한 설정 > 바로가기

 

6. 페이지 보안

120. 버블의 Page 보안 설정 (중급): javascript 코드 보안, workflow 보안, Optimize Application, 서버측 redirection

 

 

7. 개인 정보 보호 규칙으로 데이터베이스 보호

 67. 개인정보규칙과 데이터 보호(중급) : Protecting data with Privacy Rules, 규칙 설정 > 바로가기

 

8. API 보안

110. API Security (중급) : 버블 API Connector 보안, Data API 보안, Workflow API 보안 > 바로가기

 

9. 버블의 쿠키

75. Bubble의 쿠키 설정 (중급) : Cookies set by Bubble, 기본 쿠키 설정, 쿠키 설정 끄기 > 바로가기

 

10. 보안 체크리스트

121. Bubble 보안 Checklist (중급) : 보안 체크리스트 > 바로가기