반응형 Security11 HashiCorp Vault Auto Unseal 기능 사용하여 구성하기 (AWS KMS) 개요Vault 서버는 보안 강화를 위해 설치 후 초기 시작 시 봉인된(Sealed) 상태로 시작된다. 이 상태에서 Vault를 사용하기 위해서는 마스터 키를 이용한 봉인 해제, 즉 "Unseal" 과정이 필수적이다. 일반적으로, 이 과정은 보안을 위해 수동으로 진행되며, 이는 특히 Vault가 재시작될 때마다 반복되어야 하므로, 특히 대규모 클러스터 환경에서는 운영 부담을 크게 증가시킨다. 이러한 문제를 해결하기 위해 Vault는 Auto Unseal 기능을 제공한다. Auto Unseal은 AWS의 Key Management Service(KMS), Azure의 Key Vault, Google Cloud의 Cloud KMS와 같은 다양한 클라우드 플랫폼에서 지원된다. 이러한 클라우드 기반 키 관리 .. 2024. 4. 3. Vault Transit Secret Engine 사용하기 Vault Transit Secret Engine란? Vault의 Transit Secret Engine은 데이터를 암호화하고 복호화하는 데 사용되는 서비스로, 키 관리와 암호화 서비스를 중앙화하여 제공한다. Transit Secret Engine은 전송 중인 데이터에 대한 암호화/복호화를 처리하고, 데이터를 저장하지 않는다는 특징이 있다. 즉 애플리케이션 외부에서 암호화하고, 애플리케이션은 암호화된 형태로 데이터를 처리하게 되기 때문에 데이터 유출 위험이 감소하게 되고, 애플리케이션 개발자의 암호화/복호화에 대한 부담을 덜어준다는 장점이 있다. Transit의 암호화/복호화 동작 과정은 다음과 같다. 글 작성 기준 Transit Secret Engine은 다음 키 유형을 지원한다.aes128-gcm9.. 2024. 4. 1. Vault Secrets Operator(VSO)를 활용한 Kubernetes secrets 관리 (PKI 동적 시크릿) Vault Secrets Operator에 대한 내용은 이전 글에서 다루었다.Vault Secrets Operator(VSO)를 활용한 Kubernetes secrets 관리(정적 시크릿) Vault Secrets Operator(VSO)를 활용한 Kubernetes secrets 관리(정적 시크릿)Vault Secrets Operator(VSO)란? Vault Secrets Operator(이하 "VSO"라 한다)를 사용하면 Pod가 기본적으로 Kubernetes Secrets의 Vault Secrets을 사용할 수 있다. Vault Secrets Operator는 지원되는 CRD(Custom Resource Definitions)의wlsdn3004.tistory.com 이번 글에서는 Vault에 저장.. 2024. 2. 28. Vault Secrets Operator(VSO)를 활용한 Kubernetes secrets 관리 (정적 시크릿) Vault Secrets Operator(VSO)란?Vault Secrets Operator(이하 "VSO"라 한다)를 사용하면 Pod가 Kubernetes Secrets으로 Vault Secrets을 사용할 수 있다. Vault Secrets Operator는 지원되는 CRD(Custom Resource Definitions)의 변경 사항을 감시하여 작동한다.Vault Secrets Operator는 Vault에서 가져온 Secret 정보를 Kubernetes의 Secret로 생성하며, Vault에서 발생하는 모든 변경사항이 Kubernetes의 Secret에도 실시간으로 반영되도록 한다. 이러한 방식으로 애플리케이션은 Secret 정보를 사용하기 위해 Kubernetes의 Secret에만 접근하면 되.. 2024. 2. 26. Keycloak + Terraform Cloud SAML SSO 로그인 연동 본 글에서는 Keycloak과 Terraform Cloud SAML을 연동하여 단일 인증(Single Sign-On)을 구현하는 실습을 다룬다. 전제 조건[Keycloak 설치 실습]Terraform Cloud 계정 실습 절차 1. keycloak Realm 생성 2. Terraform Cloud SSO Setup 3. Keycloak Clients 생성 & 설정 4. Keycloak User 생성 5. Terraform Cloud + Keycloak SSO 연동 설정 6. Keycloak 유저로 Terraform Cloud 로그인 " data-ke-type="html">HTML 삽입미리보기할 수 없는 소스 " data-ke-type=".. 2024. 2. 19. Keycloak을 활용한 Kubernetes 사용자 인증 및 권한 관리 개요Kubernetes를 사용하는 환경에서는 사용자 인증 및 권한 관리 측면에서 어려움을 겪는다. 일반적으로 하나의 "kubeconfig" 파일을 통한 접근을 제공하지만 해당 파일을 여러 사용자가 공유하여 사용하는 것은 보안상 매우 취약하고 부적절한 방법이다. 따라서 사용자 인증 및 권한을 분리하여 관리해야 하며, 이를 위해서는 추가적인 설정이 필요하다. 또한 이를 팀 또는 프로젝트 단위로 효과적으로 관리하기에는 어려움이 존재한다. 이번 글에서는 이러한 어려움을 개선하고자 Keycloak을 통한 사용자 인증 및 권한 관리에 대한 내용을 다루며, 실제 구성 실습을 통해 동작을 이해하고자 한다. Keycloak + Kubernetes 통합을 통해 오는 장점은 여러 가지가 있겠지만 실제 사용하면서 느낀 장.. 2023. 12. 19. Keycloak + saml2aws로 AWS 임시 자격 증명 얻기 saml2aws는 aws cli 도구로 aws의 iam role 자격 증명을 쉽게 관리하고 여러 AWS 계정 간에 전환을 가능하게 해 준다. 이번 글에서는 Keycloak 유저가 saml2aws cli를 사용하여 AWS의 임시 자격 증명을 얻는 과정의 실습을 다룬다. 이전 글에서 진행했던 [Keycloak + AWS saml SSO 로그인 연동] 실습 기반으로 이어서 진행한다. 아래 그림을 참고하면 동작 과정에 도움이 될 것이다. 참조 링크 : https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_roles_providers_saml.html SAML 2.0 기반 페더레이션 정보 - AWS Identity and Access Management AWS의 .. 2023. 5. 9. 이전 1 2 다음 728x90 반응형
