“서비스 메시는 제로 트러스트 원칙이 적용된 관리 계층을 제공해 쿠버네티스 클러스터를 보호하는 필수적인 요소가 될 수 있다”

올해 초, 백악관은 연방기관을 위한 제로 트러스트(Zero Trust) 아키텍처의 토대를 마련하기 위해 국가 사이버 보안 개선에 관한 행정명령을 발표했다. 또한 NSA(National Security Agency)와 CISA(Cybersecurity and Infrastructure Security Agency)는 쿠버네티스(Kubernetes)의 주요 제로 트러스트 보안 원칙 모범사례를 담은 쿠버네티스 강화 지침을 공동으로 고시했다.

이런 문서는 조직과 개발자들이 애플리케이션 및 인프라 보호 방식에 대한 재고의 필요성을 강조하고 있다. 무엇보다 클라우드 인프라 채택으로 보안 요건이 변화하고 있는 상황을 고려해, 전반적인 런타임 과정과 클라우드 및 플랫폼, 특히 쿠버네티스 클러스터에서 이런 원칙의 적용 방식을 이해하는 것이 중요하다.

NSA 지침에서 권장하는 핵심 접근방식 중 하나는 쿠버네티스 환경에 서비스 메시(Service Mesh)를 사용해 서비스 간 통신을 승인하고, 인증 및 암호화하는 것이다. 그렇다면, 오픈소스 서비스 메시가 어떻게 보안 상태를 강화하고, 제로 트러스트 네트워킹을 촉진할 수 있는지 자세히 살펴보도록 하자.

■ 제로 트러스트 보안

쿠버네티스에 제로 트러스트 접근방식이 어떻게 적용되는지 알아보기 전에, 제로 트러스트 원칙의 맥락과 이런 원칙들이 왜 중요해지고 있는지 살펴보아야 한다.

인프라와 데이터, 액세스에 대한 보안은 멀티 클라우드 및 온프레미스 데이터센터에서 점점 더 복잡해지고, 어려워지고 있다. 기업들이 멀티 클라우드 및 하이브리드 인프라로 전환하면서 기존의 프라이빗 데이터센터를 보호하기 위해 취했던 조치들은 이제 시대에 뒤떨어진 낡은 방식이 되고 있다. IP 기반 아이덴티티(Identity)와 경계 기반 액세스는 계속해서 변화하는 일시적인 IP 주소로 공유 리소스에 대한 지속적인 액세스와 원격근무를 수행하는 작업환경에서는 더 이상 유의미하지 않다.

이런 변화에 대응하기 위해서는 보안에 대한 다른 접근방식이 필요하다. 즉, 자체 서비스와 사용자를 포함해 아무것도 신뢰하지 않는 것이며, 액세스를 허용하기 전에 모든 것을 인증 및 승인하는 것이다. 중요한 것은 제로 트러스트로의 전환이 바이너리 방식이 아니라 아키텍처에 대한 근본적인 변화가 필요한 지속적인 접근방식이라는 점이다. 다음과 같은 3가지 모범사례는 제로 트러스트 원칙이 제시하는 방향을 파악하는데 도움이 될 것이다.

1. 아이덴티티 기반 서비스 간 액세스 및 통신 제공: 서비스는 서비스 아이덴티티를 기반으로 해야 한다. 인증을 위해서는 IP 주소가 아닌 서비스 아이덴티티를 사용해야 한다. 그리고 서비스는 연결을 설정할 때 해당 아이덴티티를 상호 인증해야 한다.

2. 시크릿(Secret) 및 인증서 관리와 강화된 쿠버네티스 암호화 포함: 시크릿은 암호화 및 시간 제한이 적용돼야 하며, 전송 중인 데이터의 암호화를 지원하는 글로벌 서비스 아이덴티티와 함께 동작할 수 있어야 한다. 액세스 자격증명은 사용자나 애플리케이션이 정의된 간격에 따라 새로 고칠 수 있도록 시간 제한을 두어야 한다.

3. 감사 및 로깅으로 옵저버빌리티(Observability) 지원: 모든 액세스 시도를 감사하고, 기록해야 한다.

■ 쿠버네티스에 제로 트러스트 원칙 적용

앞에서 언급한 것처럼, 동적인 환경에서는 경계 기반 보안이 충분한 대안이 될 수 없기 때문에 네트워크 경계 제어에 대한 의존도를 낮출 필요가 있다. 기업들은 쿠버네티스 환경에서 제로 트러스트 원칙을 구현하기 위해 다음과 같은 조치를 취할 수 있다.

1. 아이덴티티 기반 서비스 간 액세스 및 통신 제공

모든 쿠버네티스 클러스터는 모든 컨테이너나 서비스가 제한 없이 서로 통신할 수 있도록 플랫 네트워크(Flat Network)를 제공한다. 쿠버네티스는 컨테이너 네트워크나 실행 중인 애플리케이션을 인증이 필요하지 않은 신뢰할 수 있는 것으로 간주한다. 예를 들어, 데이터베이스 서비스와 로깅 서비스가 동일한 쿠버네티스 클러스터 상에서 실행 중인 경우, 기본적으로 네트워크 수준에서 서로 액세스가 가능하다.

사용자는 클러스터에서 인그레스(Ingress) 및 이그레스(Egress) 트래픽을 모두 거부하는 기본 규칙을 적용해 쿠버네티스 정책을 생성할 수 있다. 그러나 이런 제한을 둔다 하더라도 필요한 리소스만 서비스에 이용되도록 서비스 간 인증 및 승인은 여전히 필요하다.

쿠버네티스 클러스터에서 실행되는 각 서비스에 서비스 아이덴티티를 할당할 수 있는 서비스 메시를 도입하면, 이 문제를 해결할 수 있다. 메시는 서비스 아이덴티티를 기반으로 mTLS를 사용해 서비스 아이덴티티를 인증할 수 있으며, 운영자는 서비스 이름으로 서비스 간 통신 권한을 정의할 수 있어 의도(Intentions)에 따라 서비스 액세스 요청을 승인하거나 차단할 수 있다. 서비스 메시가 실행되면, 로깅 서비스는 두 서비스가 상호 자격증명을 인증한 경우에만 데이터베이스 서비스에 액세스할 수 있게 된다.

2. 시크릿 및 인증서 관리 및 강화된 쿠버네티스 암호화 포함

쿠버네티스 제어 플레인의 자격증명을 아이덴티티나 시크릿 관리에 사용하면, 공격표면이 넓어지고, 유지관리가 어려워지며, 위에 언급한 원칙을 벗어나게 된다. 쿠버네티스 시크릿은 제로 트러스트 보안 아키텍처와 관련해 몇 가지 약점을 가지고 있다.

· 기본적으로 시크릿은 base-64로 인코딩되고, 암호화되지 않는다.
· 시크릿은 만료되지 않기 때문에(시간 제한이 없음) 위험에 노출될 수 있다.
· 쿠버네티스는 클러스터 경계내에서만 시크릿과 같은 리소스를 관리할 수 있다. 클러스터 세트가 있는 경우, 여러 클러스터에서 사용되는 리소스를 별도로 관리해야 한다.

시크릿 브로커(Secret Broker)가 있는 서비스 메시는 이런 문제를 해결할 수 있다. 예를 들어, 쿠버네티스 기반 컨설(Consul)은 쿠버네티스 시크릿의 격차를 해소할 수 있는 중앙집중식 시크릿 관리 솔루션인 하시코프(HashiCorp)의 볼트(Vault)와 통합돼 있다.

목표는 중앙집중식 액세스 제어 및 감사를 통해 미사용 시크릿을 암호화하도록 하는 것이다. 워크플로우는 단일 쿠버네티스 클러스터 및 연합 멀티 클러스터 배포 작업을 모두 지원해야 한다. 또한 인증서 자동교체를 통해 운영자가 TLS 인증서의 TTL(Time-to-Live) 값을 줄여 보안 태세를 강화하는데 도움을 줄 수 있다.

3. 감사 및 로깅으로 옵저버빌리티 지원

쿠버네티스 보안을 개선하기 위해서는 클러스터 내부에서 어떤 서비스 액세스 요청이 이뤄졌는지 파악하는 것이 중요하다. 감사 팀은 감사 로그를 통해 이벤트 데이터를 검사해 사용된 자격증명과 수행된 작업, 그리고 이런 트랜잭션과 관련된 타임스탬프 등을 확인할 수 있다. 이를 통해 보안 팀의 책임감과 통찰력을 크게 향상시킬 수 있다.

서비스 메시는 클러스터에서 실행되는 각 서비스와 함께 지표를 도출할 수 있는 사이드카 프록시(Sidecar Proxy)를 배포하고, 모든 서비스 간 통신 및 액세스 요청에 대한 기록을 유지한다. 이상적으로는, 서비스 네트워킹 패턴을 보다 쉽게 분석하고, 보안을 강화하기 위해 서비스 메시가 프로메테우스(Prometheus) 및 그라파나(Grafana)와 같은 오픈소스 모니터링 툴과 통합되는 것이다.

■ 결론

서비스 배포 환경이 여러 쿠버네티스 클러스터와 다중 런타임, 멀티 클라우드 및 온프레미스 배포, 그리고 다양한 상호연결로 인해 더욱 복잡해짐에 따라 제로 트러스트 보안 원칙 준수가 요구되고 있다.

모든 액세스에 대한 상호 인증 및 승인을 위한 아이덴티티 기반 서비스 네트워킹을 제공해 제로 트러스트 원칙을 시행하는 관리 계층을 지원하는 하시코프의 컨설과 같은 서비스 메시는 이런 프로세스의 필수적인 요소가 될 것이다. 컨설을 사용하면, 모든 보안 파라미터를 애플리케이션 자체에 코딩할 필요 없이 쿠버네티스 및 다중 환경에 따라 세분화된 보안 정책을 쉽게 시행할 수 있으며, 보다 쉽게 관리할 수 있는 향상된 제로 트러스트 보안 태세로 빠르게 진입할 수 있다.

※ 저자 : 김종덕 하시코프코리아 지사장