본문 바로가기
AWS

[개념] HashiCorp Vault란?

by Mr Baek 2023. 12. 22.

면접준비하면서 찾아본 기사를 통해 개념정리를 해보고싶어서 작성한다!

 


https://www.itbiznews.com/news/articleView.html?idxno=73979

 

비밀번호·인증서·토큰 등 민감정보 관리…“볼트(Vault) 하나로 해결” - IT비즈뉴스(ITBizNews)

“온프레미스에서 프라이빗·퍼블릭클라우드로, 또 멀티클라우드로 빠르게 변화하는 상황에서 복잡성을 제거하고 기 설계된 주문서(Script)로 자동화하는 것, IP 기반이 아닌 ID 기반의 계정관리

www.itbiznews.com

 

Vault란?

  • HashiCorp Vault는 분산되어 있는 민감한 정보들을 통합하고, 암호화하여 안전하게 관리할 수 있는 보안 솔루션이다.
  • 멀티/하이브리드 클라우드 및 전통적인 인프라에서 생성되는 민감한 정보에 최소한의 권한 설정으로 접근하게하여 보안 환경을 고도화하고, UI, CLI, HTTP API를 이용해 토큰, 비밀번호, 인증서, 암호화 키 및 기타 민감한 데이터에 대한 엑세스 보호 및 저장하여 엄격하게 제어할 수 있다.
  • 또한 모든 보안 운영 중앙에서 관리함으로써 오버헤드를 줄여 생산성을 높이고 비용을 절감하며 보안을 중앙 집중화함으로써 하드 코딩된 인증 정보를 제거하여 침해 위험을 줄일 수 있도록 지원한다.
  • 즉, 민감한 데이터를 안전하게 관리한다. = 금고

 

 

다양한 비밀 정보를 중앙에 통합 저장

  • -서비스의 엑세스를 위해 필요한 인증 정보 및 클라이언트간의 전송 중인 모든 키 등 토큰, 비밀번호, 인증서 및 암호화 키 등의 동적 보안 요소를 중앙에 통합하여 관리한다. 또한 엑세스와 배포 API 및 CLI를 제공한다. 

 

접근 권한 정책 적용으로 비밀 정보 보안 강화

  • -기존 인프라 및 다양한 클라우드 운영 환경의 시스템, 애플리케이션 및 민감한 데이터를 보호하기 위해, 토크, 암호, 인증서 및 암호화키를 모두 중앙에서 관리하고 암호화함으로써 오버헤드를 줄여 생산성을 높이고, 접근 권한에 대한 정책 설정으로 보안을 강화한다.

 

키 라이프 사이클의 자동화(Dynamic Secrets)

  • -접속을 위해 필요한 암호 정보는 사용 시간 정책에 따라 신규 생성 및 폐기의 라이프사이클를 자동으로 수행한다.

 

비용 절감

  • -키,암호, 인증서 등을 자동으로 생성하고 폐기하는 라이프 사이클을 지원하기 때문에 주기적으로 변경 또는 삭제 등의 작업으로 인한 추가 비용을 절감할 수 있다. 또한 PKI, TLS/SSH등의 다양한 인증을 지원하여 추가 보안 시스템 도입 비용 역시 절감할 수 있다.

https://wlsdn3004.tistory.com/11


1.인증(Authenticate)

클라이언트가 누구인지 확인하고 인증이 완료되면 토큰을 생성한다.

 

2.검증(Validation)

신뢰할 수 있는 외부 소스를 통해 클라이언트를 검증한다.

 

3.권한 부여(Authorize)

클라이언트를 Vault 보안 정책과 일치시키고, 액세스 권한을 부여한다.

 

4.액세스(Access)

클라이언트의 ID와 관련된 정책에 기반하여 토큰을 발급하여 비밀, 키, 암호화 기능 등에 접근할 수 있는 엑세스 권한을 부여한다.

이후 클라이언트는 Vault토큰을 사용할 수 있다.

 

 

 

Vault의 가장 기본인 "시크릿" 

 

"시크릿" 이라는 개념에 대해 이해가 필요하다.

시크릿은 우리가 이야기하는 크리덴셜, 즉 시스템을 접속할 때 필요한 인증과 인가 정보를 부여하는 대표적인 몇 가지 예로 계정/비밀번호, DB인증정보, API토큰 또는 TLS인증서 등을 들 수 있다.

 

이러한 것들 모두 시크릿의 영역에 속하며, 매우 신중하게 관리해야 한다. 누가 시스템에 접근했는지 시스템에 어떤 것들을 이용했는지에 대한 로깅이 필요하다.

 

실제로 대부분의 회사들이 이런 "시크릿" 영역에 있는 정보들을 관리하는 상태들을 보면 상황이 좋지 않은 경우가 많다. 

예를 들어 소스 코드 내부에 Plain Text로 작성 되어 있는 경우도 있고, 때로는 계정/패스워드가 헤더에 하드코딩 되어있는 경우도 있다.

 

Vault는 이러한 문제점들을 해결해 주기 위해 등장했다.

모든 곳에 흩여져 있는 시크릿 정보들을 중앙화 하고, Vault에 저장된 데이터와 Client간에 오고 가는 데이터에 대한 암호화를 보장한다.

그리고 Audit(감사 추적) 기능을 제공한다. 

어떤 인증 정보가 웹 서버를 접근했는지, 어떤 사람이 해당 시스템에서 어떤 인증정보에 접근했는지 알 수 있다.

 

 

Vault는 HashiCorp 8가지 솔루션중에 보안영역을 담당하고 있다.

이외의 다른 솔루션과 결합하거나, 다른 제조사 다른 애플리케이션과 intergration(통합) 해서 사용할 수 있고, 확장 가능한 솔루션이라고 볼 수 있다. 

 

 

하시코프, '볼트' 활용한 종속성 없는 인프라 운영 방안 제시 뉴스

https://www.itworld.co.kr/news/243479

 

많은 보안 사고들이 발생한다. 브랜드나 서비스 이미지 측면에서도 타격이 크고, 비용적인 손실도 가져온다.

이미 경험했거나 앞으로의 사고를 막기위해서 상당 수의 기업들이 Vault를 사용중이다.

 

'AWS' 카테고리의 다른 글

[AWS] 2일차 이론내용 정리 -2  (0) 2023.12.12
[AWS] 2일차 이론내용 정리 -1  (0) 2023.12.11
AWS JAM 실습후기  (0) 2023.12.09
4) cloud9실행부터 slack 챗봇 연결까지 +실수했던 부분  (0) 2023.09.22
3)slack으로 챗봇만들기 -앱세팅(엄청쉬운설명)  (1) 2023.09.19

관련글

티스토리툴바