기업들은 새로운 비즈니스 요구사항을 빠르게 충족시키고, 지속적으로 늘어나는 요구사항에 유연하게 대응해 나가기 위해 클라우드 전환을 시도하고 있다. 하지만 이런 클라우드는 기존의 온프레미스 환경과는 다른 방식으로 인해 새로운 운영 전략과 관련 솔루션, 서비스를 준비해야 한다.
또한 클라우드는 각 부서별, 혹은 업무 특성이나 목적에 따라 다양한 클라우드를 개별적으로 혹은 조합해 사용하는 경우가 많아, 멀티클라우드, 하이브리드 클라우드 등으로 점차 복잡한 구조를 갖춰 나가고 있다.
그리고 이런 인프라 운영 모델의 변화에 따라 시크릿(Secret) 관리의 중요성도 점점 커지고 있다. 시크릿은 비밀번호, 인증서, 토큰, SSH키, API키 등 보호된 리소스 또는 민감한 정보의 잠금을 해제하는 키로 작동하는 모든 유형의 중요 정보를 말한다.
많은 기업/기관이 데이터센터 운영에서 하이브리드/멀티 클라우드로 전환하고 있지만, 동시에 다양한 인프라에 흩어져있는 수많은 시크릿을 관리해야 하는 어려움을 경험하고 있다. 하시코프가 IT 전문가 3000명 이상을 대상으로 진행한 ‘클라우드 전략 현황 보고서’에 따르면 47%의 응답자가 클라우드 도입의 저해 요인으로 보안을 꼽았다. 클라우드 확산에 따라 기존 데이터센터와 신규 인프라를 동시에 운영, 관리해야 하는 상황에서 시크릿을 안전하고 효율적으로 관리하기 위한 방안을 고민해야 한다.
하시코프는 인프라 운영 모델의 변화에 맞춰 모든 유형의 중요 정보를 관리할 수 있도록 ‘하시코프 볼트(HashiCorp Vault)를 해결책으로 제시하고 있다. 볼트는 데이터베이스나 서버와 같은 고정 시스템의 고정 시크릿(Static Secret)뿐 아니라 시크릿 요청자에 따른 변동 시크릿(Dynamic Secret)을 관리할 수 있는 운영관리 가시성을 제공한다. 시크릿 관리 전략의 기반을 볼트에 두면 시크릿 스프롤의 위험에서 벗어나 어떤 시크릿이라도 안전하게 관리할 수 있다.
클라우드로 인한 시크릿 스프롤 현상의 확산
모든 시스템에는 접속 정보가 존재하며 이를 얼마나 효과적으로 관리하느냐는 관리의 복잡성 측면에서 매우 중요하다. 또, 다양한 형태의 인프라를 사용하다 보니 전체적인 통합 관리가 점점 더 어려워지고, 여러 위치에 접속 정보가 별도로 저장되고 관리될 수 밖에 없다. 이러한 현상을 시크릿 스프롤(Secret Sprawl)이라고 한다.
시크릿 스프롤은 시크릿이 신뢰할 수 있는 내부 네트워크를 넘어 확장될 때 증폭될 수 있기 때문에 시크릿이나 액세스 자격 증명을 처리하기 위해 시크릿 관리 솔루션을 활용하는 것이 유리하다. 이같은 솔루션의 목표는 자격 증명 처리에 대한 가시성과 제어 부족을 해결하는 것이다
온프레미스에서 클라우드에 이르는 시크릿 통합 관리
하시코프의 볼트를 통해 시스템이나 애플리케이션, 민감한 데이터를 보호하기 위한 토큰이나 시크릿, 인증서, 시크릿화 키에 대한 액세스를 안전하게 저장하고 엄격하게 제어할 수 있다. 볼트를 사용하면 단일 시스템을 사용해 온프레미스 인프라와 클라우드 전반에 걸쳐 시크릿을 중앙에서 관리하고 안전하게 저장할 수 있다.
또, 볼트는 SSL/TLS와의 통신을 보호하기 위해 동적 단기 인증서를 제공하는 인증 기관 역할도 할 수 있다. 마지막으로 볼트를 사용하면 액티브 디렉토리나 AWS IAM, LDAP와 같은 다양한 플랫폼 간의 자격 증명을 통합 연동해 애플리케이션이 클라우드를 넘어 인증작업을 할 수 있다.
중앙 집중화된 볼트를 통해 시크릿을 보호하고, 시크릿 스프롤을 제거하면서, 누가 무엇에, 언제 액세스했는지 등을 적절히 관리하기 위해 시크릿을 중앙 집중화한다. 적절한 액세스를 제어할 수 있다면 개발이나 운영, 보안 팀은 보안 태세를 강화하는 동시에 애플리케이션과 민감한 데이터를 보호할 수 있다.
또한 볼트는 정책을 사용해 애플리케이션과 사용자가 인증하는 방법, 사용 권한이 있는 시크릿과 작업, 감사를 수행하는 방법을 체계화한다. 볼트는 인증을 위해 AWS, 애저(Azure), GCP(Google Cloud Platform), 알리바바 클라우드(Alibaba Cloud), 쿠버네티스(Kubernetes), 액티브 디렉토리(Active Directory), 옥타(Okta), 그리고 기타 SAML(Security Assertion Markup Language) 기반 시스템과 같은 신뢰할 수 있는 자격 증명 공급자를 지원한다. 볼트는 이같은 ID를 인증하고 이를 기록 시스템으로 사용해 시크릿과 시스템에 대한 액세스를 관리하고 시행한다.
조직 전체에 걸친 일관된 보안 정책과 보안 환경 제공
중앙 집중식 서비스로 실행되는 볼트를 사용하면 IT 팀과 조직이 대규모 애플리케이션이나 엔지니어링 팀에 시크릿 관리, 데이터 시크릿화 서비스를 제공하는 동시에 단일 워크플로우를 통해 정책을 전역적으로 관리하고 일관된 보안을 제공할 수 있다.
하시코프 볼트는 인프라 환경 전반에 걸친 안전한 접근과 민감한 데이터 보호로 시크릿 정보의 중앙 관리와 자동화된 갱신 기능을 제공하며, SSH 암호, 클라우드 접속 정보, 데이터베이스 접속 정보 등을 최대한 짧게 유지해 더이상 관리자나 작업자의 로컬 환경에 존재하지 않도록 한다.
또한 전반적인 시스템과 애플리케이션에 연동돼 패스워드와 인증서 같은 민감 정보를 노출하지 않고 사용할 수 있으며, 정책에 따라 교체하고 갱신한다. 이외에도 사용 목적과 관리를 위해 클러스터 분리가 필요 없으므로 민감 정보에 대한 단일 관리 포인트를 제공한다.
하시코프 볼트는 보안을 중앙집중화해 하드코딩된 정적인증 정보를 제거하고, 신뢰할 수 있는 인증 기반으로 철저하게 사용자와 애플리케이션의 접근을 제어한다. 이를 통해 운영팀과 개발팀이 인프라와 애플리케이션 전반에서 빌드와 배포 프로세스에 자동으로 보안을 적용하고 단일 워크플로우를 통해 민감한 데이터를 노출 없이 사용할 수 있게 한다.