암호 관리란?

암호란 일반적으로 비밀번호, 클라이언트 구성 파일, 리포지토리 자격 증명 등과 같은 민감한 정보를 보유한 오브젝트 유형입니다. 포드로부터 분리되고 비공개를 유지해야 하는 항목은 암호로 저장하는 것이 가장 좋습니다.

이러한 암호를 관리하는 것이 데이터 침해와 손상된 자격 증명으로부터 기존 환경을 보호하기 위한 핵심입니다.

암호 관리는 일상적인 운영 작업을 실행하는 데 필요한 민감한 정보의 기밀 유지를 보장하기 위한 방법입니다. DevOps 또는 보안 운영 워크플로우를 방해하지 않고 조직의 개발 및 프로덕션 환경 전반에서 보안을 강화합니다. 

암호 관리는 단일 항목이라기보다는 인증된 액세스와 트랙킹, 권한 원칙, 역할 기반 액세스 제어 등 다양한 보안 옵션을 적용하는 것입니다. 이러한 옵션을 통해 중요한 데이터를 무단 사용자에게 노출하지 않고 암호를 적절하게 관리할 수 있습니다. 

단일 지점에서 보호 대상 리소스를 자격 증명으로 제어하여 암호를 관리할 수 있는 다양한 자동화 툴이 있습니다. 제공되는 툴 중에는 Red Hat® OpenShift®가 포함된 Red Hat® Ansible® Automation Platform, CyberArk 또는 Git 및 GitLab 내의 여러 옵션이 있습니다.

암호 관리는 보안 프레임워크를 준수하고 DevSecOps 라이프사이클의 여러 주요 지점에서 보안 옵션을 구현하는 방식으로 작동합니다.

위의 예시는 DevOps 라이프사이클의 특정 지점에 어떤 보안 솔루션이 매핑될 수 있는지를 보여줍니다. 예를 들어, 소프트웨어 구성 분석(SCA)은 통합 개발 환경(IDE), 빌드 리포지토리, 컨테이너 레지스트리, 클러스터에서 오픈소스 소프트웨어의 코드베이스를 스캔하는 데 적용할 수 있습니다. 이러한 작업을 통해 코드베이스에서 다운스트림 취약점을 방지할 수 있습니다. 암호 저장소와 인증 툴을 결합하여 개발 주기의 주요 단계에 구현하는 것도 잠재적 해커나 악의적인 사용자의 공격 기회를 줄일 수 있는 방법입니다. 

이것은 효과적인 암호 관리와 보안 솔루션이 어떻게 작동할 수 있는지 보여주는 한 가지 예시일 뿐입니다. 효과적인 암호 관리를 위해 위에 나열된 모든 단일 항목을 구현할 필요는 없습니다. 오히려 특정 워크로드 내에서 암호 침해 가능성을 줄이기 위한 보안 옵션을 전략적으로 사용해야 합니다. 
 

OpenShift와 쿠버네티스 암호는 즉시 인코딩되지만 이것만으로는 데이터를 안전하게 보호하기에 충분하지 않을 수 있다는 점에 유의해야 합니다. 인코딩은 데이터를 다른 형식으로 변환하는 것인데, 이는 되돌릴 수 있습니다. 그러나 암호화의 경우 데이터를 변환하고 이를 되돌리거나 액세스하려면 특정 키가 필요합니다. 이렇게 하면 데이터를 훨씬 안전하게 보호할 수 있으며, 암호 관리 전략의 일부로 구현할 수 있습니다.

암호 관리를 구현하면 조직의 데이터를 안전하게 보호하는 것 외에도 여러 가지 면에서 유용합니다.

• 암호 스프롤(secret sprawl)/격리된 보안 영역(security island) 방지: 암호 관리를 중앙화함으로써 조직 내 소규모 그룹이 전문화된 액세스 권한을 독점적으로 갖지 못하도록 방지할 수 있습니다.
• 악의적인 사용자 식별: 강력한 검증 요건을 구현하여 잠재적인 해커를 손쉽게 차단하고 자격이 증명된 사용자처럼 보이도록 하는 스푸핑 시도를 막을 수 있습니다.
• 자격 증명 자동화: 자격 증명 확인 및 권한을 자동화함으로써 사용자를 인증하는 데 필요한 수동 작업의 양을 줄이고 사용자 워크플로우를 중단 없이 지속할 수 있습니다.

지금까지 암호 관리에 대해 자세히 살펴보았습니다. 조직의 워크플로우 보안을 강화하기 위한 더 많은 옵션을 알아보세요.