토픽 65 / 210·인증 및 접근제어
Secret Management (시크릿 관리)
Secret Management (시크릿 관리)
애플리케이션과 시스템이 사용하는 비밀번호, API 키, 토큰, 인증서 등 민감한 자격 증명(Secrets)을 안전하게 저장, 접근, 교체, 감사하는 보안 관리 체계
목적: 자격 증명 보호, 하드코딩 방지, 중앙 집중 관리, 자동 교체, 접근 감사
특징: 암호화 저장, 동적 자격 증명, 접근 제어, 감사 로깅, 자동 로테이션
관리 대상
- •정적 시크릿: 데이터베이스 비밀번호, API 키, SSH 키
- •동적 시크릿: 임시 생성, 사용 후 폐기, 클라우드 자격 증명
- •인증서: TLS/SSL 인증서, 코드 서명 인증서
주요 도구
- •HashiCorp Vault: 오픈소스, 동적 시크릿, PKI, Transit 암호화
- •AWS Secrets Manager: AWS 통합, RDS 자동 로테이션
- •Azure Key Vault: Azure 통합, HSM 지원
- •Kubernetes Secrets: K8s 네이티브, etcd 암호화
보안 원칙: 최소 권한, 시크릿 로테이션, 감사 로깅, 암호화, 하드코딩 금지
장점: 중앙 집중 관리, 자동 로테이션, 감사 추적, 동적 자격 증명
단점: 복잡성 증가, 가용성 의존, 마이그레이션 비용, 학습 곡선
적용사례: DevOps 파이프라인, 마이크로서비스, 클라우드 인프라, CI/CD
비교: Vault(다기능/복잡) vs AWS Secrets Manager(AWS 특화) vs K8s Secrets(단순/제한적)
연관: DevSecOps, CI/CD, 암호화, 키 관리, HSM