제로 트러스터란?

  • 유저나 기기가 신뢰할 수 있는 내부망에 있더라도 믿지(신뢰) 않으며, 올바른 권한을 가진 요청인지 검증

고려 해야 할 요소

  • 네트워크 암호화 (* mTLS: 상호 간 신뢰 할 수 있는 연결, 즉 서버-클라이언트 간 인증서 검증 및 암호화)
  • 접근 정책과 제어
  • 로깅 및 모니터링

토스 에서의 제로 트러스터

  • 클러스터 내부 마이크로서비스 간
    • 모든 서비스 간 트래픽 → mTLS 적용
    • (클라이언트 사이드) 호출 가능한 서비스 제어 (즉, 허용되지 않는 서비스로는 호출 X)
    • (서버 사이드) 특정 클라이언트 에서만 트래픽 허용

    → 위와 같은 정책들은 자동화된 파이프라인을 통해 적용 및 관리

    → 또한 추가가 필요한 설정 또는 허용되지 않는 호출이 발생하는지를 모니터링

  • 개발 시 내부 망 에서의 접근
    • 개발자 개인별로 발급받은 인증서를 이용하여 mTLS 적용
    • 운영 환경과 분리된 게이트에서 트래픽을 받고, 특정 헤더를 통해 유저 식별(→ 접근 제어)
    • Audit 로그 기록
  • 계열사 및 외부사 에서의 접근
    • mTLS 적용
    • 의도하지 않는 아웃바운드 트래픽은 제거함으로써 접근 제어
    • 각 용도 별 게이트웨이 분리



지속해서 보안 침해 공격 수준이 진화하고 변화함에 따라 기존의 보안 패러다임은 더 이상 안전하다고 보장 할 수 없어졌고 이에 따라 제로트러스트와 같은 새로운 보안 패러다임의 중요성이 계속해서 강조 되는 것 같음

데브옵스, 인프라 엔지니어로써 서비스를 더 안전하게 운영하기 위해서 어떻게 보안을 강화할 수 있을지 생각해볼 수 있었고, 실제로 참고 해볼 수 있을만한 내용을 많이 얻어갈 수 있었음