피드로 돌아가기
Dev.toSecurity
원문 읽기
OIDC 기반 Keyless 아키텍처 구축을 통한 Static Secret 제로화 달성
Keyless by Default: Securing FarmOps Desk without a Single Static Secret
AI 요약
Context
전통적인 Vercel-AWS 연동 방식의 Static Credential 사용으로 인한 Cloud Supply-chain 공격 노출 위험 존재. 특히 Secret Rotation 관리 부재와 코드 저장소 유출 시 발생하는 보안 취약점 해결 필요.
Technical Solution
- Vercel OIDC 통합을 통한 15분 만료 기간의 임시 세션 기반 Keycard 인증 체계 구축
- Database Role과 AI Role의 엄격한 분리를 통한 Blast Radius 최소화 및 Permission Boundary 적용
- @aws-sdk/rds-signer 기반의 동적 토큰 생성 방식으로 DB 접속 패스워드 저장소 제거
- Serverless 환경의 HTTP/2 세션 유지 한계 해결을 위한 EC2 기반 Sonic Bridge 전용 서비스 설계
- GitHub Actions OIDC와 AWS SSM을 결합한 SSH Key-less 배포 파이프라인 구현
- Serverless 동시성으로 인한 Aurora 커넥션 고갈 방지를 위한 AWS RDS Proxy 도입
실천 포인트
1. 정적 액세스 키 대신 OIDC 기반의 Short-lived Token 인증 체계 도입 검토
2. 단일 IAM Role 지양 및 서비스 기능별로 최소 권한 원칙(Least Privilege) 기반 Role 분리
3. DB 접속 시 정적 패스워드 대신 IAM Database Authentication 적용 여부 확인
4. CI/CD 파이프라인 내 SSH Key 저장 금지 및 Cloud Native 배포 도구 활용