피드로 돌아가기
Dev.toSecurity
원문 읽기
Credential-less 아키텍처를 통한 Cloud 자격 증명 유출 가능성 제로화
Your cloud keys should not exist
AI 요약
Context
기존 Cloud 플랫폼의 서비스 계정 키 기반 온보딩 방식은 무기한 유효한 Secret을 타사 시스템에 저장하는 구조적 취약점 보유. 저장된 Secret의 관리 부재와 유출 시 대응 지연으로 인해 공격 표면이 지속적으로 확장되는 한계 존재.
Technical Solution
- Workload Identity Federation(GCP) 및 OIDC 기반 AssumeRoleWithWebIdentity(AWS)를 활용한 Federated Identity 모델 도입
- Zero 자체 OIDC Issuer 구축 및 JWKS 엔드포인트 공개를 통한 토큰 검증 체계 마련
- 요청 시점에만 생성되어 수 분 내 만료되는 Short-lived JWT를 발행하여 Secret 저장소 자체를 제거
- Workload Identity Pool 내 Attribute Condition 설정을 통한 조직 단위(org ID)의 강력한 Tenant 격리 구현
- Cloud IAM 설정에 Trust Relationship을 명시하여 외부 ID의 접근 권한을 중앙에서 가시적으로 제어
- OIDC 미지원 서비스(GitHub, Slack 등)에 한해 최소 권한 기반의 OAuth 토큰 암호화 저장 방식 병행
실천 포인트
1. 서비스 계정 JSON 키 공유 대신 OIDC 기반의 Workload Identity Federation 도입 검토
2. Third-party 연동 시 '전체 권한'이 아닌 '특정 Attribute 조건'이 부여된 최소 권한 Role 할당
3. 정기적 키 로테이션 자동화보다 '토큰 수명 단축(Short-lived)'을 통한 무상태성 자격 증명 지향
4. 인프라 설정의 가시성 확보를 위해 Terraform 등 IaC를 통한 Trust Policy 관리