AWS에서의 20년과 결코 내 일이 아니었던 적이 없던 시간

Context

AWS IAM Role을 통한 정책 기반 자격 증명 관리의 보안적 효용성은 높으나, 이를 전달하는 인터페이스 설계의 비효율성 존재. 기존 방식은 자격 증명 전달 과정에서 보안 취약점 및 구현상의 한계를 내포한 구조임.

Technical Solution

• XenStore를 활용하여 커널 수준에서 자격 증명을 전달하는 아키텍처 제안
• Nitro 기반 시스템에서 가상 파일시스템(Virtual File System)을 통한 소유권 및 권한 설정 기반의 자격 증명 노출 설계
• vsock(7) 소켓 통신을 도입하여 위변조가 어려운 안전한 연결 방식 확보
• DMI 데이터 내 부트스트랩 자격 증명 삽입으로 root 권한 전용 sysfs 디렉터리 접근 제어 구현
• CAP_NET_BIND_SERVICE 권한 기반의 특정 포트 접근 제한을 통한 프로세스 격리 전략 적용