Base64 인코딩 한계를 극복하는 K8s Secrets 다층 방어 체계 구축

Context

Kubernetes 기본 Secret 리소스가 Base64 인코딩 방식만 사용하여 데이터 노출 위험이 높은 구조적 결함 보유. RBAC 설정만으로는 etcd 직접 접근이나 API 서버를 통한 평문 노출 가능성을 완전히 차단하지 못하는 한계 존재.

Technical Solution

• etcd 데이터 보호를 위한 Encryption Configuration 적용 및 KMS 기반 Envelope Encryption을 통한 외부 키 관리 체계 구축
• Least Privilege 원칙에 따른 Namespace 단위 RoleBindings 설정으로 Secret 접근 권한의 최소 범위 제한
• External Secrets Operator(ESO) 도입을 통한 Secret 소스(Source)의 외부 Vault 이전 및 클러스터 내 Consumer 구조 전환
• Secrets Store CSI Driver 활용으로 etcd 저장 과정을 생략하고 Pod 볼륨에 Secret을 직접 마운트하는 메모리 기반 주입 방식 채택
• Sealed Secrets 및 Mozilla SOPS를 이용한 GitOps 파이프라인 내 Manifest 암호화로 소스 코드 내 평문 노출 원천 차단
• Cloud Secrets Manager와 ESO 연동을 통한 Secret Rotation 자동화 및 Pod 재시작 없는 환경 변수 갱신 프로세스 설계