HashiCorp가 Vault 1.21에서 SPIFFE 기반 워크로드 인증, 세분화된 시크릿 복구, KV v2 시크릿 속성 추적 기능 추가

Context

기존 Vault에서는 마이크로서비스와 컨테이너 같은 비인간 워크로드가 정적 자격증명에 의존해야 했고, 시크릿 삭제 또는 수정 시 전체 클러스터 스냅샷 복구라는 비효율적인 작업이 필요했으며, MFA TOTP 등록 시 관리자의 수동 개입이 필수였다.

Technical Solution

• SPIFFE 기반 네이티브 인증 추가: X509 또는 JWT 기반 SVID를 통해 마이크로서비스, 컨테이너, 서버리스 함수가 정적 자격증명 없이 Vault에 인증하도록 변경
• Vault를 SPIFFE 신원 발급자로 확장: AppRole, AWS auth 등으로 인증한 워크로드에 X509-SVID를 발급하여 서비스 간 통신 지원
• 세분화된 시크릿 복구 범위 확대: 데이터베이스 정적 역할, SSH 설정 CA, 관리형 키에 대한 타겟 복구 지원 및 복사 모드 추가 (-from 옵션으로 기존 값 덮어쓰지 않음)
• KV v2 시크릿 속성 추적: 각 버전 메타데이터에 created_by 필드 추가하여 생성자, 작업 유형, 엔티티 ID 기록
• MFA TOTP 자가 등록 기능: 로그인 중 QR 코드를 생성하여 사용자가 즉시 TOTP 인자 설정 가능하도록 변경
• Vault Secrets Operator CSI 드라이버: 시크릿을 etcd에 저장하지 않고 포드 라이프사이클 동안만 메모리에서 마운트
• SCEP 프로토콜 지원: IoT, 라우터, 스위치, MDM 관리 모바일 기기 등을 위한 인증서 프로비저닝 통합

Key Takeaway

Zero-trust 아키텍처 구축 시 정적 자격증명 제거, 세분화된 접근 제어, 감사 추적이 선택이 아닌 필수요소이며, Vault는 신원 발급자 겸 소비자 역할을 통해 Kubernetes, 하이브리드, 멀티클라우드 환경에서 이를 통합 제공할 수 있다.