SPIFFE와 SPIRE란?
SPIFFE와 SPIRE는 역동적이고 가변적인 컴퓨팅 환경에서의 Identity 관리를 위한 한 쌍의 오픈소스 프로젝트입니다.
SPIFFE('spiffy'로 발음)는 모두를 위한 안전한 프로덕션 Identity 프레임워크(Secure Production Identity Framework for Everyone)를 나타냅니다. 이는 Identity의 구조를 결정하는 동시에 ID를 암호학적으로 검증하여 신뢰할 수 있는 것으로 간주하는 방법을 제공합니다.
SPIRE는 SPIFFE 런타임 환경의 약자입니다. SPIRE는 SPIFFE의 표준 구현입니다.
SPIFFE와 SPIRE는 함께 복잡한 하이브리드 클라우드 환경에서 제로 트러스트 아키텍처를 적용하기 위한 방법을 정의합니다. SPIFFE/SPIRE 프레임워크는 다음을 포함해 다수의 보안 문제를 해결합니다.
- 쿠버네티스 환경에서 클라우드 네이티브 애플리케이션의 보안 강화
- 엣지 컴퓨팅 위치에서 인증 개선
- AI 에이전트 및 그 외 비인간(nonhuman) 워크로드의 Identity 관리
SPIFFE와 SPIRE는 둘 다 클라우드 네이티브 컴퓨팅 재단(Cloud Native Computing Foundation, CNCF)의 최상위 프로젝트입니다. Red Hat은 엔터프라이즈 수준의 SPIFFE/SPIRE 구현인 Red Hat® 제로 트러스트 워크로드 Identity 관리자를 기술 프리뷰 형태의 Red Hat OpenShift® 오퍼레이터로 제공합니다.
이것이 거북이와 어떤 관계가 있나요?
SPIFFE를 지지하는 사람들은 종종 이를 가리켜 '맨 아래 거북이 문제'의 해결책이라고 이야기합니다. SPIFFE 프로젝트의 저자들이 이 거북이에 관한 은유를 이 기술에 대해 다룬 책의 제목으로 쓰기도 했습니다.
그렇다면 맨 아래 거북이 문제란 무엇일까요?
한 옛 이야기 속 인물은 이 세상을 거대한 거북이의 등이 떠받치고 있다고 주장합니다. 그 거북이는 어떻게 서 있느냐는 질문을 받자, 그보다 더 큰 다른 거북이의 등 위에 서 있다고 이야기합니다. 그러면 그 거북이는 어떻게 서 있을까요? “그 아래에 계속 다른 더 큰 거북이들이 있는 거죠!”
컴퓨터 보안은 이와 비슷한 맨 아래 거북이 문제를 안고 있습니다. 비밀번호, 애플리케이션 프로그래밍 인터페이스(Application Programming Interface, API) 키와 같은 암호는 서로 다른 여러 플랫폼과 서비스가 상호 간에 신뢰할 수 있도록 합니다. 이러한 암호를 안전하게 보호하려면 개인 암호화 키, 그리고 키를 저장하기 위한 암호 리포지토리와 같은 추가적인 보호 계층이 필요합니다. 이 암호 리포지토리는 더 많은 암호를 사용해서 보호됩니다. 이렇게 거북이의 비유처럼 암호를 보호하기 위한 또 다른 암호가 끝없이 이어지게 됩니다.
SPIFFE 표준 및 SPIRE 구현은 '맨 아래 거북이'를 구축해서 시스템 내에서 이루어지는 모든 상호작용을 위한 기본 신뢰 수준을 제공하는 것을 목표로 합니다.
SPIFFE와 SPIRE가 해결하는 문제는?
SPIFFE와 SPIRE를 사용하여 IT 보안을 개선할 수 있습니다. 이 두 가지의 조합을 통해 검증된 Identity와의 상호작용에만 액세스 권한이 부여되도록 하는 프레임워크를 구축할 수 있습니다. SPIFFE와 SPIRE는 워크로드에 대한 다단계 인증(Multifactor Authentication, MFA)에 비유할 수 있습니다.
SPIFFE: 프레임워크
SPIFFE는 다양한 환경 전반의 서비스를 위한 암호화된 Identity를 발급하고 관리하는 데 대한 사양을 설정합니다. 이 표준의 핵심은 SPIFFE 검증 가능한 Identity 문서(SPIFFE Verifiable Identity Document, SVID)입니다. 이는 워크로드의 Identity로 사용되는 단기 자격 증명입니다.
기본적으로 어떤 구성 요소도 신뢰하지 않는 것을 전제로 하는 제로 트러스트 아키텍처에서는 SPIFFE를 사용하여 암호를 사용하지 않고도 워크로드를 인증할 수 있습니다. 워크로드는 다른 서비스와 상호작용해야 하는 경우에 해당 SVID를 제시할 수 있습니다. 이는 일반적으로 X.509 인증서 또는 JSON 웹 토큰(JSON Web Token, JWT) 형식입니다.
그러면 다른 워크로드가 로컬에서 SVID를 검증할 수 있습니다. 이러한 방식으로 모든 트랜잭션을 수행할 때마다 중앙의 인증 기관을 통할 필요 없이 신뢰할 수 있는 피어 투 피어 인증을 사용할 수 있습니다. 이 능률적인 프로세스는 검증 가능하고 표준화된 Identity를 통해 신뢰를 유지하여 서비스 간의 커뮤니케이션을 간소화하고 안전하게 보호합니다.
SPIRE: 런타임 환경
SPIRE는 SPIFFE 표준을 구현하는 방식입니다. 이는 워크로드(요청 주체인 애플리케이션 또는 에이전트)와 노드(서버 또는 머신) 간에 신뢰를 구축하는 API를 설정하는 프로세스를 정의합니다.
SPIRE는 워크로드 및 노드 둘 다에 대해 증명을 고려합니다. 즉, 애플리케이션과 리소스의 Identity 진위 여부를 확인한 후에 서명 인증서를 발급합니다.
SPIRE 서버는 해당 SPIFFE 도메인 내의 Identity를 위한 서명 기관 역할을 합니다. 또한 레지스트리에서 워크로드 Identity를 추적합니다.
SPIRE 에이전트는 SPIRE 서버뿐만 아니라 워크로드가 실행 중인 각 노드에서도 실행됩니다. 이러한 에이전트는 SVID의 캐시를 보관하고 워크로드의 Identity를 증명합니다. SVID 인증은 커널 수준 인트로스펙션을 통해 로컬에서 수행할 수 있습니다. 즉, 워크로드는 특정 액션이 승인되었는지 확인하기 위해 외부 서비스를 호출할 필요가 없습니다.
SPIRE는 연합(federation)을 지원합니다. 서로 다른 시스템은 이 연합을 통해 검증에 필요한 공개 키와 인증서가 들어 있는 신뢰 번들을 교환할 수 있습니다.
SPIFFE 및 SPIRE 활용 사례
분산된 멀티클라우드 환경에서 SPIFFE 및 SPIRE를 사용하여 인증을 간소화할 수 있습니다. 일반적인 활용 사례는 다음과 같습니다.
하이브리드 클라우드 환경에서의 인증
하이브리드 및 멀티클라우드 환경에서는 애플리케이션이 복수의 클라우드 공급업체와 관리 경계에 걸쳐 있을 수 있습니다. 이는 이러한 도메인 간에 신뢰할 수 있는 커뮤니케이션을 구현하는 작업을 더욱 복잡하게 만듭니다.
SPIFFE 연합을 사용하면 서로 다른 위치에서 실행되는 SPIRE 서버가 신뢰 번들을 통해 공개 키와 인증서를 교환할 수 있습니다. 이는 특정 SPIFFE 발급 기관이 사용하는 공개 키 모음의 형식입니다. 이를 통해 애플리케이션은 개인 키 또는 복잡한 네트워크 구성 없이도 다양한 클라우드 공급업체나 관리 경계의 장벽을 뛰어넘어 신뢰를 구축할 수 있습니다.
쿠버네티스 및 KubeVirt에서의 Identity 관리
쿠버네티스 환경에서는 일반적으로 서로 협력해야 하는 여러 소규모 워크로드가 격리된 컨테이너에서 실행됩니다. SPIFFE와 SPIRE는 네트워크에서 실행되는 위치에 관계없이 컨테이너화된 애플리케이션을 위한 인증을 제공하여 쿠버네티스 환경의 보안을 개선하는 데 도움을 줄 수 있습니다. 이 강화된 보안은 Red Hat OpenShift Virtualization와 같은 KubeVirt 기반 솔루션에서 실행되는 가상 머신에도 적용됩니다. 이를 바탕으로 제로 트러스트 아키텍처의 핵심 원칙인 세분화된 액세스 제어를 구현할 수 있습니다.
AI 에이전트의 워크플로우
목표를 달성하기 위해 지시를 받은 다음 다른 시스템과 상호작용하는 AI 에이전트가 보편화되고 있습니다. 하지만 민감한 정보를 다뤄야 하는 경우 AI 에이전트를 활용하기가 쉽지 않습니다. AI 에이전트에게 액세스 권한을 부여하려면 머신 워크로드에 대해 강력하고 검증 가능한 Identity가 필요합니다. 이는 다양한 하이브리드 클라우드 플랫폼이 있는 환경에서는 더욱 까다로울 수 있습니다. SPIFFE 및 SPIRE는 AI 서비스가 통제된 방식으로 민감한 정보에 액세스할 수 있도록 하는 검증 가능한 단기 자격 증명을 제공하여 이러한 문제를 부분적으로 해결할 수 있습니다.
서비스 메쉬 트러스트
서비스 메쉬란 특히 컨테이너화된 애플리케이션에서 서비스 간의 커뮤니케이션을 처리하는 계층입니다. SPIFFE 및 SPIRE를 구현하면 서비스 메쉬에 통합 보안 관리를 추가하여 서비스 메쉬가 암호학적으로 검증 가능한 Identity를 신뢰하도록 할 수 있습니다. 이 신뢰 수준은 시스템 간의 상호운용성을 간소화합니다. 또한 서비스 메쉬 내부 및 외부에 정책을 적용하도록 지원합니다.
엣지 컴퓨팅 보안
SPIFFE와 SPIRE는 Identity 컨트롤 플레인을 로컬 환경으로 확장하기 때문에 엣지 컴퓨팅에 이상적인 옵션일 수 있습니다. 암호학적으로 검증 가능한 SVID는 곧 멀리 떨어진 분산형 엣지 서비스를 포함해 네트워크의 모든 위치에서 강력한 인증을 구현할 수 있다는 것을 의미합니다.
쿠버네티스에서 SPIFFE와 SPIRE를 사용하는 방법
클라우드에서 현대적인 애플리케이션을 실행하려면 일정 수준의 자동화가 요구됩니다. 이를 위한 인기 있는 선택지는 컨테이너에서 애플리케이션을 배포, 관리하고 확장할 수 있는 오픈소스 플랫폼인 쿠버네티스입니다. Red Hat OpenShift는 이 쿠버네티스 기반의 솔루션입니다.
SPIFFE와 SPIRE를 Identity 컨트롤 플레인, 즉 앞에서 든 비유인 '맨 아래 거북이'로 사용하여 쿠버네티스 전반에서 검증 가능한 Identity로 작업할 수 있습니다. 다음은 쿠버네티스의 SPIFFE 및 SPIRE에 대해 알아두어야 할 3가지 중요한 사실입니다.
- SPIRE는 SPIFFE 구현을 위한 프레임워크입니다. 쿠버네티스 클러스터 내에 SPIRE 구성 요소를 배포해야 합니다. 여기에는 Identity 및 서명을 관리하는 SPIRE 서버와 각 쿠버네티스 노드에서 하나씩 별도로 실행해야 하는 SPIRE 에이전트가 포함됩니다. 이러한 구성 요소는 기본 Identity 인프라를 구성하고 클러스터가 Identity를 암호학적으로 검증할 수 있도록 합니다. Red Hat 제로 트러스트 워크로드 Identity 관리자를 사용하면 Red Hat OpenShift 환경에서 이러한 작업을 수월하게 처리할 수 있습니다.
- SPIRE 에이전트는 노드 및 워크로드 증명을 모두 수행합니다. 에이전트는 쿠버네티스 네임스페이스, 서비스 계정, 컨테이너 이미지와 같은 애플리케이션의 특성을 검사하여 애플리케이션의 정당성을 검증할 수 있습니다.
- 증명이 완료된 애플리케이션은 SPIRE 에이전트에 의해 공개된 로컬 SPIFFE 워크로드 API에 액세스하여 고유한 단기 SVID를 얻을 수 있습니다. 이러한 SVID를 통해 mTLS(mutual Transport Layer Security) 연결을 설정하여 서비스 간에 신뢰할 수 있는 커뮤니케이션을 보장할 수 있습니다.
제로 트러스트 보안을 위해 Red Hat을 선택해야 하는 이유
Red Hat 솔루션은 처음부터 통합 보안을 중심으로 구축되었습니다. 이러한 솔루션을 사용하여 데이터 주권을 지키는 동시에 클라우드 네이티브 및 AI 기반 워크로드의 배포와 관리를 지원하는 제로 트러스트 기반을 구축할 수 있습니다. Red Hat 전문가와 함께 멀티클라우드 환경에 제로 트러스트를 도입하는 여정을 시작하세요.
Red Hat의 제로 트러스트 워크로드 Identity 관리자는 SPIFFE 및 SPIRE의 설치와 라이프사이클 관리를 간소화하는 Red Hat OpenShift 오퍼레이터입니다. 이는 기존 클러스터에 설치할 수 있으며 검증을 거쳐 Red Hat OpenShift에서 원활하게 작동하는 것으로 확인되었습니다. 또한 설치 및 문제 해결을 위한 광범위한 도큐멘테이션이 제공됩니다.
