[HashiCorp] What is Vault?

Jaewon Lim·2026년 2월 19일
hashicorpterraformvault

Vault 공부를 하게 된 이유: 개발자나 엔지니어가 코드 작업이나 시크릿 관리를 위한 추가적인 작업 필요없이 더 강력한 보안 아래에서 편리하게 데이터 접근 및 사용을 위함

볼트란?

볼트란 데이터 암호화와 접근 제어를 통해 비밀 정보 관리를 위한 스프트웨어 도구. 쉽게 말해 우리가 흔히 사용하는 API 키, 비밀번호, 인증서를 미드웨어에서 안전하게 저장하고, 사용자 인증과 권한 부여를 통해 엄격하게 제어하며 감시함. 클라우드 환경과 같은 동적 인프라에서 사용하기 적합하며, 다양한 인증 방법과 통합되어 보안을 강화하는데 사용.

  1. 인증(Authenticate) : 클라이언트가 누구인지 확인하고 인증이 완료되면 토큰 생성
  2. 검증(Validation) : 신뢰할 수 있는 외부 소스를 통해 클라이언트를 검증
  3. 권한 부여(Authorize) : 클라이언트를 Vault 보안 정책과 일치시키고, 액세스 권한 부여
  4. 액세스(Access) : 클라이언트의 ID와 관련된 정책에 기반하여 토큰을 발급하여 비밀, 키, 암호화 기능 등에 접근할 수 있는 액세스 권한 부여. 이후 클라이언트는 Vault 토큰을 사용

시크릿, 서비스 접근 및 사용을 위한 인증 및 계정 정보

시크릿 관리 솔루션은 디지털 인증 자격 증명을 관리하는 데 사용되는 도구와 기술. IT 에코시스템 전반에서 중요한 정보를 보호하는 데 사용되는 API 키, 암호, 토큰 또는 기타 자격 증명이 포함될 수 있음. 클라우드 네이티브가 증가함에 따라 비밀이 관리하기가 점점 어려워짐. 모든 서비스에는 API 키 또는 자격 증명이 필요하므로 이전보다 더 많은 서비스를 통해 자격 증명이 전달됨

주요 기능

  • 임의의 Key-Value 를 안전하게 저장하고 암호화하여 영구 저장소에 기록
  • AWS나 DB 등에 필요한 경우 Valut 에서 즉시 시크릿 생성 가능
  • 암호화 파라미터를 정의할 수 있어서, 데이터를 별도 저장 없이 암호화/복호화 가능
  • Vault 의 모든 시크릿에는 lease가 연결되어 있어, 자동으로 폐기 및 갱신 가능
  • Vault 는 단일 시크릿 뿐만 아니라, 특정 유저가 읽은 모든 시크릿이나 특정 타입의 모든 시크릿등을 폐기할 수 있음. 이는 키 롤링 및 침입 대응을 위한 시스템 보안에 도움

하시코프 볼트 적용 방안

  • 시크릿 관리
    • 클라우드 및 애플리케이션 전반에 걸친 인증 및 계정 정보를 중앙화하여 지정/보호
    • 예시1) 데이터 베이스 계정 관리(자동화된 DB 신규 계정 관리 및 기존 DB 계정 비밀 번화 관리)
      • 장시간 사용되는 공유 계정 제거. 자동화된 DB 비밀번호 변경으로 데이터 유출 위험 감소
      • 가시성 증가 : 모든 인프라에 사용하는 DB 계정 생명 주기 관리
      • 업무 부하 감소 : 자동화된 장/단기 사용 DB 계정 변경
      • 리스크 감소 : 주기적인 비밀번호 변경으로 비밀번호 유출 예방
    • 에시2) 클라우드 서비스 계정 관리(클라우드 도입/확산 시, 산재되어 있는 클라우드 서비스 계정 관리)
      • 서비스 계정을 간편하게 통합 관리. 서비스 계정 접근 관리에 대한 조직 차원의 복잡성 해소
      • 작업시간 감소 : 단일 워크 플로우를 통한 서비스 계정 관리
      • 업무 부하 감소 : 단일 워크 플로우 기반, 자동화된 계정 관리
      • 리스크 감소 : 계정 생명 주기 관리로 부안 유출 사고
    • 예시3) 쿠버네티스 시크릿 관리(시크릿 인젝션 기반 쿠버네티스 시크릿 관리)
      • 서비스 계정을 간편하게 통합 관리. 버시스 계정 접근 관리에 대한 조직 차원의 복잡성 해소
      • 생산성 향상 : 쿠버네티스 환경의 보안 적용 시간 단축
      • 접근 제어 향상 : pod, 서비스 계정을 위한 역할 기반 접근 통제
    • 예시4) TLS/PKI 인증서 관리(Root CA 또는 Intermediate CA로 인증서 생명 주기 관리)
      • TLS 인증 생성, 폐기 관련 업무 최소화. 자동화된 인증서 배포 및 폐기로 보안 강화
      • 생산성 향상 : 관리 워크 플로우 기반, 인증서 배포 시간 단축
      • 보안 강화 : 2년 이상 사용하던 인증서의 동적인 갱신
      • 리스크 감소 : 대상 시스템의 인증서를 안전하게 변경
  • 데이터 암호화
    • 데이터 암호화를 위한 Key 관리 중앙화 및 쉬운 API를 통한 암호화 서비스 제공
  • 암호화 키 통합 관리
    • 기업 내 산재된 암호화 키를 통합 관리 및 데이터에 대한 비식별화 및 마스킹

영향

  1. 시크릿의 보안 및 기밀성 강화
  • 인증/접속 정보를 중앙 집중화하여 서비스 관련 각종 인증 및 계정 정보의 통합 관리하고 계정 및 인증 정보 관리에 사람의 개입을 최소화
  1. 침해 사고 위험 감소
  • 신뢰할 수 있는 ID를 기반으로 액세스를 엄격하게 제어하여 하드 코딩된 인증/접속 정보를 제거
  1. 정보 유출 위험 감소
  • 역할별 계정 및 인증 정보에 접근을 제한하고, 휘발성 계정과 비밀번호를 사용하여 정보 도용을 통한 부적절한 접근을 차단
profile
Jaewon Lim
이전 포스트

[Grafana] 온프레미스 인프라 네트워크 모니터링

다음 포스트

[HashiCorp] Vault Install [ENG]

0개의 댓글