Hashicorp Strategy Day 2024
일정: 2024.08.27(화) 14:00 ~ 17:10
장소: 앰배서더 서울 풀만 호텔
Agenda
하시코프의 IBM 합병에 대한 간단한 주제를 시작으로 주요 포인트를 Infrastructure management, Lifecycle management로 잡으며 시작되었습니다.
Armon Dadger의 Opening keynote에서 State of cloud, The Application value chain, Unified Platform -> Meet The Infrastructure Cloud, Do cloud right, Automation cloud에 대한 설명들부터 Drawings Time으로 Hashicorp를 활용하는 방식들에 대해 설명하는 것이 인상 깊었습니다.
Terraform 운영 전략과 사례
(IaC로 입증된 클라우드 확장 전략과 생산적 워크플로우)
국내 기업의 테라폼 도입 유형을 살펴보면서 테라폼을 더 효율적으로 사용하기 위해서 어떠한 관점으로 접근해야 할 지 파악할 수 있던 시간이었던 것 같습니다.
크게 표준화/거버넌스, 인프라 셀프서비스, 자동화와 형상관리 관점에서 볼 수 있었고 Shift-left & Shift-right Provisioning에 대한 설명에서 Cost estimation 기능을 사용해보고 싶단 생각이 들었습니다.
코드 검토 및 테스트에 대한 설명에서는 Policy as Code와 Test Framework가 흥미로웠습니다.
보안 정책을 코드로 정의하여 인프라가 프로비저닝 될 때 사용자가 원하는 거버넌스를 시행
- 기업의 거버넌스 정책을 사전 정의하여, 배포 시 항상 자동으로 정책 적용
- 체계화된 보안 정책 수립으로 보안 강화된 안정적인 인프라 환경 구축
이 부분은 삼성전자의 질의응답 시간에 팁으로 "보안과 컴플라이언스 이슈는 초기에 세팅하기"라고 말해주었던 것이 복각하게 된 사항이었던 것 같습니다.
그 뒤로 버전 관리, 인프라 프로비저닝, 모니터링 및 유지보수에 대한 설명들을 차례로 들었고 삼성전자에서 느낀 랜딩존의 장점이 인상 깊었습니다.
- 어카운트별로 쉽게 관리할 수 있고, 보안 체크리스트 등 audit으로 사용자가 잘 못 사용하면 안내해주는 방식. 자율성을 주되 가이드를 준다고 볼 수 있을 것 같음
Vault 운영 전략과 사례
Vault는 ArgoCD에서 플러그인으로 적용하여 사용하고 있어서 조금 친숙하게 와닿았던 것 같습니다.
LG U+의 Hashicorp Vault를 통한 패스워드 관리 자동화 항목을 크게 눈여겨 보는 시간이었던 것 같습니다.
| 도입 이전 | 도입 이후 | + DB 접근 제어 |
|---|---|---|
| 사용자별 DB 계정 발급 필요 | Vault로 임시 계정 발급 | RBAC로 권한 관리 단순화 |
| 주기적 Rotation 필요 | 자동화된 계정 수명주기 제어 | Password Less 방식의 사용자 경험 제공 |
| 계정 수명주기 감사 관리 필요 | SAML 연계하여 사용자 권한 제어 | 중앙화된 Point에서 권한 및 이력 분석 |
AS-IS, TO-BE를 보고 여러 생각이 들었습니다. VCS에서의 DB 형상관리와는 다른 보안적 관점이 있던 것 같고, 주기적 Rotation 관리에 대한 고민을 덜어낸 시간이었던 것 같습니다.
PISAP / CPPO with Hashicorp
마지막으로 PISAP 체계에 대해 알아보게 되었고 효과적인 통합 모델을 위해 어떠한 관점에서 고민해봐야 할지 알게된 시간이었던 것 같습니다.
1. ECSA (Enhanced Cloud Security Assessment) - Prowler를 이용한 BP 기준 진단
2. ECIA(클라우드 인프라 고도화) — terraform, vault
3. ECDSA (클라우드 DB 보안 고도화) — vault
4. ECIRA (보안 관제 고도화) — vault
5. ECCSA (컨테이너 보안 고도화) — vault
6. ECASA (Gen-AI 기반 보안 고도화) — terraform, vault
