비대면 시대 + 클라우드 환경에서의 보안 과제와 Vault로 몇몇 해결할 수 있는 방안에 대한 슬라이드

2. Copyright © 2020 HashiCorp
비대면, 외부 개발을 위한
맘편한 보안
Vault로 어디서나 안전하고 쉬운 시크릿 관리
HashiCorp Korea, APAC

3. 사회적 위협이
디지털 비즈니스를 확장시키고 있습니다.
4대 오픈마켓 19,20년 1.11~4.11 정보량 변화 (단위: 천건)
출처: 글로벌빅데이터연구소
코로나19로 주목받은 화상회의 서비스 Zoom

4. 이제 기업은
After Corona →
With Corona
를 준비해야 합니다.
출처: 한국경제연구원, 중앙일보
"코로나 끝나도 유연근무제 유지한다"는 기업 51.1%
LG유플 "주3회 재택, 출근하려면 임원 승인 받아라"
SK텔레콤, 전직원 자택 20분 이내 거리에 '오피스' 마련
쿠팡은 ... 개발자들이 자유롭게 근무할 수 있는 환경 조성
롯데쇼핑은 수도권 일대 5곳에 스마트오피스를 마련
"코로나 종식돼도 이전처럼 일 못 한다…'위드 코로나' 전략"

5. © 2020 HashiCorp 5
?!
이전의 업무 환경
● 제한적인 접근관리와 통제
● 내부 네트워크
● 겹겹이 싸인 보안체계와
정책에 대한 투자
VPN : Firewall : SDP : Password encryption
기업의 IT 환경 자체를 ‘철통 보안’ 하는 구조
시스템 접속 정보
패스워드
계정 정보
DB 접속 정보
시크릿
인증 정보
메일
문서
구두
Plain
Text

6. © 2020 HashiCorp 6
그런데 말입니다.

7. © 2020 HashiCorp 7
비대면 시대의
업무 환경
● 통제되지 않은 접근환경
● 다수의 외부 사용자
● 분산된 관리 포인트
?!
시스템 접속 정보
패스워드
계정 정보
DB 접속 정보
시크릿
인증 정보
사내
협력사
리모트
클라우드
프라이빗
SaaS
외부
사용자
내부
사용자
애플리케이션

8. © 2020 HashiCorp 8
인증정보
오케스트레이션
● 스프롤된 인증 정보의 통합 필요
● 자격증명의 라이프사이클 관리 필요
● 자동화된 시크릿 배포와 회수 필요
?!
▪ 시스템 접속 정보
▪ 패스워드
▪ 계정 정보
▪ DB 접속 정보
사내
협력사
리모트
클라우드프라이빗 SaaS
외부
사용자
내부
사용자
애플리케이션

9. © 2020 HashiCorp 9
Use Case 01:
원격 작업자를 위한
인증정보 관리
● 중앙 집중식 관리 및 자동화된 시크릿 배포/관리로
생산성을 높이고 보안 워크플로우를 통해 배포
시간을 단축
● Private Key 유출로 인한 보안 사고 예방
● 자동화된 규정 준수와 정책 관리로 보안사고로 인한
위험 비용 제어
without Vault
with Vault
Admin
Admin
External
User
External
User
System
(Server, Cloud, DB, ...)
History/Status
(Date, TTL, ...)
Audit Log
(Who, Where, ...)
Vault History/Status
System
Audit Log
SSH Signed
Certification
SSH OTP
UI / API

10. © 2020 HashiCorp 10
Use Case 02:
자격증명의
생명 주기 관리
● Cloud, DB 및 시스템 접근 사용자 자격 증명에
대한 생명 주기를 관리하여 정보 유출로 인한
위험 감소
● Zero Touch 기반 자격 증명 관리 자동화로
업무 시간 단축
● Secret wrapping을 통한 안전한 자격증명
전달 (Plaintext -> API Call)
without Vault
with Vault
Admin
Admin
Cloud Access Key
Vault
Server
Cloud
Database
Server OTP
Database Secret
External
User
{ Plain Text }
Update
Update
Read External
User
Application
Application Configuration
Update
UI / API / Tools
+ Secret wrapping

11. © 2020 HashiCorp 11
Vault: Security Automation
클라우드 운영 모델에서 신뢰할 수 있는 ID Source를 활용해 회사 내에 널리 퍼져있는 기밀과
애플리케이션 데이터를 안전하게 보호할 수 있는 클라우드 보안의 기반을 제공함
Secrets management
클라우드 및 애플리케이션 전반의 기밀을 중앙 집중식으로 저장/보호
Data encryption
전반적인 환경과 워크로드에서 애플리케이션 데이터를 안전하게 유지
Advanced Data Protection
기존 시스템, 클라우드 및 인프라 전반에서 워크로드 및 중요 데이터 보호
Business benefit
- 클라우드 환경에 맞는 기밀 정보의 보호 (사고 대비/대응)
- 중앙집중식 관리를 통한 정책적 접근 및 관리 가능
- 자동화된 데이터 보호를 통한 개발팀 자체의 생산성 향상

12. © 2020 HashiCorp 12
HashiCorp Vault got BEST
시크릿 관리 영역의 최고로 평가
▪ Vault는 API, CLI 및 주입 기반 (웹 후크를 통한 Kubernetes 사이드카 주입 사용)과
같은 애플리케이션에 대한 비밀 관리를 지원하는 여러 가지 메커니즘을 제공
▪ 에이전트로 실행되어 시크릿 정보를 애플리케이션에 투명하게 주입
▪ 애플리케이션에 대한 암호화 및 신뢰 중개와 같은 기존 PAM Privileged Access Management
공급 업체의 시크릿 관리 제품에는 없는 많은 기능 제공
▪ IaaS / PaaS 업체가 제공하는 보안 프레임 워크와의 통합을 포함하여 API
클라이언트를 보호하고 식별하는 광범위한 메커니즘 목록 제공
▪ 새 컨테이너가 인스턴스화 될 때 필요에 따라 데이터베이스 및 애플리케이션에서
계정을 생성 및 삭제하여 탄력적으로 확장 가능한 환경을 지원
▪ 여러 언어에 대한 컨테이너 관리 시스템, 컨테이너 관리 프레임 워크 및 SDK와의
광범위한 통합을 제공
“시크릿 관리에 대해 고려 된
모든 제품 중에 최고 수준으로
평가되었습니다.”
- Gartner (Critical Capabilities: Privileged Access
Management)

13. 고맙습니다
이메일 : gs@hashicorp.com
Vault home : vaultproject.io
Learn & Lab : learn.hashicorp.com
13