[Valut] ID 기반 비밀 및 암호화 관리 시스템 구축 feat.Docker

 

 

COUPANG

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

 

 

 

 

🚀 ID 기반 비밀 및 암호화 관리 시스템 구축

    🔽  개요

        📦 소개

이번 글은 Docker를 이용하여 Valut(볼트)라는 것을 구현하는 것에 대해 정리해 보려고 해요.

 

볼트란 무엇일까요?

 

볼트는 HashiCorp가 개발한 오픈 소스 비밀 관리 도구에요. 볼트는 Application(애플리케이션)에서 사용되는 비밀 정보와 암호화 Key, API Token(토큰) 등을 안전하게 저장하고, 관리하는데 이용할 수 있어요. 즉, 주요 목표는 비밀 정보를 보호하고, 데이터 무결성을 유지해 주는 도구에요.

 

주요 기능	개     념
Secret Storage (비밀 저장소)	비밀 정보를 중앙 집중식 저장소에 보관. 해당 정보는 Database 비밀 정보, API Key, 암호화 Key 등을 포함.
접근 제어 및 권한 관리	사용자 및 애플리케이션에 대한 엄격한 접근 제어 기능 제공. 사용자 및 애플리케이션은 필요한 비밀 정보에 대한 접근 권한을 부여 받아야 함.
동적 시크릿 생성	비밀 정보를 동적으로 생성할 수 있으며, 이를 통해 일회용 비밀 정보 또는 제한된 유효 기간을 가진 비밀 정보 생성 가능.
암호화 및 복호화	데이터를 암호화하고, 복호화하는데 사용. 이를 통해 데이터 보호와 무결성 유지에 중요한 역할.
보안 인증 및 권한 부여	다양한 인증 및 권한 부여 메커니즘을 지원하여
Auditing & Monitoring	모든 비밀 정보 접속 및 변경을 Auditing하고, Monitoring할 수 있음. 이를 통해 보안 및 규정 준수 사항을 지킬 수 있도록 함.
Clieint Library	다양한 Programing Languge를 지원하는 Client Library가 있기 때문에 Application에서 Valut와 통합하기 쉬움.

 

볼트는 Cloud(클라우드) 환경에서도 사용 가능하고, 많은 조직이 보안 요구 사항을 충족하기 위해 볼트를 사용하고 있어요.
애플리케이션에서 사용되는 비밀 정보를 중앙 집중식으로 관리하고, 보고하기 위한 강력한 도구로 인정 받고 있답니다.

 

 

 

    🔽  Valut 설치 및 구성

        📦 Docker

최초 Docker(도커)를 사용하여 볼트를 구성하기 위해 Docker Compose(도커 컴포즈)로 구성해 보려고 해요.

 

728x90

version: "3.3"
volumes:
  vault_data: { }
services:
  junyss_vault:
    image: vault:1.13.3
    container_name: junyss_vault
    restart: unless-stopped
    hostname: junyss_vault
    volumes:
      - /docker/dirMapping/valut/config:/vault/config
      - /docker/dirMapping/valut/data:/vault/file
      - /docker/dirMapping/valut/logs:/vault/logs
    ports:
      - "8082:8200"
    cap_add:
      - IPC_LOCK
    command: vault server -config=/vault/config/config.hcl

위 컴포트 관련해서 각각 어떤 내용인지 분석해 볼게요.

Section	상세 내용
version: "3.3"	도커 컴포즈 파일의 버전 명시.
volumes	도커 볼륨 정의. Container에서 사용할 볼륨을 설정하는 데 사용. - valut_data: Valut Data 저장 볼륨 정의.    Valut의 Data와 설정 파일이 여기에 저장.
services	도커 컴포즈로 실행할 서비스 정의. - valut: valut 서비스 정의   - image: valut Container에서 사용할 도커 이미지 지정.   - container_name: Container 이름 지정.   - volumes: Container와 Host File System 간 Volume      Mapping 설정.      이를 통해 Container의 Config file, Data, Log 등을 Host의      특정 디렉터리에 저장.   - ports: Host와 Container 간 Port Mapping.   - cap_add: Container에 추가 권한 부여.      IPC_LOCK은 Container에서 고유      IPC(Inter-Process Communication) Name Space를      사용하도록 허용.    - command: Container 시작할 때 실행 명령어 정의.       valut server - config... 를 사용하여 Valut Server 실행하며,       설정 파일은 /vault/config/config.hcl에서 Load

mkdir -p <Directory>

Container(컨테이너) 내부 디렉터리와 Mapping(매핑)할 Directory(디렉터리)를 위와 같이 만들어 주었어요.

sudo vim /docker/dirMapping/valut/config/config.hcl

반응형

ui = true
api_addr = "http://192.168.20.253:8200" # vault 서버 주소
disable_mlock = true

listener "tcp" {
    address = "0.0.0.0:8200"
    tls_disable = "true"
}

storage "file" {
    path = "/vault/file"
}

위 설정 파일은 볼트 설정 파일이에요. 이것을 통해 볼트의 동작과 구성에 대한 정보를 정의해 줄 수 있어요.

Section	상세 내용
ui = true	볼트 웹 UI 활성화. 웹 브라우저를 통해 볼트에 대한 GUI 접근 가능.
api_addr = "http://192.168.20.253:8200"	볼트 서버 API 주소 설정. 볼트 서버 API는 Client Application과 상호 작용하는데 사용.
disable_mlock = true	Memory Lock을 비활성화 하도록 설정. Memory Lock은 Memory의 일부를 묶어 다른 Process가 접근하지 못하게 하는 보안 메커니즘 중 하나. 이 부분을 true로 함으로 Memory Lock을 비활성화.
listener "tcp"	볼트 서버가 수신 대기하고 Client의 연결을 수락하는 Network litener 정의. - address = "0.0.0.0:8200": 모든 네트워크 대역의 8200 포트에서    Client 연결 수락 허용. - tls_disable = "true": TLS(Transport Layer Security) 비활성화 하도록 설정. - storage "file": Valut Data 저장 Back End Storage 정의.   - path = "valut/file": Vault Data file을 /valut/file Directory에 저장하도록 설정.      이 Directory는 볼트가 Data를 저장하고, 관리하는 위치.

docker-compose up -d

위와 같이 도커 컨테이너를 기동 시켜 주었어요.

 

 

http://192.168.20.253:8200

 

위와 같이 볼트에 웹 브라우저를 통해 접속할 수 있는 걸 확인할 수 있어요.

 

 

 

 

        📦 초기 구성

볼트를 정상적으로 띄었으니 이제 로그인을 해봐야 해요.

 

최초 위와 같이 모두 1을 입력하고, Initialize를 클릭해 주세요.

 

그런 뒤 위와 같이 Download keys를 눌러 Key 값 파일을 내려 받아 줍니다.

그런 뒤 Continue to Unseal을 클릭해 줄게요.

 

 

해당 파일은 위와 같은 형식으로 작성 되어 있을거에요.

 

이 부분에 파일에 적혀 있던 keys의 ""를 제외한 Key 값을 넣어주세요.

 

COUPANG

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

 

이 부분에 Method는 Token으로 선택하고, Token 부분에 파일에 root_token의 ""를 제외한 Key 값을 넣어주세요.
그런 뒤 Sign In 버튼을 눌러주면 된답니다.

 

 

 

 

위와 같이 서비스에 접속할 수 있어요.

 

 

 

 

 

 

        📦 Profile Config

위와 같이 웹 UI를 이용할 수도 있지만, CLI 환경에서 사용하고 싶을 수도 있을테니 해당 설정을 진행해 볼게요.

만약 Profile(프로필) 설정을 하지 않고, vault 명령어를 실행하게 되면 아래와 같이 오류가 발생할 거에요.

docker exec -it <Container ID> /bin/sh

최초 위 명령어를 이용해서 볼트 컨테이너에 접속해 주었어요.

vault status

이렇게 명령어를 사용하려고 하면 문제가 발생해요.

vi ~/.profile

export VAULT_ADDR="http://127.0.0.1:8200"
export VAULT_TOKEN="hvs.EwyXMoRXoseiVXke0TdXiDYe"

위 내용을 profile file에 저장해 주었어요. VAULT_TOKEN 부분에는 위에서 내려 받은 json 파일의
root_token의 ""를 제외한 Key 값을 넣어주면 된답니다.

source ~/.profile

그런 뒤 위 명령어를 통해 .profile 내용을 적용 시켜주어야 해요.

 

 

vault status

그럼 위와 같이 볼트 명령어가 작동하는 것을 확인할 수 있어요.

 

 

 

 

 

 

 

 

 

        📦 ID & Password 사용

이번에는 Token(토큰)이 아니고, ID와 비밀번호를 이용해서 로그인할 수 있도록 설정해 볼게요.

vault login <root_token>

최초 위와 같이 root_token을 이용하여 root로 vault에 로그인하여 주었어요.

 

 

 

vault auth enable userpass

볼트에게 ID와 비밀번호를 입력해서 인증하는 방식을 허용하라고 명령해 주었어요!

 

vault write auth/userpass/users/root password=<Root Passowrd>

위 명령어를 통해 root 계정에 비밀번호를 지정해 주었어요.

 

그럼 위와 같이 Method를 Username을 이용해서 ID와 비밀번호를 이용하여 로그인할 수 있어요.

 

 

 

 

 

🧐 참고 자료

Vault userpass방식 로그인 및 Policy 적용하기