[Istio 가이드 ep.17] 3부 보안 및 인증 #1 | mTLS란? Istio에서 서비스 간 암호화 통신 설정하기

🔹 개요

이번 글에서는 Istio의 mTLS(Mutual TLS)를 활용하여 서비스 간 암호화 통신을 설정하는 방법을 살펴보겠습니다.
mTLS는 마이크로서비스 간의 통신을 암호화하고, 신뢰할 수 있는 인증을 제공하는 보안 프로토콜입니다.
Istio는 기본적으로 mTLS를 지원하며, 이를 통해 데이터 보호 및 서비스 인증을 강화할 수 있습니다.

이 글에서는 mTLS 개념, Istio에서 mTLS 적용 방법, 실전 예제를 설명하겠습니다.

---

🔹 1. mTLS(Mutual TLS)란?

✅ 1.1 mTLS 개념

**mTLS(Mutual TLS, 상호 TLS)**는 클라이언트와 서버가 서로를 인증하는 TLS 프로토콜입니다.
기본적인 TLS(HTTPS)는 서버만 인증하지만, mTLS는 서버와 클라이언트가 서로를 인증하여 보안성을 높입니다.

mTLS의 주요 기능

• 서비스 간 트래픽 암호화 → 데이터가 네트워크에서 유출되는 것을 방지
• 서로 인증하여 신뢰성 확보 → 서비스 간 통신이 안전한지 검증 가능
• Zero Trust 보안 모델 지원 → 내부 네트워크에서도 트래픽을 보호

---

✅ 1.2 Istio에서 mTLS가 필요한 이유

• 마이크로서비스 간 네트워크 트래픽이 암호화되지 않으면 보안 위협에 노출됨
• mTLS를 사용하면 서비스 간 인증 및 트래픽 보호가 자동으로 이루어짐
• Zero Trust 보안 모델을 적용할 때 필수적인 요소

---

🔹 2. Istio에서 mTLS 활성화 방법

✅ 2.1 Istio에서 mTLS 기본 정책 확인

Istio가 설치된 클러스터에서 현재 mTLS 설정을 확인하려면 다음 명령어를 실행합니다.

kubectl get peerauthentication -n istio-system

기본적으로 STRICT, PERMISSIVE, DISABLE 세 가지 모드가 있습니다.

모드 설명

STRICT	모든 서비스 간 통신을 mTLS로 암호화
PERMISSIVE	mTLS를 지원하지만, 비암호화 트래픽도 허용
DISABLE	mTLS를 사용하지 않음

💡 PERMISSIVE 모드에서 STRICT로 변경하면 모든 트래픽이 암호화됩니다.

---

✅ 2.2 클러스터 전체에 mTLS 적용하기

Istio에서 모든 서비스 간 mTLS를 강제하려면 PeerAuthentication 리소스를 생성해야 합니다.

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
  namespace: istio-system
spec:
  mtls:
    mode: STRICT  # 모든 서비스 간 mTLS 강제 적용

설명:

• mtls.mode: STRICT → 모든 서비스 간 통신을 암호화
• namespace: istio-system → Istio가 관리하는 네임스페이스에서 적용

💡 적용 후 모든 서비스 간 트래픽이 암호화되므로, 클라이언트가 mTLS를 지원해야 합니다.

---

✅ 2.3 특정 네임스페이스에 mTLS 적용하기

모든 서비스가 아닌 특정 네임스페이스에서만 mTLS를 적용하려면, 네임스페이스 단위로 PeerAuthentication을 설정할 수 있습니다.

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: ns-mtls
  namespace: my-namespace  # 특정 네임스페이스에서만 적용
spec:
  mtls:
    mode: STRICT

💡 namespace: my-namespace를 변경하면 특정 네임스페이스에서만 mTLS가 적용됩니다.

---

🔹 3. 서비스 간 mTLS 적용 예제

✅ 3.1 DestinationRule을 활용한 mTLS 설정

mTLS를 강제하면, 기존 서비스가 정상적으로 통신할 수 있도록 DestinationRule에서 mTLS를 활성화해야 합니다.

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: my-service-mtls
spec:
  host: my-service
  trafficPolicy:
    tls:
      mode: ISTIO_MUTUAL  # Istio의 기본 mTLS 설정 적용

설명:

• tls.mode: ISTIO_MUTUAL → Istio의 mTLS 인증을 사용하여 트래픽 암호화

💡 mTLS가 활성화된 경우, DestinationRule에서 ISTIO_MUTUAL을 설정해야 정상적으로 통신할 수 있습니다.

---

✅ 3.2 특정 서비스 간 mTLS 비활성화 (예외 적용)

모든 서비스가 mTLS를 사용하도록 설정했지만,
특정 서비스만 비암호화 트래픽을 허용하려면 PeerAuthentication에서 예외 처리할 수 있습니다.

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: disable-mtls
  namespace: my-namespace
spec:
  selector:
    matchLabels:
      app: my-legacy-service  # 특정 서비스에만 적용
  mtls:
    mode: DISABLE  # 해당 서비스에 대해 mTLS 비활성화

설명:

• selector.matchLabels.app: my-legacy-service → 이름이 my-legacy-service인 서비스에만 적용
• mtls.mode: DISABLE → mTLS 암호화 해제 (예외 처리)

💡 기존에 TLS를 지원하지 않는 서비스(예: 레거시 시스템)에는 mTLS를 비활성화해야 할 수도 있습니다.

---

🔹 4. mTLS 적용 후 확인 방법

✅ 4.1 서비스 간 트래픽이 암호화되었는지 확인하기

mTLS가 정상적으로 작동하는지 확인하려면 다음 명령어를 실행합니다.

istioctl authn tls-check <서비스-이름>.<네임스페이스>.svc.cluster.local

 

출력 예제:

HOST                                     STATUS       SERVER     CLIENT     AUTHN POLICY     DESTINATION RULE
my-service.default.svc.cluster.local     OK          mTLS       mTLS       default/strict   default/istio-mutual

💡 STATUS: OK가 표시되면, 서비스 간 트래픽이 암호화되고 있음을 의미합니다.

---

📌 결론

• mTLS(Mutual TLS)는 서비스 간 통신을 암호화하고 신뢰성을 보장하는 보안 프로토콜입니다.
• Istio의 PeerAuthentication을 활용하여 클러스터 전체 또는 특정 네임스페이스에서 mTLS를 적용할 수 있습니다.
• mTLS를 활성화하면, DestinationRule에서 ISTIO_MUTUAL을 설정해야 정상적인 통신이 가능합니다.
• 레거시 서비스 등 일부 서비스에 대해 mTLS를 비활성화할 수도 있습니다.
• mTLS가 정상적으로 적용되었는지 istioctl authn tls-check 명령어를 사용하여 확인할 수 있습니다.