[Istio 가이드 ep.19] 3부 보안 및 인증 #3 | RBAC & AuthorizationPolicy를 활용한 서비스 접근 제어

🔹 개요

이번 글에서는 Istio의 RBAC(Role-Based Access Control) 및 AuthorizationPolicy를 활용한 서비스 접근 제어 방법을 살펴보겠습니다.
RBAC는 사용자의 역할(Role)에 따라 리소스 접근을 제어하는 정책이며,
AuthorizationPolicy는 Istio에서 서비스 간 트래픽을 제어하는 보안 기능입니다.

이 글에서는 RBAC 개념, AuthorizationPolicy 설정 방법,
그리고 실제 YAML 예제를 통해 서비스 접근 제어를 적용하는 방법을 설명하겠습니다.

---

🔹 1. Istio에서 RBAC가 필요한 이유

✅ 1.1 RBAC(Role-Based Access Control) 개념

**RBAC(역할 기반 접근 제어)**는 사용자의 역할(Role)에 따라 특정 리소스 접근을 허용 또는 차단하는 보안 모델입니다.
Istio에서는 RBAC 정책을 활용하여 서비스 간의 접근을 제한할 수 있습니다.

RBAC의 주요 기능

• 서비스 간 무단 접근 방지
• 특정 사용자 또는 서비스에만 API 접근 권한 부여 가능
• 정책 기반 접근 제어를 통해 보안 강화

💡 Kubernetes의 기본 RBAC와 달리, Istio는 네트워크 트래픽을 제어하는 RBAC 정책을 추가로 제공합니다.

---

✅ 1.2 AuthorizationPolicy란?

**AuthorizationPolicy(권한 정책)**는 서비스 간 통신을 제어하는 Istio의 보안 리소스입니다.
RBAC를 적용하여 특정 서비스만 특정 API에 접근할 수 있도록 제한할 수 있습니다.

AuthorizationPolicy의 주요 기능

• 특정 서비스 또는 사용자가 API를 호출할 수 있도록 제어
• IP, JWT 토큰, 네임스페이스 등의 조건을 기반으로 접근 권한 부여 가능
• 거부 정책(Deny Policy)을 설정하여 불필요한 접근을 차단

---

🔹 2. Istio RBAC 및 AuthorizationPolicy 설정

✅ 2.1 특정 서비스에만 접근 허용하기

아래 AuthorizationPolicy 예제에서는 서비스 frontend만 backend 서비스에 접근 가능하도록 설정합니다.

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-frontend
  namespace: default
spec:
  action: ALLOW  # 접근 허용
  rules:
    - from:
        - source:
            principals: ["cluster.local/ns/default/sa/frontend"]  # frontend 서비스만 허용
      to:
        - operation:
            methods: ["GET"]  # GET 요청만 허용
            paths: ["/api/data"]  # 특정 API 경로만 허용

설명:

• action: ALLOW → 지정된 조건을 만족하는 요청만 허용
• source.principals → frontend 서비스 계정만 접근 가능
• operation.methods: ["GET"] → GET 요청만 허용
• operation.paths: ["/api/data"] → 특정 API 엔드포인트만 접근 가능

💡 활용 사례:

• 외부 API에 대한 접근을 특정 서비스만 가능하도록 제한할 때 사용
• 내부 마이크로서비스 간 트래픽을 세밀하게 제어 가능

---

✅ 2.2 모든 트래픽을 기본적으로 차단하고 예외적으로 허용하기

기본적으로 **모든 트래픽을 차단하고, 특정 서비스에만 접근을 허용하는 보안 모델(Whitelist 방식)**을 적용할 수 있습니다.

① 기본적으로 모든 트래픽 차단

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-all
  namespace: default
spec:
  action: DENY  # 모든 요청을 기본적으로 차단

② 특정 서비스(frontend)만 허용

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-frontend
  namespace: default
spec:
  action: ALLOW  # 특정 서비스에 대한 요청만 허용
  rules:
    - from:
        - source:
            principals: ["cluster.local/ns/default/sa/frontend"]  # frontend 서비스만 허용

💡 활용 사례:

• 기본적으로 서비스 간 트래픽을 차단하고, 필요한 서비스만 예외적으로 접근 허용

---

✅ 2.3 JWT 기반 인증 적용하기

Istio에서는 JWT(JSON Web Token)를 활용하여 API 요청을 인증할 수 있습니다.

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: jwt-auth
  namespace: default
spec:
  action: ALLOW
  rules:
    - from:
        - source:
            requestPrincipals: ["https://issuer.example.com/*"]  # JWT 발급자 기준으로 인증
      to:
        - operation:
            paths: ["/secure-api"]  # "/secure-api" 경로만 보호

설명:

• source.requestPrincipals → JWT 토큰을 사용하여 요청을 인증
• operation.paths: ["/secure-api"] → 보호할 API 경로 설정

💡 활용 사례:

• JWT 기반 OAuth 2.0 인증 시스템과 통합하여 보안 강화

---

🔹 3. AuthorizationPolicy 설정 확인 및 테스트

✅ 3.1 AuthorizationPolicy 적용 확인

현재 적용된 AuthorizationPolicy를 확인하려면 다음 명령어를 실행합니다.

kubectl get authorizationpolicy -n default

✅ 3.2 특정 서비스의 접근 권한 확인

istioctl x authz check pod/<pod-name> -n default

출력 예제:

ACTION: ALLOW
SOURCE: cluster.local/ns/default/sa/frontend
DESTINATION: cluster.local/ns/default/sa/backend

💡 ALLOW가 표시되면 해당 서비스에 대한 접근이 허용되었음을 의미합니다.

---

📌 결론

• RBAC(Role-Based Access Control)는 서비스 간 접근을 제어하는 역할 기반 보안 정책입니다.
• AuthorizationPolicy를 활용하면 특정 서비스 또는 사용자의 API 접근을 제한할 수 있습니다.
• Whitelist 방식(기본적으로 모든 트래픽 차단 후 예외적으로 허용) 적용 가능
• JWT 기반 인증을 활용하여 API 요청을 보호할 수 있음
• 서비스 간 무단 접근을 방지하고, 보안성을 강화하기 위해 Istio의 RBAC 및 AuthorizationPolicy를 적극 활용해야 함