[Istio 가이드 ep.21] 3부 보안 및 인증 #5 | Istio의 Identity 및 인증 체계 이해

🔹 개요

이번 글에서는 Istio의 Identity(신원) 및 인증(Authentication) 체계를 이해하고, 서비스 보안을 강화하는 방법을 살펴보겠습니다.
Istio는 서비스 간의 신뢰성을 보장하기 위해 고유한 서비스 ID를 생성하고, 이를 기반으로 인증을 수행합니다.
이를 통해 Zero Trust 보안 모델을 실현할 수 있으며,
mTLS(Mutual TLS), JWT(JSON Web Token), OAuth 2.0 등의 인증 방식을 지원합니다.

이 글에서는 Istio의 인증 체계, 서비스 ID 발급 방식, 그리고 mTLS 및 JWT를 활용한 보안 강화 방법을 설명하겠습니다.

---

🔹 1. Istio의 Identity(신원) 시스템

✅ 1.1 Istio에서 Identity란?

Istio의 Identity(신원)는 서비스 간 통신에서 신뢰성을 검증하기 위해 사용되는 보안 개념입니다.
각 서비스는 Istio를 통해 고유한 ID를 부여받으며, 이 ID를 기반으로 인증이 이루어집니다.

Istio의 Identity 주요 특징

• 서비스 간 mTLS를 통해 인증서를 기반으로 신뢰성을 보장
• 각 서비스가 고유한 서비스 계정(Service Account)과 인증서를 가짐
• Zero Trust 보안 모델을 지원하여, 내부 네트워크에서도 인증을 요구

---

✅ 1.2 Istio의 서비스 Identity 발급 방식

Istio는 각 서비스에 대해 SPIFFE(Secure Production Identity Framework for Everyone) ID를 할당합니다.
SPIFFE ID는 서비스의 고유한 신원을 나타내며, 서비스 간 인증 및 접근 제어에 사용됩니다.

Istio의 SPIFFE ID 형식

spiffe://cluster.local/ns/<namespace>/sa/<service-account>

예제:

spiffe://cluster.local/ns/default/sa/my-service

💡 Istio는 SPIFFE ID를 사용하여, 서비스 간 인증을 수행하고 신뢰성을 보장합니다.

---

🔹 2. Istio에서 인증(Authentication) 방식

✅ 2.1 mTLS(Mutual TLS) 인증

**mTLS(Mutual TLS)**는 서비스 간 통신을 암호화하고, 각 서비스가 서로의 신원을 검증하는 방식입니다.
Istio에서는 기본적으로 mTLS를 사용하여 자동으로 인증서를 생성하고 관리할 수 있습니다.

mTLS 인증을 위한 PeerAuthentication 설정

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: enable-mtls
  namespace: default
spec:
  mtls:
    mode: STRICT  # 모든 서비스 간 트래픽을 mTLS로 암호화

설명:

• mtls.mode: STRICT → 모든 서비스 간 통신을 암호화(mTLS 적용)

💡 mTLS를 적용하면, Istio는 서비스 간의 모든 트래픽을 자동으로 암호화합니다.

---

✅ 2.2 JWT(JSON Web Token) 인증

Istio는 JWT를 활용하여 사용자 또는 서비스 인증을 수행할 수 있습니다.

JWT 인증을 위한 RequestAuthentication 설정

apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:
  name: jwt-auth
  namespace: default
spec:
  selector:
    matchLabels:
      app: my-service  # 특정 서비스에 JWT 인증 적용
  jwtRules:
    - issuer: "https://auth.example.com"  # JWT 발급자
      jwksUri: "https://auth.example.com/.well-known/jwks.json"  # 공개 키 URI

설명:

• issuer → JWT 발급자(OAuth 2.0 인증 서버)
• jwksUri → JWT 서명을 검증할 공개 키 URL

💡 JWT를 적용하면 API 요청 시 유효한 JWT 토큰이 포함되어야만 서비스에 접근할 수 있습니다.

---

✅ 2.3 Istio의 AuthorizationPolicy를 활용한 인증 강화

Istio에서는 AuthorizationPolicy를 사용하여 특정 신원(Identity)에 따라 서비스 접근을 제어할 수 있습니다.

JWT 인증을 요구하는 AuthorizationPolicy 설정

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: require-jwt
  namespace: default
spec:
  action: ALLOW
  rules:
    - from:
        - source:
            requestPrincipals: ["https://auth.example.com/*"]  # JWT 인증된 사용자만 허용
      to:
        - operation:
            paths: ["/secure-api"]  # 보호할 API 경로

설명:

• requestPrincipals: ["https://auth.example.com/*"] → JWT 인증된 사용자만 허용
• operation.paths: ["/secure-api"] → 특정 API 경로 보호

💡 이 설정을 적용하면, JWT 인증을 거치지 않은 요청은 /secure-api에 접근할 수 없습니다.

---

🔹 3. 인증 적용 후 확인 방법

✅ 3.1 서비스의 Identity 확인

현재 서비스가 어떤 Identity(SPIFFE ID)를 가지고 있는지 확인하려면 다음 명령어를 실행합니다.

kubectl exec -it <pod-name> -n <namespace> -- cat /etc/istio/proxy/certs/root-cert.pem

✅ 3.2 JWT 인증 테스트

JWT를 포함하여 API 요청을 테스트합니다.

curl -H "Authorization: Bearer " https://api.example.com/secure-api

💡 유효한 JWT가 포함되지 않으면 401 Unauthorized 응답이 반환됩니다.

---

📌 결론

• Istio는 서비스 간 신뢰성을 보장하기 위해 Identity(SPIFFE ID)를 사용합니다.
• mTLS(Mutual TLS)를 활용하면 서비스 간 통신을 암호화하고, 상호 인증을 수행할 수 있습니다.
• JWT 인증을 활용하면 사용자의 API 요청을 보호할 수 있으며, OAuth 2.0 및 OIDC와 연동할 수 있습니다.
• AuthorizationPolicy를 활용하면 특정 인증된 사용자 또는 서비스만 특정 API에 접근할 수 있도록 제한할 수 있습니다.