[Istio 가이드 ep.22] 3부 보안 및 인증 #6 | Ingress Gateway에서 TLS 적용 및 외부 인증 연동

🔹 개요

이번 글에서는 Istio의 Ingress Gateway에서 TLS(SSL) 인증서를 적용하는 방법과 외부 인증 시스템과 연동하는 방법을 살펴보겠습니다.
TLS는 웹 트래픽을 암호화하여 데이터의 기밀성을 보장하는 보안 프로토콜이며,
Istio의 Ingress Gateway를 통해 TLS를 적용하면 보안이 강화된 HTTPS 트래픽을 처리할 수 있습니다.

또한, OAuth 2.0, OIDC, LDAP 등 외부 인증 시스템과 Istio를 연동하는 방법도 다루겠습니다.

---

🔹 1. Ingress Gateway에서 TLS 적용

✅ 1.1 Istio Ingress Gateway에서 TLS를 적용하는 이유

• 클라이언트와 서비스 간의 트래픽을 암호화하여 보안 강화
• Istio 내부 네트워크 트래픽도 보호 가능(mTLS 연동 가능)
• 공인 인증서를 적용하여 외부에서 신뢰할 수 있는 HTTPS 서비스 제공

---

✅ 1.2 TLS 인증서 생성 및 Kubernetes Secret 등록

Istio의 Ingress Gateway에서 TLS를 활성화하려면 먼저 TLS 인증서를 생성하고 Kubernetes Secret으로 저장해야 합니다.

① OpenSSL을 사용하여 인증서 생성

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=example.com"

② TLS 인증서를 Kubernetes Secret으로 등록

kubectl create -n istio-system secret tls my-tls-secret --key=tls.key --cert=tls.crt

💡 my-tls-secret이라는 Secret을 생성하며, Ingress Gateway에서 이를 사용할 수 있습니다.

---

✅ 1.3 Istio Ingress Gateway에서 TLS 적용

아래 예제는 Ingress Gateway에서 TLS를 활성화하는 설정입니다.

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: my-secure-gateway
spec:
  selector:
    istio: ingressgateway
  servers:
    - port:
        number: 443
        name: https
        protocol: HTTPS
      tls:
        mode: SIMPLE
        credentialName: my-tls-secret  # Kubernetes Secret에서 TLS 인증서 로드
      hosts:
        - "example.com"

설명:

• tls.mode: SIMPLE → HTTPS 활성화
• credentialName: my-tls-secret → Kubernetes Secret에서 TLS 인증서 로드
• hosts: "example.com" → 해당 도메인에서만 HTTPS 적용

💡 Ingress Gateway에서 이 설정을 적용하면, example.com 도메인에 HTTPS가 활성화됩니다.

---

🔹 2. Ingress Gateway와 외부 인증 시스템 연동

✅ 2.1 외부 OAuth 2.0 / OIDC 인증 서버 연동

Istio의 Ingress Gateway는 OAuth 2.0 및 OIDC 인증 시스템과 연동하여 사용자 인증을 수행할 수 있습니다.
이를 위해 JWT 기반의 인증을 적용하는 방식을 사용합니다.

① JWT 기반 RequestAuthentication 설정

apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:
  name: jwt-auth
  namespace: istio-system
spec:
  selector:
    matchLabels:
      istio: ingressgateway
  jwtRules:
    - issuer: "https://auth.example.com"
      jwksUri: "https://auth.example.com/.well-known/jwks.json"

설명:

• issuer: "https://auth.example.com" → OAuth 2.0 인증 서버의 발급자 설정
• jwksUri: "https://auth.example.com/.well-known/jwks.json" → JWT 검증을 위한 공개 키 URI

💡 이 설정을 적용하면, Istio Ingress Gateway에서 들어오는 요청이 JWT 인증을 거치도록 설정됩니다.

---

✅ 2.2 외부 인증 시스템과 AuthorizationPolicy 적용

OAuth 2.0 또는 OIDC 인증이 완료된 사용자만 특정 API에 접근할 수 있도록 AuthorizationPolicy를 적용할 수 있습니다.

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: oauth-policy
  namespace: istio-system
spec:
  action: ALLOW
  rules:
    - from:
        - source:
            requestPrincipals: ["https://auth.example.com/*"]  # JWT 기반 인증된 사용자만 허용
      to:
        - operation:
            paths: ["/secure-api"]  # 보호할 API 경로

설명:

• requestPrincipals: ["https://auth.example.com/*"] → OAuth 2.0 인증이 완료된 사용자만 허용
• operation.paths: ["/secure-api"] → 보호할 API 경로 지정

💡 이 설정을 적용하면, 인증된 사용자만 /secure-api 엔드포인트에 접근할 수 있습니다.

---

🔹 3. Ingress Gateway에서 TLS 및 인증 적용 후 확인 방법

✅ 3.1 HTTPS 활성화 확인

Ingress Gateway에서 HTTPS가 정상적으로 적용되었는지 확인하려면 다음 명령어를 실행합니다.

kubectl get gateway -n istio-system

출력 예제:

NAME                AGE
my-secure-gateway   5m

---

✅ 3.2 인증된 사용자만 API 접근 가능한지 테스트

OAuth 2.0 인증 후, Access Token을 포함하여 API 요청을 실행합니다.

curl -H "Authorization: Bearer " https://example.com/secure-api

💡 유효한 Access Token이 없으면 401 Unauthorized 응답이 반환됩니다.

---

📌 결론

• Istio Ingress Gateway에서 TLS를 적용하면, 외부 트래픽을 HTTPS로 보호할 수 있습니다.
• Ingress Gateway는 Kubernetes Secret을 활용하여 TLS 인증서를 관리할 수 있습니다.
• OAuth 2.0 및 OIDC 연동을 통해 외부 인증 시스템과 통합할 수 있습니다.
• AuthorizationPolicy를 활용하면 인증된 사용자만 특정 API에 접근할 수 있도록 설정할 수 있습니다.