[Istio 가이드 ep.24] 3부 보안 및 인증 #8 | Istio에서 Zero Trust 보안 모델 구축하기

🔹 개요

이번 글에서는 Istio를 활용하여 Zero Trust 보안 모델을 구축하는 방법을 살펴보겠습니다.
Zero Trust 보안 모델은 네트워크 내부의 모든 트래픽도 신뢰하지 않고, 지속적인 인증과 보안 검사를 수행하는 방식입니다.
Istio는 mTLS, RBAC, AuthorizationPolicy, JWT 인증 등을 활용하여 Zero Trust 환경을 구현할 수 있습니다.

이 글에서는 Zero Trust 보안 개념, Istio에서 적용하는 방법, 실전 예제를 설명하겠습니다.

---

🔹 1. Zero Trust 보안 모델이란?

✅ 1.1 Zero Trust 개념

Zero Trust(제로 트러스트) 보안 모델은 기본적으로 모든 트래픽을 신뢰하지 않고, 지속적인 인증을 요구하는 보안 접근 방식입니다.

Zero Trust의 주요 원칙

1️⃣ Implicit Trust 없음 → 내부 네트워크에서도 모든 요청은 신뢰되지 않음
2️⃣ 최소 권한 원칙(Least Privilege Access) → 최소한의 권한만 부여
3️⃣ 서비스 간 보안 인증 필수 → mTLS, JWT 등 인증 기반 보안 적용
4️⃣ 네트워크 및 애플리케이션 계층에서 보안 검증
5️⃣ 보안 위협 감지 및 지속적인 모니터링

💡 기존 보안 모델이 "네트워크 내부는 안전하다"는 가정에서 출발했다면, Zero Trust는 내부 네트워크도 공격 가능하다고 전제하고 보안을 강화합니다.

---

🔹 2. Istio에서 Zero Trust 보안 적용

✅ 2.1 Istio에서 Zero Trust를 구현하는 핵심 요소

Istio를 활용하여 Zero Trust를 적용하는 핵심 요소는 다음과 같습니다.

 

기능	설명
mTLS(Mutual TLS)	서비스 간 통신을 암호화하여 보안 강화
AuthorizationPolicy	RBAC 기반 접근 제어
JWT 인증	API 요청에 대한 사용자 인증
네트워크 정책	L3, L4, L7 계층의 트래픽 보안 강화
감사 로그 및 모니터링	보안 이벤트 감지 및 분석

---

🔹 3. Istio의 mTLS를 활용한 Zero Trust 적용

✅ 3.1 클러스터 전체에 mTLS 강제 적용

Zero Trust 환경에서는 모든 서비스 간 통신이 암호화되어야 하므로, PeerAuthentication을 활용하여 mTLS를 강제 적용합니다.

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: enable-mtls
  namespace: istio-system
spec:
  mtls:
    mode: STRICT  # 모든 서비스 간 mTLS 강제 적용

설명:

• mtls.mode: STRICT → 모든 서비스 간 트래픽을 암호화 (mTLS 강제 적용)

💡 mTLS를 적용하면, 서비스 간 통신이 TLS로 보호되며, 무단 트래픽을 차단할 수 있습니다.

---

🔹 4. RBAC 기반 서비스 접근 제어 (AuthorizationPolicy 활용)

✅ 4.1 특정 서비스 간 트래픽 차단

아래 예제는 frontend 서비스만 backend에 접근할 수 있도록 허용하는 정책입니다.

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-frontend-only
  namespace: default
spec:
  action: ALLOW
  rules:
    - from:
        - source:
            principals: ["cluster.local/ns/default/sa/frontend"]  # frontend 서비스만 허용
      to:
        - operation:
            methods: ["GET"]  # GET 요청만 허용
            paths: ["/api/data"]  # 특정 경로만 허용

설명:

• source.principals → frontend 서비스에서 오는 요청만 허용
• operation.methods: ["GET"] → GET 요청만 허용
• operation.paths: ["/api/data"] → 특정 API 엔드포인트만 허용

💡 Zero Trust 환경에서는 기본적으로 모든 트래픽을 차단하고, 필요한 서비스만 명시적으로 허용해야 합니다.

---

🔹 5. JWT(JSON Web Token)를 활용한 API 인증 강화

✅ 5.1 JWT 인증 적용 (RequestAuthentication 사용)

Zero Trust 환경에서는 API 요청이 인증된 사용자로부터 왔는지 검증해야 합니다.
아래 예제는 JWT를 사용하여 인증된 사용자만 API에 접근할 수 있도록 설정하는 방법입니다.

apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:
  name: jwt-auth
  namespace: default
spec:
  selector:
    matchLabels:
      app: my-service  # 특정 서비스에 JWT 인증 적용
  jwtRules:
    - issuer: "https://auth.example.com"  # JWT 발급자
      jwksUri: "https://auth.example.com/.well-known/jwks.json"  # JWT 검증 키

설명:

• issuer: "https://auth.example.com" → JWT 발급자(OAuth 2.0 인증 서버)
• jwksUri → JWT 서명을 검증할 공개 키 URL

💡 JWT 인증을 적용하면, API 요청 시 유효한 토큰이 포함되지 않으면 접근이 차단됩니다.

---

🔹 6. Zero Trust 환경에서 보안 모니터링

✅ 6.1 Istio의 보안 모니터링 기능 활용

Zero Trust 환경에서는 보안 이벤트를 실시간으로 감시하고, 이상 징후를 탐지하는 것이 중요합니다.

• Kiali → Istio의 네트워크 트래픽을 시각화하여 보안 모니터링 가능
• Prometheus & Grafana → 서비스 간 TLS 트래픽 및 인증 실패율 분석
• Jaeger & Zipkin → 서비스 간 트랜잭션 추적 및 장애 원인 분석

보안 로그 확인 방법

kubectl logs -l app=istio-ingressgateway -n istio-system

💡 로그를 실시간으로 분석하여, 비정상적인 요청을 탐지할 수 있습니다.

---

📌 결론

• Zero Trust 보안 모델은 내부 네트워크도 신뢰하지 않고, 지속적인 인증을 수행하는 방식입니다.
• Istio의 mTLS를 활성화하면 서비스 간 트래픽을 암호화하고 보안을 강화할 수 있습니다.
• AuthorizationPolicy를 활용하면 RBAC 기반으로 서비스 간 접근을 제어할 수 있습니다.
• JWT 기반 인증을 적용하면 API 요청이 인증된 사용자로부터 왔는지 검증할 수 있습니다.
• 보안 모니터링 시스템(Kiali, Prometheus, Grafana, Jaeger 등)을 활용하여 네트워크 보안을 강화해야 합니다.