[Ep.39] [Argo CD 운영 최적화 #9] Argo CD 보안 강화 및 GitOps 운영 베스트 프랙티스

🔹 Argo CD 보안 강화가 필요한 이유

Argo CD는 GitOps 기반으로 Kubernetes 애플리케이션을 자동 배포하지만,
보안 설정이 미흡할 경우 Git 저장소 유출, 클러스터 접근 권한 남용, 시크릿 노출 등의 보안 위험이 발생할 수 있습니다.

 

✅ Argo CD 보안 강화를 고려해야 하는 이유

 

✔ GitOps 환경에서 시크릿과 인증 정보를 안전하게 보호해야 함
✔ RBAC(Role-Based Access Control)을 통해 사용자의 접근을 제어해야 함
✔ TLS 암호화를 적용하여 안전한 API 통신을 보장해야 함
✔ 보안 모니터링을 통해 GitOps 환경에서 발생하는 위협을 감지해야 함

---

🔹 1. Argo CD RBAC(Role-Based Access Control) 적용

✅ 1.1 Argo CD 기본 RBAC 정책 설정

Argo CD는 기본적으로 RBAC 정책을 통해 사용자 및 서비스의 접근 권한을 제어할 수 있습니다.

 

📌 기본 RBAC 설정 예제 (argocd-rbac-cm.yaml)

apiVersion: v1
kind: ConfigMap
metadata:
  name: argocd-rbac-cm
  namespace: argocd
data:
  policy.default: role:readonly  # 기본적으로 모든 사용자는 Read-Only 권한만 가짐
  policy.csv: |
    p, admin, applications, *, */*, allow  # 관리자(Admin) 모든 애플리케이션 제어 가능
    p, dev, applications, get, */*, allow  # 개발자(Dev)는 애플리케이션 조회만 가능
    p, dev, applications, sync, dev/*, allow  # 개발자는 dev 네임스페이스 내 동기화 가능
    p, qa, applications, sync, qa/*, allow  # QA 사용자는 qa 네임스페이스 내 동기화 가능

 

✅ 설명:
✔ policy.default: role:readonly → 기본적으로 모든 사용자는 읽기 전용(Read-Only) 권한
✔ p, admin, applications, *, */*, allow → Admin 역할 사용자는 모든 애플리케이션을 제어 가능
✔ p, dev, applications, sync, dev/*, allow → Dev 역할 사용자는 dev 네임스페이스에서만 동기화 가능

 

✅ RBAC 정책 적용

kubectl apply -f argocd-rbac-cm.yaml -n argocd
kubectl rollout restart deployment argocd-server -n argocd

---

✅ 1.2 Argo CD SSO(Single Sign-On) 적용

Argo CD는 SSO(Single Sign-On) 를 지원하여 보안성을 높일 수 있습니다.
DEX(Identity Provider)를 활용하여 OIDC(OpenID Connect), GitHub, LDAP 인증을 적용할 수 있습니다.

 

📌 Argo CD SSO 설정 예제 (OIDC 기반)

apiVersion: v1
kind: ConfigMap
metadata:
  name: argocd-cm
  namespace: argocd
data:
  url: https://argocd.example.com
  oidc.config: |
    name: Keycloak
    issuer: https://keycloak.example.com/auth/realms/master
    clientID: argocd
    clientSecret: $oidc.keycloak.clientSecret
    requestedScopes:
      - openid
      - profile
      - email

 

✅ 설명:
✔ issuer: https://keycloak.example.com/auth/realms/master → Keycloak OIDC 제공자 사용
✔ clientID: argocd → Argo CD의 OIDC 클라이언트 ID 설정
✔ clientSecret: $oidc.keycloak.clientSecret → 클라이언트 시크릿을 환경 변수로 관리

 

✅ SSO 적용 후 로그인 테스트

argocd login argocd.example.com --sso

 

✅ SSO 로그인을 통해 인증 성공 후 Argo CD 접근 가능

---

🔹 2. Argo CD 시크릿 관리 및 암호화

GitOps 환경에서는 시크릿(Secret)을 안전하게 저장하고 배포하는 것이 중요합니다.
Argo CD는 Sealed Secrets, External Secrets을 활용하여 시크릿을 암호화하고 관리할 수 있습니다.

✅ 2.1 Sealed Secrets을 활용한 시크릿 암호화

📌 Sealed Secrets을 활용한 시크릿 생성 및 암호화

kubectl create secret generic db-secret --from-literal=DB_PASSWORD='supersecret' -n example
kubectl label secret db-secret sealedsecrets.bitnami.com/sealed="true"
kubeseal --format yaml < db-secret.yaml > sealed-secret.yaml

 

📌 Git에 저장할 암호화된 Sealed Secret 예제

apiVersion: bitnami.com/v1alpha1
kind: SealedSecret
metadata:
  name: db-secret
  namespace: example
spec:
  encryptedData:
    DB_PASSWORD: AgAGXt...  # 암호화된 데이터

 

✅ 설명:
✔ kubeseal을 사용하여 Git 저장소에 안전하게 저장할 수 있도록 시크릿을 암호화
✔ 암호화된 데이터는 복호화 키 없이는 접근 불가

---

✅ 2.2 External Secrets을 활용한 시크릿 외부 저장

AWS Secrets Manager, HashiCorp Vault와 같은 외부 시크릿 관리 시스템을 활용할 수도 있습니다.

 

📌 External Secrets 설정 예제 (AWS Secrets Manager 연동)

apiVersion: external-secrets.io/v1alpha1
kind: ExternalSecret
metadata:
  name: db-secret
  namespace: example
spec:
  secretStoreRef:
    name: aws-secrets
    kind: ClusterSecretStore
  target:
    name: db-secret
    creationPolicy: Owner
  data:
    - secretKey: DB_PASSWORD
      remoteRef:
        key: production/db-password  # AWS Secrets Manager에서 불러올 시크릿 키

 

✅ 설명:
✔ secretStoreRef.name: aws-secrets → AWS Secrets Manager를 사용하여 시크릿 관리
✔ remoteRef.key: production/db-password → AWS Secrets에서 특정 키를 불러와 Kubernetes에 적용

---

🔹 3. Argo CD 보안 모니터링 및 감사 로그 활성화

보안 이벤트를 실시간으로 모니터링하고 감사(Audit) 로그를 활성화하여
누가, 언제, 어떤 변경을 수행했는지 추적 가능해야 합니다.

✅ 3.1 Argo CD 감사(Audit) 로그 활성화

📌 Argo CD 로그 설정 (argocd-cm.yaml)

apiVersion: v1
kind: ConfigMap
metadata:
  name: argocd-cm
  namespace: argocd
data:
  application.instanceLabelKey: argocd.argoproj.io/instance
  server.enable.audit: "true"  # 감사 로그 활성화

 

✅ 설명:
✔ server.enable.audit: "true" → Argo CD 감사 로그 활성화

 

✅ 로그 확인 방법

kubectl logs -l app.kubernetes.io/name=argocd-server -n argocd

---

🔹 결론: 이번 글에서 배운 핵심 내용 정리

🟢 RBAC 및 SSO(Single Sign-On) 적용을 통해 보안 강화를 수행 가능
🟢 Sealed Secrets, External Secrets을 활용하여 시크릿을 안전하게 관리 가능
🟢 감사(Audit) 로그 및 보안 모니터링을 활성화하여 GitOps 환경의 보안성을 강화 가능