현재 Zero Trust 보안 모델을 채택하고 있으며, Kubernetes 환경에서 서비스 간 통신을 철저히 제어하고자 합니다. 이를 위해 Istio를 도입했으며, AuthorizationPolicy 리소스를 통해 서비스 간 통신을 제어하려고 하는데, 실제로 적용하다 보니 다음과 같은 고민이 생깁니다:
실제로 Istio 기반 Zero Trust 환경을 운영해본 분들이 있다면, AuthorizationPolicy의 최적 활용법과 디버깅 팁을 공유해주시면 감사하겠습니다.
Istio의 AuthorizationPolicy는 제로 트러스트 보안을 구현하는 데 필요한 도구이며, 다음은 실무 환경에서 효과적으로 사용하기 위해 참조하시면 좋을 듯합니다.
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: deny-all
namespace: my-namespace
spec:
{}
위 정책은 해당 네임스페이스 내의 모든 트래픽을 차단합니다.
frontend라는 서비스가 backend에 접근해야 한다면 다음과 같은 정책을 작성합니다:아래는 예제 Yaml 입니다.
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: allow-frontend-to-backend
namespace: backend
spec:
selector:
matchLabels:
app: backend
action: ALLOW
rules:
- from:
- source:
principals: ["cluster.local/ns/frontend/sa/frontend-sa"]
이 정책은 frontend 네임스페이스의 frontend-sa라는 서비스 계정만 backend 서비스에 접근할 수 있도록 하는 것입니다.
istio-proxy 컨테이너의 로그를 확인하고, 정책 위반 시 명확한 거부 메시지가 기록됩니다.istioctl x authz 명령을 사용해 현재 적용된 정책을 시각적으로 확인하고, 효과를 검증할 수 있습니다.요약: 제로 트러스트를 위해선 “Deny by default → Allow by policy” 패턴을 강제하는 것이 핵심입니다. Istio의 AuthorizationPolicy는 이 패턴을 완성도 높게 지원하며, ServiceAccount 기반으로 접근을 제한하면 보안성이 대폭 향상됩니다.