반응형

mtls 5

5편. Transport Security는 어디까지 보장하는가

HTTPS면 안전하다는 착각많은 시스템에서 보안 점검은 다음 한 문장으로 요약된다.HTTPS를 쓰고 있으니 안전하다HTTPS와 TLS는 분명 중요한 보안 장치다. 하지만 이 문장은 절반만 맞다.Transport Security는 전송 중인 데이터를 보호할 뿐, 시스템 전체를 보호하지는 않는다.Transport Security의 역할은 무엇인가Transport Security의 목적은 명확하다.도청 방지(Confidentiality)변조 방지(Integrity)상대방 확인(Authentication)즉, 네트워크 구간에서 데이터가 안전하게 전달되도록 보장한다.이 보장은 전송 구간에만 한정된다.TLS는 무엇을 보호하지 않는가TLS는 강력하지만, 다음 문제들을 해결하지 않는다.탈취된 Token 사용과도한 권한..

Backend Core/Secure 2026.02.02

Service Mesh 환경에서 gRPC는 무엇이 달라지는가

Service Mesh 환경에서 gRPC는 무엇이 달라지는가이 글은 gRPC 공식 문서(xDS)와 서비스 메쉬의 트래픽 관리 개념을 기준으로, Service Mesh를 도입했을 때 gRPC 애플리케이션에서 무엇이 달라지고, 무엇은 여전히 애플리케이션이 책임져야 하는지를 실무 관점에서 정리한 글입니다. 기준 문서: https://grpc.io/docs/guides/concepts/ , https://grpc.io/docs/guides/xds/ 📌 카테고리: Dev > gRPC1. Service Mesh를 쓰면 gRPC는 자동으로 좋아질까?Service Mesh를 도입하면 gRPC 트래픽 앞단에 프록시가 추가된다. 이 프록시는 애플리케이션 대신 네트워크 관련 기능을 처리한다.하지만 Mesh가 모든 문..

[gRPC 공식 문서 정리] mTLS 인증서 운영 & 로테이션 전략: 어떻게 설정하고, 어떻게 굴릴 것인가

[gRPC 공식 문서 정리] mTLS 인증서 운영 & 로테이션 전략: 어떻게 설정하고, 어떻게 굴릴 것인가이 글은 gRPC 공식 문서(Security / Authentication)를 기준으로, gRPC에서 권장하는 mTLS(Mutual TLS)를 실제 운영 환경에서 어떻게 설정하고, 어떻게 로테이션하며, 클라우드 기반 Kubernetes에서는 어떻게 추상화되는지까지 실무 관점에서 정리한 글입니다. 기준 문서: https://grpc.io/docs/guides/auth/ https://grpc.io/docs/guides/security/ 📌 이 글은 gRPC 공식 문서 정리 시리즈의 일부입니다.(카테고리: Dev > gRPC)1. mTLS에서 인증서는 “보안 옵션”이 아니라 “서비스 신원”이다gRP..

[부록] gRPC 인증 조합 설계 가이드: 환경별로 왜 다르게 써야 할까?

[부록] gRPC 인증 조합 설계 가이드: 환경별로 왜 다르게 써야 할까?이 글은 gRPC Authentication 공식 문서 정리에서 소개한 환경별 권장 인증 조합에 대해, “왜 이런 선택을 하는가?”를 실무 설계 관점에서 설명하는 부록 글입니다.📌 관련 글: gRPC Authentication & Security: TLS / mTLS를 왜 기본으로 설계했는가 1. 인증 방식은 “기술 선택”이 아니라 “신뢰 모델”이다gRPC 인증을 설명할 때 흔히 “JWT를 쓰느냐, mTLS를 쓰느냐”로 이야기한다.하지만 실무에서 더 중요한 질문은 이것이다.“이 호출을 누가, 어떤 신뢰 관계에서 보내는가?”환경에 따라 신뢰 모델이 달라지기 때문에, gRPC 인증 조합도 달라질 수밖에 없다.2. 내부 서비스 — m..

[gRPC 공식 문서 정리] Authentication & Security: TLS / mTLS를 왜 기본으로 설계했는가

[gRPC 공식 문서 정리] Authentication & Security: TLS / mTLS를 왜 기본으로 설계했는가이 글은 gRPC 공식 문서(Authentication & Security)를 기준으로, gRPC가 왜 TLS / mTLS를 기본 전제로 설계했는지, 그리고 실무에서 어떤 인증 방식을 선택해야 하는지를 Spring Boot / Kotlin 환경을 염두에 두고 정리한 글입니다. 기준 문서: https://grpc.io/docs/guides/auth/ 📌 이 글은 gRPC 공식 문서 정리 시리즈의 일부입니다.(카테고리: Dev > gRPC)1. gRPC 인증을 REST처럼 생각하면 안 되는 이유REST API에서는 보통 Authorization 헤더 하나로 인증 문제를 해결한다.하지만..

반응형