서비스 간 통신을 어떻게 보안하나요(mTLS, zero-trust)?

Question

Accepted Answer

마이크로서비스 네트워크 내부에서는 단지 "내부"라는 이유로 네트워크를 신뢰할 수 없습니다. **zero-trust(제로 트러스트)**는 네트워크가 적대적이라고 가정하므로, 모든 호출이 인증되고 인가되며 트래픽은 **mTLS**로 암호화됩니다.

## Mutual TLS(mTLS)

일반 TLS와 달리 **양쪽** 모두 인증서를 제시합니다. 각 서비스가 자신의 신원을 증명하고, 트래픽은 전송 중 암호화됩니다.

```text
Service A ──cert──▶ Service B
Service A ◀─cert── Service B   (양쪽이 서로의 신원을 검증)
→ 호출자가 인증되고 데이터가 암호화됨
```

service mesh는 앱 코드 변경 없이 mTLS를 자동으로 제공할 수 있습니다.

## 서비스 간 인가

신원(누가 호출하는가)과 정책(무엇을 할 수 있는가)을 결합합니다. 토큰(JWT)이나 SPIFFE 신원이 호출자의 신원을 전달합니다.

```yaml
# orders 서비스만 payments를 호출하도록 허용
policy:
  from: { service: orders }
  to:   { service: payments, path: /charge }
  action: ALLOW            # 그 외 모든 것은 기본적으로 거부
```

## 심층 방어(defense in depth)

```text
✓ 모든 요청 인증(암묵적 네트워크 신뢰 없음)
✓ 최소 권한 — 서비스는 필요한 것만 호출 가능
✓ 짧은 수명, 회전되는 자격 증명/인증서
✓ 엣지에서 그리고 서비스 간에 토큰 검증
✓ 전송 중(mTLS) 및 저장 시 암호화
```

## 함정

내부 네트워크를 신뢰하는 것("방화벽 뒤에 있으니까")은 단 하나의 침해된 서비스가 전체 손상으로 이어지는 방식입니다.

## 왜 중요한가

평평한(flat) 내부 네트워크에서는 침해된 서비스 하나가 모든 것에 도달할 수 있습니다. zero-trust는 그 영향 범위를 가둡니다.

mTLS와 호출별 인가는, 내부에 침투한 공격자조차도 서비스를 사칭하거나 측면 이동(lateral movement)을 할 수 없게 한다는 의미이며, 이것이 현대 마이크로서비스 플랫폼의 핵심 보안 약속입니다.