하시코프의 Vault Radar 알파 출시 후 4개월만에 베타 버전이 출시되었습니다. 당분간 리미티드 베타로 운영 예정인 볼트 레이더는 새로운 시크릿 스캐닝 제품으로 볼트의 시크릿 생명주기 관리를 확장하여 관리되지 않는 혹은 유출된 시크릿까지 파악하는 기능입니다. 이번 베타버전에는 RBAC 과 ABAC (attribute-based access controls) 지원과 신규 데이터 소스 스캔도 지원하도록 업데이트 되었습니다.
HCP Vault Radar (Beta)
하시코프 볼트 레이더는 관리되지 않는 시크릿이나 유출된 시크릿을 파악하여 데브옵스나 보안팀이 적절한 조치를 취하도록 지원하는 제품입니다. 레이더는 시크릿, 개인 식별 정보 (PII), 데이터 및 비포괄적 언어를 스캔하고 리스크의 심각도에 따라 분류하고 우선순위를 정합니다. CLI를 통한 시크릿 검색 지원되며, HCP 포털과 통합도 이뤄졌습니다. Terraform Cloud, Terraform Enterprise 스캔과 연동으로 베타 Radar 에서는 아래의 데이터소스 스캔이 가능해졌습니다.
- Git 기반 버전 관리 시스템(GitHub, GitLab, BitBucket 등)
- AWS 매개변수 저장소
- 서버 파일 디렉터리 구조
- 합류
- HashiCorp 금고
- 아마존 S3
- Terraform 클라우드(신규)
- Terraform Enterprise(신규)
- 지라
- 도커 이미지
HashiCorp Vault 통합
HCP Vault Radar는 또한 Vault와 통합되어 현재 Vault에서 활발하게 사용되고 있는 유출된 비밀이 있는지 지원되는 데이터 소스를 검색합니다. Vault Radar는 Vault Enterprise 와 Vault Community 의 시크릿을 참조하고 스캔된 시크릿에 위험 심각도를 판단하여 즉각적인 조치가 필요한 것을 선별 후 우선순위를 부여합니다.
Attribute-based (속성 기반) 및 Role-based (역할 기반) 액세스 관리
이번에 출시된 리미티드 베타에서는 RBAC과 ABAC 기능이 추가되었습니다. RBAC과 ABAC의 근본적인 차이는 접근이 승인되는 방법입니다. Vault Radar의 RBAC 은 역할에 따른 접근 승인이 주어지는 반면 ABAC은 사용자와 오브젝트의 성격, 액션 타입 등에 따라 매우 세분화된 접근 관리가 가능합니다.
RBAC 에서 역할은 공통된 성격의 사용자 그룹으로 구분됩니다:
- 부서 또는 사업부
- 보안 레벨
- 지리학
- 책임
Vault Radar의 RBAC과 ABAC을 활용하면 다음의 장점이 있습니다:
- 반복 가능한 권한 할당 프로세스 생성
- 권한 감사 및 필요한 변경 수행
- 역할 추가 또는 변경
- 권한 할당 시 인적 오류 가능성 감소
- 규제 또는 법적 요구 사항 준수
HCP Vault Radar는 현재 비공개 베타 프로그램에 있습니다.
HCP Vault Radar는 Vault의 시크릿 수명주기 관리 기능에 새롭게 추가된 흥미로운 기능입니다. Vault Radar는 다양한 코드 저장소 및 기타 데이터 소스에서 관리되지 않는 시크릿을 자동으로 검색하고 지속적으로 감지합니다. 이 기능은 조직이 데이터 침해가 발생하기 전에 사전 예방적인 조치를 취할 수 있도록 함으로써 HashiCorp Vault의 시크릿 관리 서비스를 더욱 차별화합니다.
원문보기: HCP Vault Radar begins limited beta
참고링크:
