SPIFFE란?
Secure Production Identity Framework For Everyone 의 약자.
클라우드 네이티브 환경에서 워크로드(컨테이너, VM 등)에 표준화된 ID(신원) 를 부여하고 이를 통해 인증·인가를 수행할 수 있도록 해주는 오픈소스 표준 프레임워크이다.
핵심 개념
SPIFFE ID
- 워크로드마다 부여되는 표준화된 URI 형태의 ID
X.509 / JWT SVID (SPIFFE Verifiable Identity Document)
- SPIFFE ID를 담고 있는 인증서/토큰
- 워크로드가 서로를 신뢰할 수 있게 해줌 (mTLS 인증 등에 사용)
SPIRE
- SPIFFE Runtimie Environment
- SPIFFE 표준을 실제로 구현한 레퍼런스 소프트웨어
- 워크로드에 SPIFFE ID를 발급하고, 인증서를 자동으로 관리해주는 에이전트/서버 구성
Mutual Authentication?
네트워크 통신에서 클라이언트와 서버가 서로의 신원을 확인하는 방식을 말한다.
일반 인증 vs 상호 인증
- 일반인증 (단방향 TLS)
- 보통 HTTPS 처럼 서버만 인증서를 가지고 있음
- 클라이언트는 서버의 인증서를 검증해서 "내가 접속한 곳이 진짜 서버인가?"만 확인
- 예 : 브라우저 <-> 웹서버 HTTPS 접속
- 상호 인증 (Mutual TLS, mTLS)
- 서버와 클라이언트 양쪽 모두 인증서를 가지고 서로 검증
- 클라이언트도 자신이 믿을 수 있는 주체라는 걸 증명
동작 과정
- 클라이언트가 서버에 연결 시도
- 서버가 자기 인증서를 클라이언트에 제시
- 클라이언트는 서버 인증서를 검증
- 서버도 클라이언트에게 클라이언트 인증서를 요구
- 클라이언트가 인증서를 제시 -> 서버가 검증
- 서로 신원을 확인한 후 TLS 세션 수립
SPIFFE/SPIRE 와 Mutual Authentication 이 무슨 관계인가?
- SPIFFE는 워크로드마다 SPIFFE ID와 인증서를 발급해주고
- SPIRE는 이를 자동 관리해서 mTLS 상호인증을 쉽게 구현할 수 있게 해준다.
즉, Mutual Authentication = mTLS,
SPIFFE/SPIRE = 이걸 자동화하고 표준화해주는 시스템이라고 보면 된다.
Mutual Authentication in Cilium
'DevOps > cilium' 카테고리의 다른 글
| [Cilium Study] Cilium Performance (0) | 2025.08.31 |
|---|---|
| [Cilium Study] kube-burner (0) | 2025.08.30 |
| [Cilium Study] Cilium Service Mesh 3 (0) | 2025.08.20 |
| [Cilium Study] Cilium Service Mesh 2 (1) | 2025.08.20 |
| [Cilium Study] Cilium Service mesh 1 (0) | 2025.08.17 |