CAS 소개: 비공개 CA와 인증서로 애플리케이션 보호

* 본 아티클의 원문은 2020년 8월 4일 Google Cloud 블로그(영문)에 게재되었습니다. 

디지털 인증서는 네트워크에 연결된 수많은 기기와 서비스에서 ID와 인증을 지원합니다. 최근 DevOps 및 기기 관리, 특히 IoT 기기 관리에 공개 키 인프라(PKI)를 사용하는 것에 대한 관심이 증가하고 있습니다. 그러나 PKI와 관련된 가장 근본적인 문제가 여전히 남아 있는데 인증 기관(CA)을 설정하기 어렵고 규모에 맞춰 꾸준히 안전하게 운영하는 것은 더 어렵다는 점입니다. 이 문제를 해결하기 위해 확장성과 가용성이 우수한 Certificate Authority Service(CAS)(현재 베타 버전)를 Google Cloud에서 제공함으로써 개발자와 애플리케이션의 최신 요구사항을 충족하는 한편 비공개 CA 관리와 배포의 자동화, 간소화를 지원하고자 합니다. 

CAS가 어떤 도움을 주는지 알아보기 위해 인증서 사용에 대한 문제점을 좀 더 자세히 알아보겠습니다. 앞서 언급했듯이 비공개 인증서는 사용자, 머신, 또는 서비스를 네트워크에서 인증하는 가장 일반적인 방법 중 하나입니다. 디지털 인증서는 사용자가 기업 소유 웹사이트에 HTTPS로 연결하는 경우, 노트북에서 Wi-Fi 액세스 포인트에 연결을 시도하는 경우, 사용자가 이메일 계정에 로그인을 시도하는 경우 등 여러 상호작용의 보안을 강화하는 데 도움이 됩니다. 이러한 인증서는 보통 온프레미스로 호스팅하는 비공개 인증 기관(CA)에서 발행되고 만료일이 먼 미래인 경우(예: 장기)가 많으며 기기/애플리케이션별 인증서 등록 프로세스는 드물게 일어납니다.

DevOps 환경에서 컨테이너, 마이크로서비스, VM, 서비스 계정을 보호하기 위해 비공개 인증서를 사용하는 새로운 시나리오가 있습니다. 하지만 이러한 새로운 비공개 인증서 사용 사례의 요구사항은 크게 다릅니다. 따라서 온프레미스 비공개 CA를 사용하는 조직은 새로운 시나리오를 지원하기에는 역부족인 다음과 같은 기존 비공개 CA의 한계를 곧 발견하게 됩니다.

• 새로운 사용 사례에는 자주 갱신되는 단기 인증서가 필요하므로 가용성과 확장성이 우수한 CA가 필요합니다. 기존 비공개 CA 솔루션으로는 부족합니다. 예를 들어 한 회사에서 IoT 기기를 처리하다 보면 1년간 1만 개가 아니라 1천만 개의 인증서를 발급해야 할 수 있습니다.

• 인증서 등록 프로세스는 최신 애플리케이션과 CI/CD 도구 모음에 필요한 최신 API를 지원하지 않으므로 TTM(time to market)이 연장되고 채택과 수익이 지연됩니다. 

• 클라우드 제공업체의 기본 제공 CA와 호환되지 않아 고객이 인증서를 한 곳에서 관리하고 모니터링할 수 없게 됩니다.

또한 온프레미스 인프라 구축을 생략하고 처음부터 클라우드 기반을 도입한 조직, 즉 비공개 CA를 설정한 적 없는 조직이 비공개 인증서의 필요성을 느끼기 시작했습니다. 기존 온프레미스 비공개 CA는 클라우드 플랫폼과 호환되지 않으며 클라우드 기반 비즈니스 및 하이퍼스케일러와 관련된 확장을 지원하지 못합니다. 이러한 조직에서 선택할 수 있는 유일한 옵션은 고유한 비공개 CA를 빌드하는 것입니다. 

또한 비공개 CA를 설정하고 실행하는 데 높은 비용(인프라, 라이선스, 운영 비용)이 발생하고, 비공개 CA를 성공적으로 관리하는 데 필요한 고도의 역량이 핵심 비즈니스와는 관련이 없으며 TTM(time to market)만 연장한다는 점을 인식하고 있습니다. 보통은 이 작업을 신뢰할 수 있는 제공업체(클라우드 제공업체가 이상적)에 오프로드하는 것이 더 간편하고 비용 효율적입니다.

Certificate Authority Service는 기존 요구사항과 새로운 요구사항을 모두 충족할 수 있도록 설계되었습니다. 기존 비공개 CA를 배포하는 데 수개월이 소요되는 반면 CAS를 사용하면 비공개 CA를 몇 분 안에 설정할 수 있습니다.

CAS를 사용하면 PKI 전문가가 아니더라도 간단하고 내용이 설명된 RESTful API를 활용하여 인증 획득과 관리를 완전히 자동화하는 것도 가능합니다. 이 API는 기존 도구 및 CI/CD 채널과 통합하는 데 사용할 수 있습니다. 또한 API, gcloud 명령줄 또는 Cloud Console 중 가장 편리한 방법으로 비공개 CA를 관리, 자동화, 통합할 수 있습니다.

CAS는 기업용 서비스로 이를 통해 다음과 같은 작업을 수행할 수 있습니다.

• FIPS 140-2 Level 3 인증을 받았으며, 미국, 유럽, 아시아 태평양의 여러 리전에서 지원되는 Cloud HSM에 비공개 CA 키를 저장할 수 있습니다. 루트 CA의 리전과 독립적인 종속 CA의 리전을 선택할 수 있습니다.

• Cloud 감사 로그로 로그를 얻고 누가 언제 어디에서 무엇을 했는지 파악할 수 있습니다.

• 세밀한 액세스 제어와 가상 보안 경계를 Cloud IAM과 VPC 서비스 제어를 사용해 정의할 수 있습니다.

• DevOps 모드에서 인스턴스별 최대 25의 초당 쿼리 수(QPS)를 지원하므로 수백만 개의 인증서를 발급할 수 있어 안심하고 확장할 수 있습니다. 엔터프라이즈 수준의 SLA(일반 안정화 버전)가 제공됩니다.

• CA 비공개 키가 FIPS 140-2 Level 3 인증 HSM으로 보호되는 것을 확신할 수 있습니다.

• 고유한 루트를 가져올 수 있습니다. 이렇게 하면 CA를 온프레미스 또는 Google Cloud 외부에서 실행 중인 기존 루트에 연결할 수 있습니다.

인증서 관리 생태계와 통합

엔터프라이즈 수준에서 신규 서비스를 배포하는 데 가장 중요한 요구사항은 호환성이며, 사용 편의성이 근소한 차이로 그 뒤를 따릅니다. 사용하기 어려운 보안 조치는 결국 사용하지 않게 됩니다. 인증서 수명 주기 관리(CLM) 분야의 최고 파트너들과 협력하여 CAS가 파트너의 솔루션과 통합되도록 했습니다.

• Venafi는 머신 ID 보호 분야 최고의 공급업체로 전 세계에 400여 고객이 있으며 사이버 보안 연구 및 혁신에서 20년 이상의 경력을 자랑합니다. Venafi의 역할은 Gartner의 IAM 분야 2020 Hype Cycle 보고서 및 Forester의 Zero Trust Solution Providers에 대한 2020 Now Tech 보고서 같은 산업 연구 자료에서 인용되었습니다. CAS 통합에 대한 자세한 내용은 Venafi의 블로그를 확인하세요.

• AppViewX CERT+는 멀티 클라우드 환경 전반에서 키와 인증서 수명 주기의 자동화를 지원하는 인증서 관리 제품군입니다. 또한 키를 보호하고 규정을 준수하고 PKI의 역할 기반 셀프서비스를 지원하며 확장성과 암호화 민첩성이 특히 뛰어납니다. CAS 통합에 대한 자세한 내용은 AppViewX CERT+의 블로그를 확인하세요.

CAS 시작하기

CAS를 사용하면 하드웨어 프로비저닝, 인프라 보안, 소프트웨어 배포, 고가용성 설정, 재해 복구, 백업 등 비공개 CA 운영과 관련하여 시간이 많이 소요되는 태스크를 클라우드로 오프로드할 수 있습니다. 이렇게 하면 제품에 대한 총 소유 비용(TCO)이 낮아지고 TTM(time to market)이 단축됩니다. CAS는 사용한 만큼만 요금을 지불하면 되고 자본 지출(CapEx)이 없어 라이선스도 간소화할 수 있습니다. 

베타 버전 제공 기간에는 CAS를 무료로 사용할 수 있습니다. 등록하려면 가입 양식으로 이동하세요. 제품의 정식 버전이 출시되면 가격 정책이 적용됩니다. 자세한 내용은 제품 동영상과 CAS 홈페이지에서 확인하세요. 궁금한 점이 있으면 cas-support@google.com으로 이메일을 보내주시기 바랍니다.