개방형 정책 에이전트 기반 다자간 마이크로서비스 접근제어 정책

Open Policy Agent based Multilateral Microservice Access Control Policy

다양한 개발 환경의 이질성을 수용하고 유연한 유지보수가 가능한 마이크로서비스 아키텍처는 급변하는 요구사항에 맞춰 서비스를 관리할 수 있는 비즈니스 민첩성을 확보할 수 있다. 서비스 내부의 마이크로서비스 간 통신이 잦은 MSA의 특성상 보안 측면에서 기존에 사용되어온 경계 보안은 충분하지 않으며 Zerotrust 시스템이 필요하다. 더불어 마이크로서비스의 규모가 커질수록 각 서비스의 API 포맷 형식에 따른 접근제어 정책 정의가 요구되며 서비스를 재배포하는 과정에서 불필요한 거버넌스 오버헤드가 발생하는 등 정책 관리에 어려움이 가중된다. 본 논문에서는 Zerotrust 보안을 적용한 환경에서 일괄적이고 유연한 정책 관리를 위해 OPA(Open Policy Agent)라는 범용 정책 엔진으로 접근제어의 결정과 시행을 분리하여 중앙 집중식으로 정책을 관리하는 마이크로서비스 아키텍처를 제안한다.

A microservice architecture that accommodates the heterogeneity of various development environments and enables flexible maintenance can secure business agility to manage services in line with rapidly changing requirements. Due to the nature of MSA, where communication between microservices within a service is frequent, the boundary security that has been used in the past is not sufficient in terms of security, and a Zerotrust system is required. In addition, as the size of microservices increases, definition of access control policies according to the API format of each service is required, and difficulties in policy management increase, such as unnecessary governance overhead in the process of redistributing services. In this paper, we propose a microservice architecture that centrally manages policies by separating access control decision and enforcement with a general-purpose policy engine called OPA (Open Policy Agent) for collective and flexible policy management in Zerotrust security-applied environments.