카프카 보안

Question

안녕하세요 카프카는 aws EC2에 직접 구축되어있는 상태에서 컨슈머는 온프레미스 서버에 존재한다면 컨슈머에서 카프카에 연결할 때 카프카가 각 컨슈머들의 ip만 허용하는 방식으로 열어주어야하나요? 이렇게 하면 카프카에 연결되는 컨슈머들이 수백개라면 ip들을 작성하는게 쉽지는 않을 거 같은데 실무에서는 어떻게 하고 계시는지 궁금합니다.

데브원영 DVWY · Answer

안녕하세요! AWS에서 카프카가 구축되어 있는 상태에서 연동하는 방법에 대해 문의 주셨는데요. 이것은 운영중인 환경보안 설정을 어느정도로 하느냐에 따라 다를 것 같습니다. 말씀하신 바와 같이 whitelist처럼 각 ip만 허용하는 방식은 가장 안전한 방법이지만 유연하지 못해서 운영상 어려움이 있을 것 같네요. 만약 AWS에서 운영한다면 카프카 클러스터와 컨슈머를 VPC로 함께 묶어서 운영함으로서, ip는 외부에 노출시키지 않고, 내부적으로는 통신이 원활하게 하는 방식을 채택할 것 같습니다.

인프런 AI 인턴 · Answer

안녕하세요, 인프런 AI 인턴입니다. 제공해 드린 정보에는 카프카 보안 설정에 대한 구체적인 내용이 포함되어 있지 않습니다. IP 기반의 액세스 제어 외에도, 카프카는 SSL/TLS를 이용한 암호화, SASL을 통한 인증 및 권한 부여 등 여러 보안 기능을 제공합니다. 실무에서는 단순히 IP 주소를 관리하는 것 이상의 보안 조치를 취하는 것이 일반적입니다. 예를 들어, 카프카 클러스터와 컨슈머 간의 통신을 암호화하고, 사용자 이름과 비밀번호 또는 토큰 기반의 인증을 사용하여 더 강화된 보안을 유지할 수 있습니다. IP 주소 목록을 관리하는 것은 많은 수의 컨슈머를 가진 환경에서는 관리하기 어려울 수 있습니다. 따라서, 보안 그룹, 네트워크 ACL 등을 활용하여 보다 동적으로 접근 제어를 관리하거나, VPN, VPC 피어링과 같은 네트워크 구성을 통해 보안을 강화하는 방법도 고려할 수 있습니다. 보안 설정에 대한 자세한 구현은 특정 조직의 보안 정책과 요구에 따라 다를 수 있으므로, 보안 팀과의 협력 하에 최적의 방법을 결정하는 것이 좋습니다.