
데브옵스
HashiCorp Vault 암호화 아키텍처 완전 분석 \:\ 엔터프라이즈 시크릿 관리 - Seal/Barrier/Transit/Raft
두줄요약
Vault의 암호화 아키텍처를 Seal/Unseal, Barrier, Transit, Raft 관점에서 정리했습니다.민감정보를 중앙에서 관리하고 정책과 감사로 통제하는 운영 방식을 설명했습니다.
핵심 내용
- HashiCorp Vault의 엔터프라이즈 시크릿 관리 구조를 Seal/Unseal, Barrier 암호화, 정책 기반 접근 제어, 감사 로깅 중심으로 분석
- Root Key, Encryption Key, Unseal Key의 계층적 보호와 Shamir Secret Sharing, AutoUnseal, Raft Integrated Storage의 동작 흐름 정리
- Transit Secrets Engine의 Datakey 생성 모드와 Envelope Encryption, BLAKE2b 해싱, 초기화 플래그 등 내부 메커니즘 설명
- 저장 데이터는 AES-256-GCM으로 보호되고, 접근은 정책과 감사 로그로 통제되는 구조로 정리
적용해볼 점
- 민감정보를 애플리케이션 코드와 설정 파일에서 분리해 중앙 관리하는 시크릿 운영 방식 검토
- 대용량 데이터는 Vault 외부 로컬 암호화와 Transit Datakey 조합으로 처리하는 방식 고려
- 재시작 자동화가 필요한 환경에서는 AutoUnseal과 Raft 기반 통합 저장소 적용 검토
