DOI QR코드

DOI QR Code

Open Policy Agent based Multilateral Microservice Access Control Policy

개방형 정책 에이전트 기반 다자간 마이크로서비스 접근제어 정책

  • 김구민 (전남대학교 정보보안협동과정) ;
  • 정송헌 (전남대학교 정보보안협동과정) ;
  • 김경백 (전남대학교 소프트웨어공학과/인공지능학부)
  • Received : 2023.09.11
  • Accepted : 2023.10.11
  • Published : 2023.10.31

Abstract

A microservice architecture that accommodates the heterogeneity of various development environments and enables flexible maintenance can secure business agility to manage services in line with rapidly changing requirements. Due to the nature of MSA, where communication between microservices within a service is frequent, the boundary security that has been used in the past is not sufficient in terms of security, and a Zerotrust system is required. In addition, as the size of microservices increases, definition of access control policies according to the API format of each service is required, and difficulties in policy management increase, such as unnecessary governance overhead in the process of redistributing services. In this paper, we propose a microservice architecture that centrally manages policies by separating access control decision and enforcement with a general-purpose policy engine called OPA (Open Policy Agent) for collective and flexible policy management in Zerotrust security-applied environments.

다양한 개발 환경의 이질성을 수용하고 유연한 유지보수가 가능한 마이크로서비스 아키텍처는 급변하는 요구사항에 맞춰 서비스를 관리할 수 있는 비즈니스 민첩성을 확보할 수 있다. 서비스 내부의 마이크로서비스 간 통신이 잦은 MSA의 특성상 보안 측면에서 기존에 사용되어온 경계 보안은 충분하지 않으며 Zerotrust 시스템이 필요하다. 더불어 마이크로서비스의 규모가 커질수록 각 서비스의 API 포맷 형식에 따른 접근제어 정책 정의가 요구되며 서비스를 재배포하는 과정에서 불필요한 거버넌스 오버헤드가 발생하는 등 정책 관리에 어려움이 가중된다. 본 논문에서는 Zerotrust 보안을 적용한 환경에서 일괄적이고 유연한 정책 관리를 위해 OPA(Open Policy Agent)라는 범용 정책 엔진으로 접근제어의 결정과 시행을 분리하여 중앙 집중식으로 정책을 관리하는 마이크로서비스 아키텍처를 제안한다.

Keywords

Acknowledgement

본 과제(결과물)는 2023년도 교육붕의 재원으로 한국연구재단의 지원을 받아 수행된 지자체-대학 협력기반 지역혁신 사업의 결과입니다.(2021RIS-002) 이 논문은 2022년도 정부(과학기술정보통신부)의 재원으로 정보통신기획평가원의 지원을 받아 수행된 연구임 (IITP-2022-0-01203)

References

  1. M. Fowler and J. Lewis, Microservices(2014). http://martinfowler.com/articles/microservices.html (accessed Apr., 24, 2022).
  2. NIST, "Zerotrust Architecture," NIST Special Publication 800-207, Aug. 2020.
  3. Prabath Siriwardena and Nuwan Dias, Microservices Security in Action, Acorn, pp. 1-614, Jul. 2021.
  4. T. Sandall, Open policy agent(2019). https://www.openpolicyagent.org/ (accessed Jul., 3, 2022).
  5. Alexander Barabanov, "Authentication and Authorization In Microservice-Based Systems:Survey Of Architecture Patterns," arXiv:2009.02114, 2020.
  6. Alessio Catalfamo and Armando Ruggeri, "A Microservices and Blokchain Based One Time Password(MBB-OTP) Protocol for Security-Enhanced Authentication," 2021 IEEE Symposium on Computers and Communications (ISCC), pp. 1-6, Sep. 2021.
  7. Dulaj Dilsan and Supimi Piumika, "MSChain:Blockchain based Decentralized Certificate Transparency for Microservices," 2020 Moratuwa Engineering Research Conference (MER Con), pp. 1-6, Moratuwa, Sri Lanka, Sep. 2020.
  8. F. Hussain, W. Li, B. Noye, S. Sharieh, and A. Ferworn, "'Intelligent service mesh framework for api security and management," in 2019 IEEE 10th Annual Information Technology, Electronics and Mobile Communication Conference (IEMCON). IEEE, pp. 735-742, Canada, Dec. 2019.
  9. C. de Weever and M. Andreou, "Zerotrust network security model in containerized environments' University of Amsterdam Masters thesis, Feb. 2020.
  10. Z. Zaheer, H. Chang, S. Mukherjee, and J. Van der Merwe, "eztrust: Network-independent zero-trust perimeterization for microservices," in Proceedings of the 2019 ACM Symposium on SDN Research, pp. 49 - 61, Apr. 2019.
  11. Loic Miller, "Towards Secure and Leak-Free Workflows Using Microservice Isolation", 2021 EEE 22nd International Conference on High Performance Switching and Routing(HPSR), pp. 1-5, Jul. 2021.
  12. A. C. Squicciarini, S. M. Rajtmajer, and N. Zannone, "Muitiparty access control: Requirements, state of the art and open challenges," in Proceedings of the 23Nd ACM on Symposium on Access Control Models and Technologies, ser. SACMAT 18. New York, NY, USA: ACM, pp. 49-49. Jun. 2018
  13. Tetiana Yarygina and Anya Helene Bagge, "Overcoming Security Challenges in Microservice Architectures," 2018 IEEE Symposium on Service- Oriented System Engineering(SOSE), pp. 11-20, Germany, May. 2018.
  14. Akamai, Zerotrust security model - what is Zerotrust?(2022). https://www.akamai.com/our-thinking/zero-trast/zero-trust-security-model (accessed Nov., 2, 2022).
  15. Michael Hofmann, "Zerotrust with Microservices its easier than you think! (2021)," https://jaxlondon.com/blog/zero-trust-with-rnicroservices-its-easier-than-уоu-think/ (accessed Nov., 04, 2022).
  16. 김미연, 김대겸, 장종민, 박상준, 정수환, 박정수," 제로 트러스트 기술 동향에 관한 연구," 스마트미디어저널, 제12권, 제2호, 15-26쪽, 2023년 3월
  17. Rory Ward and Betsy Beyer, "BeyondCorp, A New Approach to Enterprise Security", 12th USENIX Symposium on Networked Systems Design and Implementation, pp 6-11, Dec. 2014.
  18. 김미선, 박경우, 서재현 "F2C 환경에서 역할 기반 스마트 헬스 서비스 접근 제어," 스마트미디어저널, 제12권, 제7호, 27-42쪽, 2023년 8월
  19. NIST, "Zero Trust Maturity Model Version 2.0," Apr. 2023.
  20. 김민규, 강찬영, 이석준, "제로트러스트 동향 분석 및 기업 보안 강화 연구, " 스마트미디어저널, 제12권, 제5호, 46-57쪽, 2023년 6월
  21. 김구민, "개방형 정책 에이전트 기반 다자간 마이크로서비스 접근제어 정책", 전남대학교 석사학위논문, 2023년 3월