👋 Dex는 이제 그만! K8s 인증, Keycloak과 Pomerium으로 레벨업하기

안녕하세요, 쿠버네티스(K8s) 운영자 여러분! 🚀 클러스터 보안의 첫 단추는 바로 '인증(Authentication)'입니다. "누가 우리 클러스터에 접근할 수 있는가?"를 관리하는 것은 매우 중요하죠. 많은 분들이 이 문제를 해결하기 위해 Dex를 사용해 오셨을 겁니다.

 

Dex는 OpenID Connect(OIDC)와 OAuth 2.0 프로토콜을 이용해 다양한 외부 ID 공급자(IdP)와 쿠버네티스를 연결해주는 훌륭한 다리 역할을 합니다. GitHub, Google, LDAP 등 여러 소스의 사용자 계정으로 kubectl 명령을 실행할 수 있게 해주죠. 하지만 Dex는 본질적으로 ID 브로커(Identity Broker) 또는 프록시(Proxy) 역할에 집중하고 있습니다. 사용자 관리, 세밀한 접근 제어, SSO(Single Sign-On) 등 더 넓은 범위의 ID 및 접근 관리(IAM) 기능을 원하신다면 Dex만으로는 부족함을 느낄 수 있습니다.

 

그래서 오늘은 Dex의 역할을 넘어, 훨씬 더 강력하고 풍부한 기능을 제공하는 대안 프로젝트들을 소개해 드리려고 합니다. 바로 Keycloak과 Pomerium입니다!

Dex, 간단히 다시 보기

본격적으로 대안들을 살펴보기 전에, Dex의 역할을 간단히 짚어보겠습니다. Dex는 쿠버네티스 API 서버와 여러분이 사용하는 ID 공급자(예: Google, GitHub) 사이에 위치합니다.

1. 사용자가 kubectl 명령을 실행하면, API 서버는 인증을 위해 Dex로 보냅니다.
2. Dex는 사용자를 실제 ID 공급자로 리디렉션하여 로그인을 처리합니다.
3. 로그인이 성공하면, Dex는 사용자 정보가 담긴 ID 토큰을 발급하여 API 서버로 전달합니다.
4. API 서버는 이 토큰을 검증하고, 사용자의 요청을 처리합니다.

• 장점 👍: 가볍고, 설정이 비교적 간단하며, 다양한 ID 공급자를 지원합니다.
• 단점 👎: 자체적인 사용자 데이터베이스나 상세한 권한 관리 기능이 없습니다. 순수한 ID 연동 기능에만 초점을 맞춥니다.

이제, Dex의 한계를 뛰어넘는 강력한 주자들을 만나보시죠!

---

대안 1. Keycloak: 모든 기능을 갖춘 ID 및 접근 관리의 끝판왕 🏰

https://www.keycloak.org/

 

"우리 회사만의 통합 인증 시스템을 구축하고 싶어!" 라는 요구사항이 있다면, 키클록(Keycloak)이 바로 그 해답입니다. Keycloak은 단순한 ID 브로커가 아닙니다. Red Hat이 개발하고 CNCF가 인큐베이팅 프로젝트로 채택한, 그 자체로 완벽한 ID 및 접근 관리(IAM) 솔루션입니다.

 

Keycloak은 자체적으로 사용자 데이터베이스를 가질 수 있으며, 소셜 로그인, 외부 ID 공급자와의 연동(Identity Brokering), 그리고 여러 애플리케이션을 한 번의 로그인으로 이용하게 해주는 SSO(Single Sign-On) 허브 구축까지 모든 것을 지원합니다.

주요 기능 및 장점:

• 올인원(All-in-One) 솔루션 👑: 사용자 등록, 비밀번호 관리, 2단계 인증(MFA), 소셜 로그인 등 사용자 인증에 필요한 거의 모든 기능을 내장하고 있습니다. Dex처럼 외부 IdP와 연동하는 브로커 역할도 당연히 수행합니다.
• 강력한 관리 UI 🖥️: 직관적인 웹 기반 관리 콘솔을 통해 사용자, 역할, 그룹, 클라이언트 애플리케이션 등을 손쉽게 관리할 수 있습니다. 코드를 수정하지 않고도 대부분의 설정을 변경할 수 있습니다.
• 세밀한 접근 제어 🛡️: 사용자 속성, 그룹 멤버십, 클라이언트 종류 등 다양한 조건에 따라 매우 세밀한 권한 부여 정책을 설정할 수 있습니다.
• 표준 프로토콜 지원 ✅: OpenID Connect, OAuth 2.0, SAML 2.0 등 표준 프로토콜을 완벽하게 지원하여 쿠버네티스는 물론, 사내의 다른 웹 애플리케이션들과도 쉽게 통합할 수 있습니다.
• 높은 확장성 🧩: 테마, 사용자 정의 로직 등 다양한 확장 포인트를 제공하여 우리 회사만의 특별한 요구사항을 반영하기 용이합니다.

이런 분들께 추천해요!

• 쿠버네티스를 넘어 여러 사내 애플리케이션의 인증을 통합 관리하고 싶은 경우
• 자체 사용자 데이터베이스와 강력한 관리 기능이 필요한 대규모 조직
• SSO 환경을 구축하여 사용자 편의성을 높이고 싶은 경우

---

대안 2. Pomerium: 컨텍스트를 인지하는 제로 트러스트 접근 게이트웨이 🚪

"쿠버네티스 대시보드나 내부 웹 서비스에 안전하고 쉽게 접근하게 할 순 없을까?" 라는 고민을 하고 있다면, 포메리움(Pomerium)이 탁월한 선택이 될 수 있습니다. Pomerium은 단순한 인증 프록시를 넘어, ID 인식 접근 프록시(Identity-Aware Access Proxy, IAAP)를 표방합니다. 이는 '제로 트러스트(Zero Trust)' 보안 모델을 구현하는 데 최적화되어 있습니다.

Pomerium은 Ingress Controller나 서비스 메시와 함께 배포되어, 클러스터 내부 서비스로 들어오는 모든 트래픽을 검사하고 사용자의 ID와 컨텍스트(기기, 위치, 시간 등)에 기반하여 접근을 허용하거나 차단합니다. VPN 없이도 내부 서비스를 안전하게 외부에 노출할 수 있게 해주는 것이죠.

 

주요 기능 및 장점:

• 제로 트러스트 보안 모델 🛡️: "아무도 믿지 말고, 항상 검증하라"는 제로 트러스트 원칙을 쉽게 적용할 수 있습니다. 모든 요청에 대해 인증과 권한 부여를 강제합니다.
• 컨텍스트 기반 접근 제어 🧠: 사용자의 이메일 주소, 그룹 멤버십뿐만 아니라 접속 국가, 사용하는 기기 등 다양한 컨텍스트 정보를 정책 결정에 활용할 수 있어 보안 수준을 크게 높일 수 있습니다.
• 쉬운 서비스 노출 ✨: 별도의 VPN 설정 없이도 Pomerium을 통해 내부 웹 애플리케이션(Grafana, Prometheus, 사내 어드민 툴 등)을 안전하게 인터넷에 노출하고 SSO를 적용할 수 있습니다.
• 상세한 감사 로그 📝: 모든 접근 요청과 정책 결정에 대한 상세한 로그를 남겨, 누가 언제 어디서 무엇에 접근했는지 명확하게 추적할 수 있습니다.
• 경량 및 빠른 속도 ⚡: Go 언어로 작성되어 가볍고 성능이 뛰어납니다.

이런 분들께 추천해요!

• 내부 웹 서비스에 대한 안전한 원격 접근 및 SSO를 구현하고 싶은 경우
• 제로 트러스트 보안 아키텍처를 도입하려는 팀
• 사용자 컨텍스트에 기반한 동적인 접근 제어가 필요한 경우

---

📊 한눈에 비교하기

특징	Dex	Keycloak	Pomerium
주요 역할	ID 브로커 / 프록시	완전한 IAM 플랫폼	ID 인식 접근 프록시 (IAAP)
자체 사용자 DB	없음 ❌	있음 ✅	없음 ❌
SSO 허브	제한적	강력함 ✅	강력함 ✅
관리 UI	없음 ❌	강력함 ✅	설정 파일 기반 (YAML)
접근 제어 수준	IdP 정보 전달	매우 세밀함 (RBAC, ABAC)	컨텍스트 기반 (Zero Trust)
핵심 컨셉	ID 연동	중앙 집중형 IAM	제로 트러스트 접근 제어
가장 적합한 일	kubectl 인증 연동	전사적 통합 인증 구축	내부 서비스 보안 및 SSO

 

✨ 결론

Dex는 여전히 kubectl에 대한 OIDC 인증을 연동하는 가볍고 훌륭한 도구입니다. 하지만 쿠버네티스 생태계가 성숙하면서 우리의 요구사항은 더욱 복잡하고 다양해지고 있습니다.

• Keycloak은 쿠버네티스를 포함한 전사적인 인증 인프라를 구축하고 싶을 때 선택할 수 있는 '왕' 과 같은 존재입니다.
• Pomerium은 제로 트러스트 보안 모델을 기반으로 내부 서비스를 안전하고 편리하게 사용하고 싶을 때 필요한 든든한 '문지기' 역할을 합니다.

단순히 kubectl 인증을 넘어, 우리 조직의 보안과 편의성을 한 단계 끌어올리고 싶다면 이제 Dex 너머의 세상을 바라볼 때입니다. 여러분의 환경과 목표에 가장 적합한 도구를 선택하여 더욱 안전하고 효율적인 쿠버네티스 라이프를 즐기시길 바랍니다!