Workload Identity Federation이 일반 제공됩니다
Source: Tailscale Blog
오늘 우리는 워크로드 아이덴티티 연합이 일반 제공(General Availability)됨을 발표하게 되어 기쁩니다. 지난 가을에 베타로 출시한 이후, Tailscale 플랫폼 전반에 걸쳐 지원을 확대했습니다. 여기에는 연합 아이덴티티 관리를 위한 API 및 Terraform 지원, 자동 클라우드 토큰 교환, tsnet 통합, 그리고 Kubernetes 연산자를 위한 베타 지원이 포함됩니다. 이러한 업데이트를 통해 CI 시스템, 클라우드 서비스, Kubernetes 클러스터 등 인프라 워크로드를 장기간 유지되는 하드코딩된 비밀에 의존하지 않고 인증하기가 쉬워졌습니다.
워크로드 아이덴티티 연합에 익숙하지 않다면, 이는 CI/CD 파이프라인과 클라우드 워크로드가 정적 API 키, 인증 키, OAuth 클라이언트 대신 클라우드 제공자의 연합 OpenID Connect (OIDC) 아이덴티티를 사용해 Tailscale에 인증할 수 있게 해줍니다. 관리와 확장이 어려운 장기 비밀에 의존하는 대신, 워크로드는 클라우드 제공자의 아이덴티티 시스템이 발행한 서명된 단기 토큰을 사용해 인증할 수 있습니다.
Source: …
규모에 맞는 보안 자동화
Tailscale API는 이제 연합 ID를 생성, 조회, 업데이트 및 삭제하는 기능을 지원합니다. 이를 통해 GitHub, Google Cloud, AWS와 같은 클라우드 제공업체와 Tailscale 간의 신뢰 관계를 관리 콘솔에서 수동으로 설정하지 않고도 프로그래밍 방식으로 구축할 수 있습니다. 코드를 통해 수십 개 또는 수백 개의 환경에 걸친 신뢰 구성을 정의하고 관리할 수 있습니다.
API를 사용하면 새로운 GitHub 러너에 tailnet 접근 권한을 부여하거나, AWS 서비스 계정의 범위를 조정하거나, 인프라가 변경될 때 자격 증명 세부 정보를 업데이트할 수 있습니다. 또한 생성된 후에도 범위와 자격 증명을 수정할 수 있어, ID를 삭제하고 다시 만들 필요 없이 구성 디버깅이나 권한 세분화가 쉬워집니다.
Tailscale Terraform 제공자도 이제 연합 ID를 생성하고 관리하는 기능을 새롭게 지원합니다. 이를 통해 신뢰 관계를 IaC(코드형 인프라)로 정의할 수 있습니다. 팀은 이러한 구성을 버전 관리에 저장함으로써 변경 사항을 감사하고, 동료 검토를 거치며, 쉽게 재현할 수 있습니다. Terraform을 사용하면 .tf 파일에 OIDC 발행자와 클레임을 직접 정의하고, 어떤 GitHub 리포지토리, 클라우드 서비스 계정 또는 워크로드가 tailnet에 인증할 수 있는지, 그리고 해당 범위와 클레임 매칭 규칙을 지정할 수 있습니다.
Terraform 제공자 자체도 워크로드 아이덴티티 연합을 통해 Tailscale에 인증할 수 있습니다. 이를 통해 GitHub Action과 같은 CI/CD 러너가 정적 API 키나 OAuth 비밀을 저장하지 않고 자체 OIDC 토큰을 사용해 tailnet을 관리할 수 있습니다.
자동 클라우드 토큰 검색 및 교환
Tailscale은 이제 tailscale up 명령에 새로 추가된 --audience 플래그를 통해 자동 토큰 검색 및 교환을 지원합니다. 이 플래그를 사용하면 Tailscale 클라이언트가 지원되는 클라우드 및 CI 환경을 감지하고 실행 중인 플랫폼에서 네이티브 아이덴티티 토큰을 가져올 수 있습니다. 클라이언트는 이 토큰을 사용해 워크로드 아이덴티티 연합을 통해 노드를 귀하의 tailnet에 인증합니다—Tailscale과 토큰 교환을 수동으로 설정할 필요가 없습니다.
tsnet 인증 지원
The tsnet library for Go now supports workload identity federation, allowing your Go applications to join your tailnet without any hardcoded credentials. Applications running in a cloud environment can request a native OIDC token from their platform and use it to authenticate to your tailnet, without ever handling a static ts_authkey environment variable.
Tailscale Kubernetes Operator 지원
워크로드 아이덴티티 연동이 이제 베타 버전으로 Tailscale Kubernetes operator에서도 제공됩니다. 이를 통해 운영자는 하드코딩된 비밀키가 아니라 클러스터의 기본 워크로드 아이덴티티를 사용해 tailnet에 인증할 수 있습니다. 결과적으로 정적 자격 증명을 관리하지 않고도 Kubernetes 클러스터를 Tailscale에 연결할 수 있어 운영 부담을 줄이고 보안을 강화합니다.
시작하기
워크로드 아이덴티티 연합은 프로덕션 수준으로 준비되어 있으며 오늘날 모든 Tailscale 플랜에서 이용할 수 있습니다. 단일 CI 러너를 연결하든 클라우드 워크로드 플릿에 대한 액세스를 자동화하든, 정적 자격 증명을 없애고 보다 안전한 인프라를 구축할 수 있습니다.
시작하려면 워크로드 아이덴티티 연합 문서를 확인하거나, API 레퍼런스와 Terraform 제공자 가이드를 살펴보아 설정을 자동화하세요.