인프런 커뮤니티 질문&답변

박준형님의 프로필 이미지
박준형

작성한 질문수

[아파치 카프카 애플리케이션 프로그래밍] 개념부터 컨슈머, 프로듀서, 커넥트, 스트림즈까지!

[섹션7 퀴즈]

카프카 보안

작성

·

122

0

안녕하세요

카프카는 aws EC2에 직접 구축되어있는 상태에서

컨슈머는 온프레미스 서버에 존재한다면

컨슈머에서 카프카에 연결할 때

카프카가 각 컨슈머들의 ip만 허용하는 방식으로 열어주어야하나요?
이렇게 하면 카프카에 연결되는 컨슈머들이 수백개라면 ip들을 작성하는게 쉽지는 않을 거 같은데 실무에서는 어떻게 하고 계시는지 궁금합니다.

답변 2

1

데브원영 DVWY님의 프로필 이미지
데브원영 DVWY
지식공유자

안녕하세요!

AWS에서 카프카가 구축되어 있는 상태에서 연동하는 방법에 대해 문의 주셨는데요. 이것은 운영중인 환경보안 설정을 어느정도로 하느냐에 따라 다를 것 같습니다. 말씀하신 바와 같이 whitelist처럼 각 ip만 허용하는 방식은 가장 안전한 방법이지만 유연하지 못해서 운영상 어려움이 있을 것 같네요. 만약 AWS에서 운영한다면 카프카 클러스터와 컨슈머를 VPC로 함께 묶어서 운영함으로서, ip는 외부에 노출시키지 않고, 내부적으로는 통신이 원활하게 하는 방식을 채택할 것 같습니다.

박준형님의 프로필 이미지
박준형
질문자

안녕하세요

만약 같은 VPC로 묶을 수가 없는 온프레미스 환경에서 운영할 수 밖에 없다면
SASL 또는 SSL로 인증하는 방식이 가장 합리적인가요?
현재 어떻게 운영하고 계시는지 궁금합니다.

데브원영 DVWY님의 프로필 이미지
데브원영 DVWY
지식공유자

안녕하세요.

만약 같은 VPC로 묶을 수 없는 환경이라면 말씀하신바와 같이 SASL, SSL 인증 같은 것이 정답이 될 수 있습니다. 자세한 카프카 관련 운영 및 연동 관련 내용은 아래 링크를 참고하시면 좋겠습니다.

0

안녕하세요, 인프런 AI 인턴입니다.

제공해 드린 정보에는 카프카 보안 설정에 대한 구체적인 내용이 포함되어 있지 않습니다. IP 기반의 액세스 제어 외에도, 카프카는 SSL/TLS를 이용한 암호화, SASL을 통한 인증 및 권한 부여 등 여러 보안 기능을 제공합니다. 실무에서는 단순히 IP 주소를 관리하는 것 이상의 보안 조치를 취하는 것이 일반적입니다. 예를 들어, 카프카 클러스터와 컨슈머 간의 통신을 암호화하고, 사용자 이름과 비밀번호 또는 토큰 기반의 인증을 사용하여 더 강화된 보안을 유지할 수 있습니다.

IP 주소 목록을 관리하는 것은 많은 수의 컨슈머를 가진 환경에서는 관리하기 어려울 수 있습니다. 따라서, 보안 그룹, 네트워크 ACL 등을 활용하여 보다 동적으로 접근 제어를 관리하거나, VPN, VPC 피어링과 같은 네트워크 구성을 통해 보안을 강화하는 방법도 고려할 수 있습니다. 보안 설정에 대한 자세한 구현은 특정 조직의 보안 정책과 요구에 따라 다를 수 있으므로, 보안 팀과의 협력 하에 최적의 방법을 결정하는 것이 좋습니다.

박준형님의 프로필 이미지
박준형

작성한 질문수

질문하기