kafka와 보안 - 인증(SASL)

인증(SASL) 

• SASL/GSSAPI : 카프카 0.9 버전부터 지원됐습니다. GSSAPI는 커버로스 인증 방식으로 많이 사용되는 인증 방식중 하나입니다. 회사 내부에 별도의 커버로스 서버가 있는 환경이라면 커버로스 인증 방식을 사용하는 것이 가장 좋습니다. 커버로스 인증 방식을 적용할 때는 렐름이라는 설정이 필요한데, 이때는 되도록 하나의 렐름으로 모튼 애플리케이션을 적용하는 방법을 추천합니다. 크로스 랠름 설정으로 인해 클라이언트들의 재인증, 인증 실패 등이 일어나는 경우가 종종 있기 때문입니다. 
• SASL/PLAIN : PLAIN은 아이디와 비밀번호를 텍스트 형태로 사용하는 방법으로서, 운영 환경보다는 개발 환경에서 테스트 등의 목적으로 활용합니다. 
• SASL/SCRAM-SHA-256 : Salted 챌린지 응답 인증 매커니증인 SCRAM은 인증 정보를 주키퍼에 저장해 사용하는 방식으로서, 토큰 방식도 지원하므로 별도의 커버로스 서버가 구성되어 있지 않은 환경에서 카프카의 인증을 구성해야할 때 가장 좋은 방식입니다.
• SASL/OAUTHBEARER : OAUTH 방식은 kafka에서 제공하는 기능은 매우 한정적이라 개발 환경 정도에만 적용 가능한 수준입니다. 운영환경에서 사용하기 위해서는 별도의 핸들러를 구성해야 하는 불편함이 있습니다. 
  

kafka에서 지원하는 네가지 SASL메커니즘 중에서 가장 흔히 사용하는 커버로스 인증을 적용해보겠습니다. 커버로스는 티켓을 기반으로 하는 컴퓨터 네트워크 인증 프로토콜로서 사용자의 신원을 식별하기 위한 용도로 사용됩니다. 커버로스가 인증 서비스에 많이 사용되는 이유는 세상에 공개된지 오래됐기 때문이기도 하지만 하나의 커러보스 티켓을 이용해 여러 서비스에서 같이 적용할 수 있는 SSO를 지원하기 때문입니다. 커버로스에 대한 개념은 온라인에 많으니 검색하셔서 참고하시기 바랍니다.

 

 

 

 

 

[해당 네용은 추후 업그레이드할 예정]