Nginx32 728x90 Kubernetes 서비스 보호를 위한 Google 인증 게이트 (oauth2-proxy) oauth2-proxy는 Google 같은 인증 제공자와 연동해 기존 서비스 앞단에 인증을 얹는 reverse proxy이며, Nginx auth_request와 Kubernetes Ingress annotation 방식 모두를 지원합니다. 또한 Google provider를 사용할 때는 Google Cloud Console에 OAuth 클라이언트 ID를 만들고, oauth2-proxy의 callback 경로를 승인된 redirect URI로 등록하는 방식이 기본 흐름입니다.oauth2-proxy로 Google 로그인 연동하기Kubernetes Ingress 앞단 인증을 가장 깔끔하게 붙이는 방법왜 oauth2-proxy인가oauth2-proxy는 애플리케이션 자체에 로그인 로직을 넣지 않고도, 앞단에서.. 2026. 3. 23. macOS Colima에서 Docker 네트워크(브리지·NAT·정적IP 등) 실사용 개념 정리 — 왜 상황이 복잡한가?macOS는 리눅스처럼 Docker가 네이티브로 동작하지 않습니다. 대신 Colima(Lima)나 Docker Desktop이 VM을 띄우고 그 안에서 Docker가 돌아갑니다. 그 결과 네트워크가 최소 2계층(호스트 ↔ VM ↔ 컨테이너)으로 구성되어 IP/포트/헤더 관련 동작이 달라집니다.기본 모드: user-mode NAT — Colima는 기본적으로 VM 내부에서 NAT를 사용해 외부와 통신합니다. VM 내부에 docker0(예: 172.17.x.x)와 Lima NAT 네트워크(예: 192.168.5.0/24)가 존재합니다.브리지(bridged) 모드: VM을 호스트 LAN에 연결해 VM이 LAN IP를 받게 하는 모드입니다. 하지만 macOS에서는 특히 Wi-F.. 2026. 3. 8. Zero Trust 관점에서 본 Guardrail 중심 MCP 서버 보안 설계와 운영 방안 전체 목표와 핵심 원칙목표MCP 서버는 “도구 실행/리소스 읽기”라는 강력한 권한을 다루므로,접속 관문(NGINX)에서 강하게 걸러내고, MCP 내부에서는 역할/스코프/입력검증으로 “행동”을 통제합니다.툴/리소스를 코드 하드코딩이 아니라 DB/JSON으로 관리하고, 관리용 Web API로 추가/수정하면, MCP 서버는 이를 실시간 반영합니다.원칙외부에서 MCP로 직통 접근 금지 (MCP는 내부망/loopback에만 바인딩)mTLS로 “클라이언트 단위” 강제 식별 (토큰보다 앞선 1차 관문)Zero Trust = 기본 차단 + 최소 허용Guardrail은 2단(A) 서버 레벨: role/scope 기반 Tool/Resource 필터(B) 툴 레벨: arguments 검증/수정/차단 (예: analyze_t.. 2026. 1. 31. Wazuh & Osquery 보안 에이전트 패키지 배포 내부 yum 저장소 구축 osquery와 wazuh agent 패키지를 로컬 시스템에 미러링하고, 내부 시스템에서 yum을 통해 설치/업데이트할 수 있는 도커 기반 환경을 구축하는 방법입니다.패키지 미러링 시스템 아키텍처디렉토리 구조repo-mirror/├── docker-compose.yml├── nginx/│ ├── Dockerfile│ └── nginx.conf├── sync/│ ├── Dockerfile│ ├── sync-repos.sh│ └── crontab├── data/│ ├── repos/│ │ ├── wazuh/│ │ └── osquery/│ └── gpg-keys/└── scripts/ └── init-repos.shDocker Compose 구성docker-comp.. 2025. 8. 8. 내부망 보안 강화를 위한 리눅스 패키지 미러 자동화와 패치 모니터링 리눅스 패키지 생태계 개요대부분의 리눅스 배포판(Ubuntu, Debian, CentOS, Arch 등)은 OS 및 패키지를 다음과 같은 구조로 배포합니다.[개발자/벤더] → [공식 저장소] → [전 세계 미러 서버] → [사용자]공식 저장소 (Canonical, ArchLinux 등): 패키지를 빌드하고 검증한 후 저장미러 서버: 전 세계 ISP, 대학, 조직 등이 rsync 또는 HTTP 방식으로 주기적으로 동기화사용자(클라이언트): apt, dnf, pacman 등의 패키지 매니저를 통해 가장 가까운 미러에서 다운로드❗ 패키지 설치/업데이트 시, 리눅스 시스템은 자동으로 가장 가까운 또는 가장 빠른 미러를 선택하거나 사용자가 직접 지정 가능내부 미러의 필요성필요성설명보안 및 통제외부 인터넷을 차단한.. 2025. 7. 29. 이전 1 2 3 4 ··· 7 다음 728x90 728x90
