MTLS 3

서비스 메시

학습 목표서비스 메시가 K8s Service·Ingress와 다른 문제(L4/L7 내부 통신·보안·관측)를 해결하는지 설명할 수 있다.sidecar 프록시와 control plane·data plane 역할을 구분할 수 있다.mTLS(PeerAuthentication)로 서비스 간 암호화·신원을 적용하는 방식을 설명할 수 있다.VirtualService·DestinationRule로 traffic split·retry·timeout을 코드 없이 정책화할 수 있다.canary 배포와 mesh 트래픽 분할을 연계하고 도입 트레이드오프를 평가할 수 있다.문제 상황서비스 20개 — 각 팀이 retry·timeout·circuit breaker 라이브러리 제각각평문 ClusterIP 통신 — Pod 탈취 시 내부..

Zero Trust

학습 목표경계 방어(castle-and-moat)와 Zero Trust 모델의 차이를 설명할 수 있다.never trust, always verify — 매 요청·세션 마다 신원·디바이스·컨텍스트를 검증하는 원칙을 설명할 수 있다.ZTNA(Zero Trust Network Access)가 VPN 전체 네트워크 신뢰와 어떻게 다른지 설명할 수 있다.micro-segmentation·NetworkPolicy·서비스 메시 mTLS로 워크로드 간 최소 통신을 설계할 수 있다.16편 체크리스트·8편 인가·3편 mTLS와 연계한 Zero Trust 도입 단계를 설명할 수 있다.문제 상황사내 VPN 접속 = 내부망 전체 스캔 가능 — 노트북 탈취 시 DB·관리 콘솔 동시 노출평문 ClusterIP — Pod 하나 뚫..

TLS 심화

학습 목표TLS 1.3 핸드셰이크의 주요 메시지 흐름을 설명할 수 있다.Cipher suite가 key exchange·인증·암호화·해시로 구성됨을 설명할 수 있다.Forward secrecy가 왜 중요한지 설명할 수 있다.mTLS가 서비스 간 신원 확인에 쓰이는 방식을 설명할 수 있다.문제 상황openssl s_client 출력에 TLS_AES_128_GCM_SHA256만 보이고 의미를 모른다인증서는 갱신했는데 구형 클라이언트가 handshake failurecipher·TLS 버전 호환 문제인지 모른다내부 gRPC는 "TLS 켜면 된다"는데 서버만 검증하면 피어 스푸핑 위험서버 private key 유출 시 과거 트래픽도 복호화될까?PFS 유무에 달려 있다보안 원칙(least privilege, de..