HashiCorp Vault 암호화 아키텍처 완전 분석 : 엔터프라이즈 시크릿 관리 - Seal/Barrier/Transit/Raft

Vault의 핵심 역할 및 다층 보안 모델

• HashiCorp Vault는 DB 비밀번호, API 키 등 민감정보를 중앙 관리하며, Barrier 암호화, 동적 자격증명, 정책 기반 접근 제어, 감사 로깅을 제공합니다.
• Seal/Unseal 메커니즘, Barrier 암호화 레이어, 계층적 키 구조 (Unseal Key → Root Key → Encryption Key)의 3가지 다층 보안 모델로 설계되었습니다.
• Sealed 상태에서는 Root Key가 암호화되어 데이터 접근이 불가능하며, Unseal 과정을 통해 서비스가 가능해집니다. 암호화 서비스 및 내부 보안 메커니즘
• Transit Secrets Engine은 Encryption-as-a-Service 및 **Datakey 생성 모드(Envelope Encryption)**를 통해 애플리케이션의 데이터 암호화/복호화 서비스를 제공합니다.
• Datakey 생성 모드는 Vault가 DEK를 생성, 암호화하여 반환하면 클라이언트가 로컬에서 대용량 데이터를 암호화하는 방식입니다.
• 내부적으로 초기화 플래그로 시스템 안정성을, BLAKE2 해싱으로 데이터 무결성을 보장합니다. Vault 암호화 과정 및 Raft 통합 저장소
• Shamir's Secret Sharing으로 Unseal Key를 분산 생성하여 Root Key를 보호하고, Barrier로 모든 저장 데이터를 자동 암호화합니다.
• AutoUnseal 및 Raft Integrated Storage를 통해 고가용성과 데이터 무결성을 보장하며, 외부 DB 없이 자체적으로 시크릿을 저장합니다.
• 정책 기반 접근 제어와 감사 로깅으로 암호화된 데이터 접근을 세밀하게 통제하고 추적합니다.