SecOps Guide

노출 위험이 있던 기밀정보를 저장소/런타임 경계에서 즉시 차단하는 조치를 반영했습니다.

• DB/MinIO/Jenkins/GitLab/API 계열 비밀 회전 자동화 스크립트 정리
• 코드/문서 하드코딩 비밀 제거 및 env/OpenBao 경유 패턴으로 표준화
• git-filter-repo 기반 히스토리 정리 스크립트 + 강제 푸시 절차 문서화
• init-keys.json 최소 권한(600) 및 오프라인 보관 지침 반영
• working tree/git history secret scan PASS

root token 의존을 줄이고 AppRole 기반 단기 토큰 운영 모델로 전환하는 중입니다.

• runtime export 경로에서 AppRole 로그인 기반 토큰 발급 방식 적용
• .env.runtime 디스크 잔존 최소화(/dev/shm 임시 파일 + 즉시 삭제)
• OpenBao TLS 활성화 및 compose 주입 경로 정리
• Keycloak 운영 모드(start --proxy=edge)로 전환
• 핵심 서비스 포털 SSO 프레임(KeycloakAutoSsoServiceFrame) 확장 적용

자동 검증은 통과했으며, 운영 종료를 위해 수동 증빙 3종이 남아 있습니다.

• 외부 Provider/API 키 폐기·재발급 증빙 첨부 필요
• origin 인증 후 fetch + history scan 재실행 증빙 필요
• 사용자 브라우저 기준 SSO/권한 차단 시나리오 증빙 필요
• 세 항목 완료 시 SecOps hardening closed 선언

운영 편의보다 통제 우선 정책으로 잔여 리스크를 제거하는 단계가 남아 있습니다.

• 서비스별 docker.sock 최소화/프록시 강제 및 권한 세분화
• OpenSearch security plugin 및 내부 서비스 mTLS 범위 확대
• 정기 회전/스캔 결과를 CI Gate와 변경관리 기록에 의무 연동
• SecOps posture check 결과를 대시보드 지표로 자동 게시