nodejs에서 credentials 관리하기 (대칭키 알고리즘 + 깃허브 액션)

spam.moon — Thu, 24 Aug 2023 23:17:52 +0900

[흐으으음 ]

nodejs에서는 DB 접속 정보나, 기타 민감 정보 등의 credentials를 어떻게 관리하는 것이 좋을까? 여러가지 좋은 방식들이나 아이디어 들이 있겠지만, 여기서는 '대칭키 알고리즘 + 깃허브 액션 > 시크릿'을 활용해서 CI/CD 환경에 까지 셋팅하는 아이디어 정도를 공유해보고자 한다.

[컨셉]

가장 대표적인 DB Password를 예시로 들어보자.

1. DB 패스워드를 얻었음 ✨ (From, DBA or DevOps or 직접 생성)

2. 보안상 env등 환경 변수 파일에 직접 등록하거나 코드 상에 하드 코딩 할 수는 없으니 고민

3. 나랑 From 말고는 모르게 관리하는 방법 없을까? (+ 팀원도 모르고 키 관리자만 알고 있어야함)

*여기 부터가 진짜ㅎㅎ!@

4. 대칭키로 암호화 (대칭키는 하나의 키로 암복호화가 가능한 암호화 알고리즘)

import crypto from 'crypto';

// 대칭키 생성
const algorithm = 'aes-256-cbc'; // 대칭키 알고리즘
const key = crypto.randomBytes(32); // 32바이트(256비트)의 랜덤 대칭키 생성
const iv = crypto.randomBytes(16); // 초기화 벡터 생성

// 원본 데이터
const originalText = 'DBPASSWORD임~';

// 데이터 암호화
const cipher = crypto.createCipheriv(algorithm, key, iv);
let encryptedData = cipher.update(originalText, 'utf8', 'hex');
encryptedData += cipher.final('hex');

// 데이터 복호화
const decipher = crypto.createDecipheriv(algorithm, key, iv);
let decryptedData = decipher.update(encryptedData, 'hex', 'utf8');
decryptedData += decipher.final('utf8');

// 결과 출력
console.log('원본 데이터:', originalText);
console.log('암호화된 데이터:', encryptedData);
console.log('대칭키 (KEY):', key.toString('base64'));
console.log('초기화 벡터 (IV):', iv.toString('base64'));

5. 대칭키와, IV 값을 'Github Actions > Secrets' 에 등록

6. 'Github Actions' 에서 nodejs 환경 변수로 등록 (on .yml)

- name: Using Gihub Secrets
  id: test
    env:
      DB_PASSWORD_KEY: ${{ secrets.DB_PASSWORD_KEY }}
      DB_PASSWORD_IV: ${{ secrets.DB_PASSWORD_IV }}

7. 애플리케이션 내에서, 아래와 같이 함수화하고 환경변수를 로드하는 방식으로 DB Connector등에 평가하여 사용하면 되겠다~!

export const decrypt = (encryptedData: string, key: string, iv: string) => {
  const algorithm = 'aes-256-cbc';
  const decipher = crypto.createDecipheriv(
    algorithm,
    Buffer.from(key, 'base64'),
    Buffer.from(iv, 'base64'),
  );
  let decryptedData = decipher.update(encryptedData, 'hex', 'utf8');
  decryptedData += decipher.final('utf8');

  return decryptedData;
};

decrypt(
 process.env.DB_PASSWORD,
 process.env.DB_PASSWORD_KEY,
 process.env.DB_PASSWORD_IV,
);

[결론]

사실 해당 방식으로 하더라도 보안 누수점이 존재하기는 한다. 하지만 디플로이 권한이나 실행자 등에 대한 로깅만 잘 되어있다면 추적은 가능할 것이다. 다만 작은 규모의 서비스에서는 해당 방식 정도만 구성 해놓아도 충분히 보안 점수를 높일 수 는 있지 않을까 싶다. 결국 본질은 정보의 의 민감도 및 중요도를 잘 파악하여 적절한 보안을 갖추는 것이 중요함. (AWS Parameter Store 나 비밀키 관리 매니저 등의 서비스를 활용해도 좋음 !!)

하... 개발 블로그는 시작부터 귀찮다...

spam.moon — Mon, 7 Aug 2023 23:25:25 +0900

개발 블로그 왜 해야함?

개발자라면, 누구나 개발 블로그를 작성하는 것을 생각해보곤 한다(?). 그 이유는 장점이 많기 때문이다. (개발자가 블로그를 해야하는 이유 검색해보면... 안하면 거의 붕우유신 됨) "생각의 정리, 개발 경험 자료화, 포트폴리오, 애드센스 수익" 등...

개귀찮.

근데 왜 안해?

하지만 이 좋은걸 막상 시작하려고 하면 다양한 장애물과 난관에 봉착하게 된다. 꾸준함, 부지런함 이런 워딩은 지루하니까 뒷전으로 하자. 일단 기술 변화 및 라이브러리나 프레임워크 업데이트가 너무 빠르니까... 내가 열심히 작성한 글이 금방 레거시 글이 될 수 도 있다는 사실과 구글링해서 열심히 개발 퍼즐 맞추기 게임으로 연명하고 있었는데, 막상 일목요연하게 생각을 정리해서 글을 쓰려니 엄두 조차 내기 힘들다는 여러 잡생각과 진실에 마주하게 된다. 이런 생각을 하다보면, 논리적이고 효율을 추구하는 개발자인 나는 또 이런 생각을 한다. 내가 개발 블로그에 분배하는 시간적 공수, 다른 자기개발에 활용하는 시간적 공수를 비교해봤을때 무엇이 더 양질의 효과를 내고 효율적일까? 이런 고민들을 또 하게 된다.는 개뿔 결국 핑계이고 게을렀다. 앞으로 열심히 써보자...ㅠ (귀찮음, 넷플릭스, 유튜브 쇼츠, 인스타, 맥쭈 안녕...............)

묘귀찮.

아좌좌

억겁의 시간 동안 미루어왔던 블로그를 왜 이번에 시작하느뇨... 나름 열심히 개발 해왔던 개발자라고 생각했는데, "나는 어떤 생각을 갖고 개발하는 개발자 입니다." 라고 설명하라고 하면 어버버. 나의 개발적 특성과 개발 필살기는 뭐냐면 어버버. 나의 강점과 약점, 아이덴티티 조차 한참을 생각해봤는데도 애매한 생각만 둥둥 뜨는 것에 충격을 받았던것 같다. 열심히 해왔건 말건 생각의 정리가 안되어 있으면 결국 스스로 객관화가 안되고 이는 나를 세일즈 할 때 불리한 스탠스를 점 할 수 밖에 없게 되는 것 같다. 생각을 일목요연하게 정리하고, 논리정연하게 글로 표현하는 방법을 연습하기 위해 (응 일단 나를 위해) 블..로..그.. 를 시작해보고자 한다. (과연 이 글을 쓰고 난 후, 언제 귀차니즘을 극복하고 포스팅 할 수 있을꽈ㅎ)

스팸문 - 개발 블로그

nodejs에서 credentials 관리하기 (대칭키 알고리즘 + 깃허브 액션)

하... 개발 블로그는 시작부터 귀찮다...