시크릿 볼트 (Secret Vault)
Logto의 시크릿 볼트 (Secret Vault)는 액세스 토큰 (Access token), API 키, 패스코드 또는 보호가 필요한 기타 기밀 정보를 안전하게 저장하도록 설계되었습니다. 이러한 시크릿은 종종 사용자를 대신하여 타사 서비스에 접근하는 데 사용되므로, 안전한 저장이 필수적입니다.
암호화 방식
민감한 데이터를 보호하기 위해, 시크릿 볼트는 **데이터 암호화 키 (DEK)**와 **키 암호화 키 (KEK)**를 기반으로 한 강력한 암호화 방식을 사용합니다.
- 시크릿별 암호화: 각 시크릿은 고유한 DEK로 암호화되어, 하나의 키가 유출되더라도 다른 시크릿은 안전하게 보호됩니다.
- 키 래핑: DEK 자체는 KEK로 암호화(또는 "래핑")되며, KEK는 시스템에 의해 안전하게 관리 및 저장됩니다.
- 계층적 보안: 이 2단계 접근 방식은 시스템의 일부가 침해되더라도, 공격자가 DEK와 KEK 모두 없이는 시크릿에 접근할 수 없도록 보장합니다.
- 노출 최소화: 시크릿은 반드시 필요할 때만 복호화되어, 우발적 노출 위험을 줄이고 민감한 데이터 처리에 대한 모범 사례를 따릅니다.
이 계층적 암호화 모델은 사용자의 가장 민감한 자격 증명 및 토큰을 강력하게 보호하면서, 필요할 때 안전하게 접근할 수 있도록 합니다.
시크릿 유형
페더레이티드 타사 아이덴티티 제공자 (IdP)가 발급한 액세스 토큰 (Access token) 및 리프레시 토큰 (Refresh token)을 안전하게 저장 및 관리하여, 다운스트림 API 호출에 사용할 수 있습니다.
정보:
현재, 페더레이티드 토큰 세트 (Federated token set)가 기본적으로 지원되는 유일한 시크릿 유형입니다. 그러나 시크릿 볼트 (Secret Vault)는 모든 종류의 민감한 정보를 저장할 수 있도록 설계되었습니다. 추가 시크릿 유형 지원이 필요하다면, 언제든 문의해 주세요 — 기꺼이 도와드리겠습니다.