[KCSA] 보안 (Security)

Chat GPT를 이용하여 Kubernetes 공식 문서 중 보안(Security) 섹션 내용을 이해하기 쉽게 한글로 번역 하였습니다. 

 

---

🔐 보안 (Security)

클라우드 네이티브 워크로드를 안전하게 운영하기 위한 개념들

이 문서는 Kubernetes 클러스터와 워크로드(앱) 를 보다 안전하게 실행하기 위해 꼭 알아야 할 보안 요소들을 다뤄.
Kubernetes는 클라우드 네이티브 아키텍처 기반이며, CNCF(Cloud Native Computing Foundation)의 보안 모범 사례를 바탕으로 보안 기능들이 설계되어 있어.

📚 더 깊이 있는 보안 개요를 알고 싶다면
👉 Cloud Native Security and Kubernetes 문서를 참고해!

---

🛡️ Kubernetes 보안 메커니즘

Kubernetes는 다음과 같은 보안 기능과 정책 도구를 제공해:

---

1. 🧭 컨트롤 플레인 보호

• Kubernetes 클러스터의 가장 핵심적인 보안 요소는 Kubernetes API에 대한 접근 제어야.
• TLS(전송 계층 보안) 를 사용해서:
  • 컨트롤 플레인 내부,
  • 클라이언트와 컨트롤 플레인 간 통신을 암호화해야 해.
• 또한, Kubernetes 내부에 저장되는 데이터에 대해 암호화 at rest(저장 중 암호화)를 설정할 수도 있어.
  • ⚠️ 참고: 이는 워크로드(앱)의 데이터 암호화와는 별개의 설정이야.

---

2. 🔑 Secrets

• Secret API는 비밀번호, 토큰, API 키처럼 민감한 설정값을 안전하게 저장하고 사용하는 방법을 제공해.
• 기본적인 보안 보호 수단이지만, 반드시 암호화 설정과 함께 쓰는 게 좋아.

---

3. 🧱 워크로드 보호

• Pod Security Standards를 통해 Pod과 컨테이너의 보안 수준을 정할 수 있어.
• 필요하다면 RuntimeClass를 사용해 고유한 격리 방식도 적용할 수 있어.
• NetworkPolicy를 사용하면 Pod 간, 또는 Pod과 외부 간의 네트워크 트래픽을 제어할 수 있어.
• 오픈소스 생태계의 다양한 보안 도구를 함께 활용해 Pod, 컨테이너, 이미지에 대한 탐지 및 예방 보안 기능을 추가할 수 있어.

---

4. ⚙️ Admission Control

• Admission Controller는 Kubernetes API로 들어오는 요청을 가로채서 검증하거나 수정하는 플러그인이야.
• 예를 들어, 누군가 위험한 설정으로 Pod을 생성하려 할 때 이를 거부하거나 수정할 수 있어.
• 이 컨트롤러를 잘 설계하면, API 변경이나 Kubernetes 버전 업그레이드 시에도 문제가 줄어들어.
• 👉 참고: Admission Webhook Best Practices

---

5. 🕵️ 감사 로그 (Auditing)

• Audit Logging은 클러스터에서 발생한 일들을 시간순으로 기록하는 기능이야.
• 사용자, 애플리케이션, Kubernetes 자체의 활동들을 모두 기록해서, 보안 침해 발생 시 추적이 가능하게 해줘.

---

6. ☁️ 클라우드 제공자의 보안 가이드

• 아래 항목은 Kubernetes 외부 공급자(클라우드 벤더)에 대한 내용이야.
• Kubernetes 자체 팀은 이들 도구나 서비스에 대한 책임은 없다는 점 참고해!

만약 자체 하드웨어, 혹은 다른 클라우드 제공자에서 Kubernetes를 운영 중이라면, 해당 클라우드의 보안 가이드라인을 꼭 확인하자.

 

https://kubernetes.io/docs/concepts/security/