Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
클라우드

"기본만 지켜도…" 쿠버네티스 보안 실수 7가지

Ben Hirschberg | InfoWorld 2022.07.28
가장 위험한 보안 구멍은 가장 기본적인 것일 때가 많다. 이러한 기본적인 실수만 고쳐도 쿠버네티스 보안 태세를 개선할 수 있다. 

클라우드 네이티브 애플리케이션을 만들거나 또는 클라우드 네이티브 애플리케이션으로 작업할 때 대부분 ‘쿠버네티스’를 사용한다. 최근 CNCF 보고서에 따르면 기업의 96%가 쿠버네티스를 사용하거나 검토하고 있는 것으로 조사됐다. 쿠버네티스는 이미 전 세계적으로 560만 명의 사용자가 있으며, 전체 백엔드 개발자의 31%에 해당된다. 
 
ⓒGetty Images Bank

쿠버네티스 사용이 매년 늘어나고 민감한 데이터의 양도 증가하면서 공격자의 악용 동기 역시 급증한다. 완전히 새로운 환경을 보호하려는 시도는 어려워 보이겠지만, 상당수의 보안 문제는 비교적 쉽게 고칠 수 있는 기본적인 실수에서 비롯된다. 7가지 쿠버네티스 보안 실수 그리고 이를 해결하는 방법을 살펴본다. 

1. 기본 구성(Default configurations)
많은 사람이 보안 관점에서 기본 클러스터 구성이 충분하다고 가정하지만 이것은 실수다. 쿠버네티스의 기본 설정은 보안 등급이 아니며, 그보다는 개발자의 유연성과 민첩성을 극대화하도록 설계됐다. 사용자는 보안을 위해 클러스터를 적절하게 구성해야 한다. 

2. 여러 관리자(Multiple admins)
여러 엔지니어가 클러스터에서 일상작인 작업을 하면서 높은 권한을 가진 역할(예: 클러스터 관리자(CLUSTER_ADMIN) 등)을 쓸 수 있도록 허용하는 것은 언제나 실수다. 이 역할은 다른 역할 및 사용자를 관리하는 데만 활용돼야 한다. 클러스터 관리자 수준의 액세스 권한을 가진 여러 관리자가 있으면, 시스템에 침입하려는 해커에게 전체 클러스터 액세스 권한을 가진 계정을 ‘많이’ 제공하는 것과 같다. 

3. 액세스 제한 없음(No access restrictions)
많은 관리자가 개발자의 dev/stage/prod 클러스터 액세스 유형 제한을 설정하지 않는다. 모든 개발자가 모든 다른 환경의 전체 액세스 권한이 필요한 건 아니다. 현실적으로 대부분의 개발자가 가져야 하는 유일한 액세스 권한은 로그다. 개발자에게 무제한 액세스를 허용하는 것은 잘못된 관행이다. 관리자가 여러 명 있는 것과 마찬가지로, 이 실수는 해커가 누구의 계정에 접근하든 무제한 액세스를 사용하여 시스템에 침입할 수 있도록 악용될 수 있다. 

4. 격리 가정(Assuming isolation)
클러스터가 네트워크가 나머지 클라우드 VPC와 격리돼 있다는 가정으로 인해 많은 기업이 보안의 필요성을 간과할 수 있다. 부족한 보안은 악의적인 행위자에게 쉬운 진입점을 제공하기 마련이다. 

5. 가져온 YAML 보안 실패(Failure to secure imported YAMLs)
퍼블릭 YAML을 가져오면 시간을 절약할 수 있고, 이미 있는 것을 다시 만드느라 쓸데없이 시간을 낭비할 필요가 없지만 잘못된 환경 구성 문제가 발생할 수 있다. 기업은 자사 환경에 적용하는 모든 YAML의 보안 영향을 인식하고, 가져온 구성 문제를 최대한 빠르게 완화해야 한다. 

6. 컨피그맵에 비밀 저장(Storing secrets in ConfigMaps)
비밀은 암호, 토큰, 키 등의 민감한 데이터를 말한다. 편의를 위해 또는 무지로 이러한 비밀을 컨피그맵에 저장하는 개발자가 많다. 이렇게 되면 컨피그맵 액세스 권한을 얻어 관련 리소스에 액세스할 수 있는 해커에게 민감한 데이터를 노출하는 셈이다. 

7. 정기 검사 없음(No regular scans)
쿠버네티스 환경 내의 문제를 감지할 수 있는 도구나 계획이 없는 회사가 많다. 소프트웨어 개발 수명 주기(SDLC) 및 CI/CD 파이프라인에서 정기적인 잘못된 구성 및 취약점 검사를 시행한다면 이러한 문제가 프로덕션 환경으로 이어질 가능성을 제거하는 데 도움이 된다. 

해커는 열심히 일하기를 원치 않는다. 성공으로 가는 가장 쉬운 길을 찾는다. 이런 간단한 실수를 수정하면 쿠버네티스 보안 태세를 향상하고, 해커가 쉬운 표적을 찾는 일을 방지하며, 더 나은 쿠버네티스 보안을 향해 나아갈 수 있다.
ciokr@idg.co.kr
 Tags 쿠버네티스 클라우드 네이티브 보안 태세 접근 권한 YAML 컨피그맵 애플리케이션 보안 컨테이너
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.