가상화ㆍ컨테이너 / 보안 / 클라우드

쿠버네티스 보안 강화를 위한 NSA/CISA 가이드 분석

Chris Hughes | CSO 2021.08.25


이를 위한 방법 중 하나는 쿠버네티스 네임스페이스 네이티브 기능을 활용하는 것이다. 기본적으로 세 개의 네임스페이스가 내장되지만,애플리케이션을 위한 네임스페이스를 추가로 생성할 수 있다. 네임스페이스 구조는 격리를 제공할 뿐만 아니라 리소스 정책을 사용해서 스토리지 및 컴퓨팅 리소스를 네임스페이스 수준에서 제한하는 데도 도움이 될 수 있다. 이렇게 하면 전체 클러스터와 클러스터가 지원하는 애플리케이션으로 그 여파가 확산되는 우발적 또는 악의적인 리소스 고갈을 방지할 수 있다. 

네임스페이스는 리소스 격리에 도움이 되고, 네트워크 정책은 포드, 네임스페이스, 외부 IP 주소를 포함한 다양한 구성요소 간의 트래픽 흐름을 제어할 수 있다. 

클라우드 인프라 

가이드의 대부분은 쿠버네티스 클러스터와 핵심 구성요소 보호에 초점을 두지만,클라우드 인프라 자체를 보호해야 한다는 점 역시 강조한다. 쿠버네티스는 클라우드 환경에서 실행되는 가상머신에 배포되는 경우가 가장 많다. 이러한 가상머신을 보호하지 않으면 악의적 행위자가 클러스터와 애플리케이션이 위치하는 인프라를 점유, 탈취 또는 침해하는 경우 기반 클러스터와 애플리케이션에 적용된 온갖 보안 대책이 무용지물이 된다. 

관리자는 클라우드 서비스 업체의 베스트 프랙티스를 준수해서 인프라를 강화하고 클라우드 네이티브 또는 서드파티 툴을 활용해 호스팅 인프라를 보호하고 악의적 활동을 모니터링해야 한다. AWS, 애저, 구글 클라우드 플랫폼과 같은 주요 CSP의 보안 가이드는 출발점으로 삼기에 좋다. 
 

인증과 권한 부여 

IT의 다른 측면과 마찬가지로, 인증과 권한 부여는 쿠버네티스 액세스 보호의 기본적인 부분이다. 이 부분이 까다로운 이유는 사용자 인증이 쿠버네티스에 내장된 기능이 아니라는 사실에 있다. 

쿠버네티스의 사용자 유형은 서비스 계정과 일반 사용자 계정, 두 가지다. 쿠버네티스는 베어러(bearer) 토큰을 사용해 인증을 지원하는데, 이 토큰은 잘 알려진 위치에 저장되는 경우가 많아 클러스터가 보호되지 않는 경우 외부로부터의 공격 목표가 될 수 있다. 

관리자는 역할 기반 액세스 제어(RBAC)를 구현하여 개인에게 역할을 할당하고, 그에 따라 액세스 권한을 부여할 수 있다. 이는 클러스터에서 활성화해야 하며, 관리자는 롤(role)과 클러스터롤(clusterrole)의 네이티브 권한 유형을 사용할 수 있다. 관리자는 역할을 활용하여 특정 네임스페이스와 클러스터롤에 대한 권한을 설정해서 모든 클러스터 유형에 대한 권한을 설정할 수 있다. 
 

로그 감사 

모든 보안 사고 및 위험을 방지하고 완화하기 위한 최선의 노력에도 불구하고 사고는 발생한다. 사고가 발생할 경우 무슨 일이 어떤 경위로 발생했는지 확인하기 위해서는 로깅이 절대적으로 중요하다. 가이드는 각 부분이 정상적으로 작동하는지 확인하고, 그렇지 않을 경우 조사할 수 있도록 하기 위해 로그 감사를 사용할 것을 강조한다. 가이드에는 로깅해야 할 구체적인 활동이 나와 있는데, API 요청, 성능 메트릭, 배포, 네트워크 트래픽, 확장 등이 포함된다. 모든 메트릭은 클러스터의 동작, 그리고 잠재적으로 악의적인 활동이 발생하는 경우 이에 대한 중요한 시야를 제공한다. 

가이드는 감사 기능이 기본적으로 활성화되지 않는다는 점을 강조한다. 또한 복잡하고 동적인 특성을 갖는 쿠버네티스 환경을 지원하는 차세대 SIEM 플랫폼을 사용해야 할 필요성도 강조한다. 
 

업그레이드와 애플리케이션 보안 프랙티스 

가이드에 따르면 클러스터 및 다양한 구성요소를 강화하는 것도 중요하지만, 보안이 거기서 끝나서는 안 된다. 보안 프랙티스와 활동은 서버에서 실행되고 쿠버네티스 환경에 호스팅되는 애플리케이션에도 적용된다. 이 부분에 CIS 벤치마크를 비롯한 업계 가이드가 적용된다. 이 가이드에 나온 조치를 실천하고 클라우드 서비스 업체의 매니지드 쿠버네티스 서비스를 사용하는 것이 도움은 되지만, 궁극적으로는 클러스터에서 실행되는 애플리케이션을 소유하고 책임지는 것은 여러분이다. 따라서 이를 적절히 보호해야 한다. 

쿠버네티스 클러스터와 그 안의 다양한 구성요소, 상주하는 애플리케이션과 기반 클라우드 인프라를 보호하는 것은 힘들고 복잡한 일이다. NSA/CISA 쿠버네티스 강화 가이드가 좋은 출발점이 될 것이다. 잘못된 구성은 클라우드와 쿠버네티스 환경에 큰 위협이 되며, 보안팀은 이에 적절히 대처하여 안전한 도입과 환경을 보장해야 한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.