클러스터 및 애플리케이션 보안

Kubernetes 보안 필수 사항을 숙지하고 클러스터 및 애플리케이션 보안 지침에 대한 보안 설정을 검토합니다. Kubernetes 보안은 Kubernetes 클러스터의 분산된 동적 특성으로 인해 컨테이너 수명 주기 전반에 걸쳐 중요합니다. 애플리케이션은 애플리케이션의 보안을 구성하는 서비스 체인에서 가장 약한 링크만큼만 안전합니다.

계획, 학습 및 증명

시작할 때 아래의 보안 필수 사항 검사 목록과 Kubernetes 보안 리소스가 클러스터 운영 및 애플리케이션 보안을 계획하는 데 도움이 될 것입니다. 이 섹션이 끝나면 다음 질문에 답할 수 있습니다.

보안 검사 목록:

• 보안 필수 사항 백서를 숙지합니다. 보안 Kubernetes 환경의 주요 목표는 실행되는 애플리케이션을 보호하고 보안 문제를 신속하게 식별 및 해결할 수 있으며 향후 유사한 문제를 방지하는 것입니다. 자세한 내용은 The Definitive Guide to Securing Kubernetes(백서)를 참조하세요.

• 클러스터 노드에 대한 보안 강화 설정을 검토합니다. 보안이 강화된 호스트 OS는 공격에 대한 노출 영역을 줄이고 컨테이너를 안전하게 배포할 수 있습니다. 자세한 내용은 AKS 가상 머신 호스트의 보안 강화를 참조하세요.

• Kubernetes RBAC(Kubernetes 역할 기반 액세스 제어) 클러스터를 설정합니다. 이 제어 메커니즘을 통해 리소스 만들기 또는 수정, 실행 중인 애플리케이션 워크로드에서 로그 보기 등의 작업을 수행할 수 있는 권한을 사용자 또는 사용자 그룹에 할당할 수 있습니다.

  자세한 내용은 참조하세요.

  • Kubernetes RBAC(Kubernetes 역할 기반 액세스 제어) 이해(동영상)
    
  • Azure Kubernetes Service와 Microsoft Entra ID 통합
    
  • 클러스터 구성 파일에 대한 액세스 제한

프로덕션에 배포하고 Kubernetes 보안 모범 사례 적용

프로덕션을 위해 애플리케이션을 준비할 때 최소 모범 사례 집합을 구현합니다. 이 단계에서 이 검사 목록을 사용합니다. 이 섹션이 끝나면 다음 질문에 답할 수 있습니다.

보안 검사 목록:

• 그룹 멤버 자격을 사용하여 클러스터에 대한 액세스를 제어합니다. 사용자 ID 또는 그룹 멤버 자격을 기반으로 클러스터 리소스에 대한 액세스를 제한하도록 Kubernetes RBAC(Kubernetes 역할 기반 액세스 제어)를 구성합니다. 자세한 내용은 Kubernetes RBAC 및 Microsoft Entra ID를 사용하여 클러스터 리소스에 대한 액세스 제어를 참조하세요.

• 비밀 관리 정책을 만듭니다. Kubernetes의 비밀 관리를 사용하여 암호 및 인증서와 같은 중요한 정보를 안전하게 배포하고 관리합니다. 자세한 내용은 Kubernetes의 비밀 관리 이해(동영상)를 참조하세요.

• 네트워크 정책으로 Pod 내 네트워크 트래픽을 보호합니다. 클러스터의 Pod 간의 네트워크 트래픽 흐름을 제어하기 위해 최소 권한 원칙을 적용합니다. 자세한 내용은 네트워크 정책으로 Pod 내 트래픽 보호를 참조하세요.

• 인증된 IP를 사용하여 API 서버에 대한 액세스를 제한합니다. API 서버에 대한 액세스를 제한된 IP 주소 범위 집합으로 제한하여 클러스터 보안을 개선하고 공격 표면을 최소화합니다. 자세한 내용은 API 서버에 대한 보안 액세스를 참조하세요.

• 클러스터 송신 트래픽을 제한합니다. 클러스터에 대한 송신 트래픽을 제한하는 경우 허용해야 할 포트 및 주소를 알아봅니다. Azure Firewall 또는 타사 방화벽 어플라이언스를 사용하여 송신 트래픽을 보호하고 이러한 필수 포트 및 주소를 정의할 수 있습니다. 자세한 내용은 AKS에서 클러스터 노드의 송신 트래픽 제어를 참조하세요.

• WAF(웹 애플리케이션 방화벽)로 트래픽을 보호합니다. Kubernetes 클러스터의 수신 컨트롤러로 Azure Application Gateway를 사용합니다. 자세한 내용은 Azure Application Gateway를 수신 컨트롤러로 구성을 참조하세요.

• 작업자 노드에 보안 및 커널 업데이트를 적용합니다. AKS 노드 업데이트 환경을 이해합니다. 클러스터를 보호하기 위해 AKS의 Linux 노드에 보안 업데이트가 자동으로 적용됩니다. 이러한 업데이트는 OS 보안 수정 사항 또는 커널 업데이트를 포함합니다. 이러한 업데이트 중 일부는 프로세스를 완료하기 위해 노드를 다시 부팅해야 합니다. 자세한 내용은 kured를 사용하여 노드를 자동으로 다시 부팅하고 업데이트 적용을 참조하세요.

• 컨테이너 및 클러스터 스캐닝 솔루션을 구성합니다. Azure Container Registry로 푸시된 컨테이너를 검사하여 클러스터 노드, 클라우드 트래픽 및 보안 제어에 대한 더 심층적인 가시성을 확보합니다.

  자세한 내용은 다음을 참조하세요.

  • 클라우드용 Defender와 Azure Container Registry 통합
    
  • 클라우드용 Defender와 Azure Kubernetes Service 통합

최적화 및 크기 조정

이제 애플리케이션이 프로덕션 단계에 있으므로 워크플로를 최적화하고 애플리케이션과 팀을 크기 조정하도록 준비하려면 어떻게 해야 할까요? 최적화 및 크기 조정 검사 목록을 사용하여 준비합니다. 이 섹션이 끝나면 다음 질문에 답할 수 있습니다.

보안 검사 목록:

• 클러스터 거버넌스 정책을 적용합니다. 중앙 집중식의 일관된 방식으로 클러스터에 대규모 적용 및 보호 조치를 적용합니다. 자세한 내용은 Azure Policy로 배포 제어를 참조하세요.

• 클러스터 인증서를 주기적으로 교체합니다. Kubernetes는 많은 구성 요소에 대한 인증을 위해 인증서를 사용합니다. 보안 또는 정책상의 이유로 이러한 인증서를 주기적으로 교체하는 것이 좋습니다. 자세한 내용은 AKS(Azure Kubernetes Service)에서 인증서 교체를 참조하세요.