Udemy CKA 강의 정리 138: Kubernetes Security Primitives

해당 내용은 Udemy의 Certified Kubernetes Administrator (CKA) with Practice Tests 강의를 공부한 내용입니다. 내용을 그대로 번역하기보다는, 제가 이해하기 쉬운 대로 수정한 부분들이 있습니다.

⚠️ 영어 독해가 많이 부족합니다. 틀린 내용이 있으면 알려주시면 감사하겠습니다.

---

이번 강의에서는 Kubernetes의 보안 프리미티브를 살펴봅니다.

쿠버네티스는 production grid applications을 호스팅하기 위한 플랫폼이므로 보안이 가장 중요합니다. 이 강의에서는 쿠버네티스의 다양한 security primitives를 대략적으로 살펴본 후 다음 강의에서 자세히 살펴보겠습니다.

Secure Hosts

클러스터 자체를 구성하는 호스트부터 시작하겠습니다. 물론 이러한 호스트에 대한 모든 액세스는 보호되어야 하고, route 액세스는 비활성화되고, password 기반 인증은 비활성화되고, SSH 키 기반 인증만 사용할 수 있어야 합니다. 그리고 또한 물론 Kubernetes를 호스팅하는 물리적 또는 가상 인프라를 보호하기 위해 취해야 할 다른 조치도 있습니다. 물론 그 인프라가 손상되면 모든 것이 손상됩니다.

Secure Kubernetes

그러나 이 강의에서의 초점은 쿠버네티스 관련 security에 있습니다. 클러스터를 보호하기 위해 어떤 위험이 있으며 어떤 조치를 취해야 합니까? 이미 살펴본 것처럼 kube-apiserver는 Kubernetes 내 모든 작업의 중심에 있습니다. kubectl 유틸리티를 통해 또는 API에 직접 액세스하여 상호 작용하고 이를 통해 클러스터에서 거의 모든 작업을 수행할 수 있습니다. API 서버 자체에 대한 액세스 컨트롤. 이것이 첫 번째 방어선입니다. 

우리는 두 가지 유형의 결정을 내려야 합니다.

- 누가 클러스터에 액세스할 수 있으며

- 무엇을 할 수 있나요?

Authentication

누가 API 서버에 액세스할 수 있는 지는 authentication 메커니즘에 의해 정의됩니다. static file이나 토큰에 저장된 사용자 ID와 password, 인증서 또는 LDAP와 같은 external authentication provider의 통합 등 API 서버에 인증할 수 있는 다양한 방법이 있습니다. 마지막으로 머신의 경우 서비스 계정을 만듭니다. 다음 강의에서 이에 대해 자세히 살펴보겠습니다.

Authorization

클러스터에 대한 액세스 권한을 얻은 후에 수행할 수 있는 작업은 authorization 메커니즘에 의해 정의됩니다. authorization는 사용자가 특정 권한이 있는 그룹에 연결되는 role-based access control을 사용하여 구현됩니다. 또한 attribute-based access control, Node authorizers, webhooks 등과 같은 다른 authorization 모듈이 있습니다. 앞으로 있을 강의에서 이것들을 더 자세히 살펴보도록 하겠습니다.

TLS Certificates

ETCD 클러스터, kube-controller-manager, 스케줄러, API 서버와 같은 다양한 컴포넌트와 Kubelet 및 kube-proxy와 같은 워커 노드에서 실행되는 컴포넌트 간의 클러스터와의 모든 통신은 TLS encryption을 사용하여 보호됩니다. 다양한 컴포넌트 간에 인증서를 설정하는 방법에 대해 살펴보고 연습하는 섹션이 따로 있습니다.

Network Policies

클러스터 내 애플리케이션 간의 통신은 어떻습니까? default로 모든 파드는 클러스터 내의 다른 모든 파드에 액세스할 수 있습니다. 이제 네트워크 정책을 사용하여 그들 사이의 액세스를 제한할 수 있습니다. 나중에 네트워크 정책 섹션에서 정확히 어떻게 수행되는지 살펴보겠습니다.

지금까지 Kubernetes의 다양한 security primitives에 대한 대략적인 개요였습니다. 앞으로 이것들에 대해 훨씬 더 자세히 살펴볼 것입니다.