CNCF
  • README.md
  • Cloud Native
    • All
      • CNCF Graduated Projects(Updated: Mar 01, 2024)
    • Kubernetes (*k8s)
      • Certifications
        • CKA, CKAD, CKS - Jan 03 2022
        • Check Badge
        • LF Certification Verify tool
        • Renew policy (Aug 2, 2021)
      • Versions
        • Native-k8s(Ubuntu) - Dec 12 2023
        • Native-k8s(CentOS) - Dec 12 2023
        • Kubernetes version graph view
        • GKE (Google Kuberntes Engine) - Jun 14 2021
      • Volumes
        • GKE PVC Resize
        • Storageclassses Performace on Managed k8s
      • Registry
        • GCR Performance
      • Observability
        • Pixie
      • Architecture
        • kubectl get componentstatuses
        • Feature Gate
        • CNCF 플랫폼 백서(White Paper)
      • Plugins
        • krew
          • custom-index
    • Service Mesh
      • Linkerd
      • Istio
        • Ambient Mesh
          • 이스티오(Istio)의 앰비언트 메시 소개
    • Security
      • Resources
        • kubesec
      • Node
        • AppArmor (under construction)
        • falco (under contruction)
        • docker-bench
      • Cluster
        • OPA / Gatekeeper (under cstrc)
        • Audit Policy
        • kube-bench
      • Container
        • trivy
    • Sustainability
      • 클라우드 네이티브의 지속가능성 랜드스케이프(Cloud Native Sustainability Landscape, v0.1)
  • Trouble Shooting
    • Cluster Build
      • kubelet is not properly working on 1.22 version
  • BLOG & NEWS (Ko, 한국어 기계 번역)
    • Blog
      • None
        • 4개의 쿠버네티스 정책(Policy) 타입(2023.03.23)
      • Member
        • Kubernetes 규정 준수를 위한 필수 가이드(2023.03.24)
        • 클라우드 네이티브 가드레일이 개발 팀에 도움이 되는 5가지 이유(2023.03.20)
        • OpenTelemetry를 이용한 Kafka 기반의 비동기 워크플로우 테스트(2023.04.04)
        • 링커드(Linkerd) 서비스 메시(Service Mesh) 소개(2023.04.06)
        • 쿠버네티스 앱의 분산 추적에 관해서 지금 알면 좋은 사항(2023.03.29)
        • CI/CD 파이프라인에 관측 가능성(observability)을 확보하는 방법(2023.05.05)
      • Community
        • 클라우드 네이티브 컴퓨팅을 위한 플랫폼 백서(White Paper) 소개(2023.04.11)
      • Project
        • KubeVela: 클라우드 네이티브 애플리케이션 및 플랫폼 엔지니어링으로 가는 길(2023.03.31)
        • Volcano Engine: Dragonfly를 통한 효과적인 이미지 배포 가속 방법(2023.04.13)
        • Weave GitOps를 Flux UI로 구현하는 법(2023.04.24)
        • 이스티오(Istio) 앰비언트(Ambient) 웨이포인트 프록시를 통한 사용 간편화(2023.04.26)
      • Ambassador
        • 오픈소스 프로젝트를 위한 ChatGPT 기반 코드 리뷰어 봇(Bot) (2023.06.06)
        • 입문자를 위한 MLOps: MLOps 시작하기 (2023.06.22)
    • News
Powered by GitBook
On this page
  • Kubernetes의 규정 준수 이해
  • 규제 프레임워크 및 표준
  • Kubernetes 공격 표면
  • Kubernetes에서 규정 준수를 달성하기 위한 과제
  • 쿠버네티스에서 규정 준수가 어려운 이유는 무엇인가요?
  • 기존 쿠버네티스 컴플라이언스 솔루션의 한계는 무엇인가요?
  • Kubernetes 컴플라이언스 솔루션의 한계 극복하기
  • 규정 미준수의 결과
  • 결론

Was this helpful?

Kubernetes 규정 준수를 위한 필수 가이드(2023.03.24)

https://www.cncf.io/blog/2023/03/24/an-essential-guide-to-achieving-compliance-with-kubernetes/

한줄 요약: 시간이 가면 갈수록 복잡해 지는 (주로 외부로 노출되는) 쿠버티스를 보호하기 위해서 규정을 잘 준수합시다.

관련 프로젝트: https://github.com/kubescape/kubescape

이 문서는 기계 번역 후에 일부 내용만 다듬었으므로, 보다 정확한 이해를 위해서는 원문을 보는 것이 좋습니다.

게시일: 2023년 3월 24일 (Link)

이 게스트 포스트는 원래 ARMO의 제품 마케팅 책임자인 Oshrat Nir가 ARMO 블로그에 게시한 글입니다.

Kubernetes 규정 준수 과제와 규정 미준수로 인한 결과에 대해 알아보고 동적인 Kubernetes 설정에서 안전하고 규정을 준수하는 클라우드 환경을 유지하는 방법에 대한 지침을 확인하세요.

Kubernetes는 컨테이너화된 애플리케이션의 배포, 확장 및 관리를 자동화하는 선도적인 오픈 소스 플랫폼입니다. 클라우드, 하이브리드 및 멀티클라우드 환경의 채택이 증가함에 따라 Kubernetes 규정 준수에 대한 주제가 점점 더 중요해지고 있습니다. Kubernetes 규정 준수는 플랫폼과 그 구성 요소가 해당 규정과 표준을 준수하도록 보장하는 것을 의미합니다. 최신 클라우드 환경에서 공격 표면이 빠르게 증가함에 따라 Kubernetes 사용자들 사이에서 규정 준수에 대한 강조가 커지고 있습니다.

이 게시물에서는 Kubernetes의 규정 준수에 대해 설명하고, 규정 준수의 어려움에 대해 논의하며, 규정 미준수로 인한 잠재적인 결과에 대해 설명합니다. Kubernetes와 같이 동적이고 임시적인 환경에서 규정 준수를 달성하는 데 따르는 복잡성을 살펴본 후, 안전하고 규정을 준수하는 클라우드 환경의 유지 관리에 관한 인사이트와 지침을 제공합니다.

Kubernetes의 규정 준수 이해

Kubernetes의 규정 준수는 보안, 데이터 프라이버시, 네트워크 보안 및 사고 대응을 포함하여 플랫폼의 다양한 측면에 적용됩니다. Kubernetes의 규정 준수 요구 사항의 목표는 보안 침해 위험을 최소화하고 민감한 데이터를 보호하는 것입니다. 이 섹션에서는 특정 상황에서 Kubernetes에 적용되는 주요 규제 프레임워크 및 표준을 제시하고 Kubernetes 공격 표면의 중요성에 대해 논의합니다.

규제 프레임워크 및 표준

조직의 산업과 위치에 따라 여러 가지 규제 프레임워크와 표준이 Kubernetes에 적용됩니다. 몇 가지 예는 다음과 같습니다:

  • SOC 2: SOC(서비스 조직 제어) 2 프레임워크는 클라우드 기반 서비스를 제공하는 조직에 적용됩니다. 이 프레임워크는 데이터 보안, 가용성, 처리 무결성 및 기밀성 표준을 다룹니다.

  • PCI DSS: 신용카드 업계 데이터 보안 표준(PCI DSS)은 신용카드 정보를 취급하는 조직에 적용되며, 민감한 데이터 보안을 위한 표준을 설정합니다. PCI DSS는 정기적인 보안 평가를 요구합니다.

  • HIPAA: 의료보험 이동성 및 책임에 관한 법률(HIPAA)은 의료 업계 조직에 적용됩니다. 이 법은 액세스 제어, 데이터 암호화, 사고 대응에 대한 요구 사항을 포함하여 환자 데이터 보호와 관련이 있으며, 이러한 요소와 관련된 표준을 수립합니다.

  • NIST SP 800-53: 미국 국립표준기술연구소(NIST)의 특별 간행물(SP) 800-53은 연방 정보 시스템 및 조직의 보안을 규제합니다. 여기에는 사고 대응, 액세스 제어 및 데이터 암호화에 대한 요구 사항이 포함됩니다.

  • GDPR: GDPR(일반 데이터 보호 규정)은 유럽연합 내의 모든 개인에게 적용되는 데이터 보호 및 개인정보 보호에 관한 유럽연합 법률 규정입니다. 데이터 침해 통지 요건, 삭제 권한, 데이터 이동성을 포함한 개인 데이터 보호는 이 규정의 영역 내에 있습니다.

  • ISO 27001: ISO(국제 표준화 기구) 27001은 사고 관리, 액세스 제어 및 데이터 암호화에 대한 요구 사항을 포함하여 정보 보안 위험을 다루는 정보 보안 관리에 대한 국제 표준입니다.

Kubernetes 공격 표면

Kubernetes의 공격 표면은 공격에 취약한 Kubernetes 클러스터의 다양한 영역을 의미합니다. 이러한 영역 또는 공격 표면은 다음과 같이 그룹화할 수 있다:

  • 쿠버네티스 컨트롤 플레인

  • 노드

  • 네트워크

  • 인그레스 컨트롤러, 서비스 메시, 모니터링 솔루션과 같은 애드온

최근 몇 년 동안 수많은 조직에서 Kubernetes를 채택했으며, 그 결과 더 복잡한 아키텍처가 등장했습니다. 이러한 수준의 도입은 또한 멀티클라우드 및 하이브리드 클라우드 환경에 배포되는 Kubernetes 클러스터의 수가 증가함에 따라 공격 표면을 더욱 다양하고 제어하기 어렵게 만들었으며, 공격 표면이 더욱 다양해지고 있습니다. 따라서 조직은 잠재적인 공격으로부터 Kubernetes 스택을 보호하기 위해 강력한 보안 제어와 지속적인 모니터링을 구현해야 합니다.

공격 표면이 크면 당연히 규정 준수를 달성하는 데 어려움이 따릅니다. 공격자는 여러 영역의 취약점을 악용하여 민감한 정보에 액세스하거나 운영을 방해할 수 있습니다.

Kubernetes에서 규정 준수 달성의 과제 클라우드의 아키텍처적 특성과 현재 규정 준수 도구의 한계로 인해 Kubernetes의 규정 준수는 복잡한 문제입니다. 이 섹션에서는 먼저 Kubernetes의 동적이고 임시적인 기능과 관련된 어려움을 논의한 다음 기존 규정 준수 도구의 한계를 살펴본 다음, 어떻게 해야 하는지 제안합니다.

Kubernetes에서 규정 준수를 달성하기 위한 과제

클라우드의 아키텍처 특성과 현재 규정 준수 도구의 한계로 인해 Kubernetes의 규정 준수는 복잡한 문제입니다. 이 섹션에서는 먼저 Kubernetes의 동적이고 임시적인 기능과 관련된 어려움에 대해 논의한 다음 기존 규정 준수 도구의 한계를 살펴보고 이러한 한계를 극복할 수 있는 방법을 제안합니다.

쿠버네티스에서 규정 준수가 어려운 이유는 무엇인가요?

인프라 및 애플리케이션 스택의 결과로, Kubernetes는 컨테이너와 같이 동적이고 확장 가능하며 임시적인 워크로드로 구성된 복잡한 아키텍처를 생성합니다. Kubernetes와 같은 동적이고 임시적인 환경에서 규정 준수를 달성하는 것은 여러 가지 이유로 어려울 수 있으며, 이에 대해 자세히 살펴볼 필요가 있습니다.

복잡한 아키텍처

Kubernetes 클러스터는 일반적으로 마이크로서비스를 사용하는 복잡한 클라우드 네이티브 애플리케이션에 사용됩니다. 아키텍처가 복잡하기 때문에 전체 환경에서 규정 준수가 어렵고, 상호 연결된 여러 구성 요소를 고려해야 할 수도 있습니다.

임시 상태

Kubernetes 클러스터의 파드와 컨테이너는 임시적이므로 일반적으로 빠르고 자주 생성 및 삭제됩니다. 이러한 일시적인 상태는 적절한 감독 없이 리소스를 추가하거나 제거할 수 있기 때문에 전체 스택에서 일관된 규정 준수를 유지하기 어렵게 만듭니다.

전체적인 가시성 부족

Kubernetes는 클러스터와 기본 클라우드 인프라 모두에서 실행되는 애플리케이션으로 복잡한 스택을 생성합니다. 가시성을 개선하기 위해 널리 채택된 도구로는 모니터링을 위한 Prometheus, 시각화를 위한 Grafana, 통합 플랫폼을 만들기 위한 OpenTelemetry와 같은 이니셔티브가 있습니다. 그러나 이러한 도구는 초점이 제한되어 있어 전체적인 가시성을 확보하기 어려운 경우가 많습니다. 이로 인해 규정 준수 문제를 적시에 식별하고 해결하는 데 어려움이 있습니다.

확장성

Kubernetes의 중요한 기능 중 하나는 수요에 따라 리소스를 자동으로 확장할 수 있다는 점입니다. 매력적인 기능이지만 수천 개의 노드가 있는 프로덕션 환경에서 보안 문제를 찾는 것은 쉽지 않습니다.

기존 쿠버네티스 컴플라이언스 솔루션의 한계는 무엇인가요?

Kubernetes는 몇 가지 규정 준수 과제를 안고 있지만, 이 플랫폼은 활발한 오픈 소스 커뮤니티와의 협업을 적극적으로 촉진하고 업계 동향에 발맞춰 나가고 있습니다. 향후 몇 년 내에 Kubernetes에 대한 규정 준수 관리가 개선되고 간소화될 것이라고 가정하는 것이 합리적입니다. 현재 Kubernetes 에코시스템의 규정 준수 솔루션에는 Kubernetes 전용 기능 부족, 제한된 자동화, 제한된 통합 등 몇 가지 한계가 있습니다.

Kubernetes에 특화된 기능 부족

많은 규정 준수 솔루션은 기존 클라우드 인프라 환경을 위해 설계되었습니다. 따라서 사용자 지정 리소스가 포함된 확장 기능이나 RBAC 제어와 같은 Kubernetes 기본 기능을 처리할 수 있는 기능이 제한되어 있습니다.

제한된 자동화

규정 준수를 보장하기 위해 수동 검사 및 감사에 의존하는 규정 준수 솔루션은 시간이 많이 걸리고 오류가 발생하기 쉬운 Kubernetes와 같은 임시 환경에서는 문제가 될 수 있습니다. 또한 자동화와 지속적인 제어가 없으면 Kubernetes에서 규정 준수를 보장하는 것은 부담스러운 일입니다.

제한된 통합

일부 규정 준수 솔루션은 사일로화되어 모니터링, 로깅, 감사, 노드 수준 컨테이너 런타임과 같이 Kubernetes 에코시스템에서 사용되는 다른 도구 및 시스템과 제대로 통합되지 않을 수 있습니다.

Kubernetes 컴플라이언스 솔루션의 한계 극복하기

이러한 한계를 극복하기 위해 조직은 자동화된 규정 준수 검사, Kubernetes 전용 감사, Kubernetes 에코시스템에서 사용되는 다른 도구 및 시스템과의 통합과 같은 기능을 갖춘 Kubernetes 환경을 위해 명시적으로 설계된 규정 준수 솔루션을 채택해야 합니다. 즉, 클라우드 환경을 지원하는 규정 준수 도구에 의존한다고 해서 Kubernetes 클러스터의 규정 준수를 보장하는 충분한 기능이 보장되는 것은 아닙니다.

규정 미준수의 결과

규정 미준수의 결과 Kubernetes 환경에서 규정을 준수하지 않으면 피할 수 있는 위험이 발생하고 다음과 같은 심각한 결과를 초래할 수 있습니다.

  • 보안 취약성: 보안 표준 및 규정을 준수하지 않으면 Kubernetes 환경이 공격과 침해에 노출될 수 있습니다. 이로 인해 민감한 데이터가 손상되어 재정적 손실과 조직의 평판이 손상될 수 있습니다.

  • 규정 준수 처벌: 규정 표준을 준수하지 않는 것으로 밝혀진 조직은 벌금, 법적 책임 및 법적 조치를 받을 수 있습니다.

  • 감사 통과 어려움: 규정을 준수하지 않으면 감사를 통과하고 인증을 유지하기가 어려워져 비즈니스 기회를 잃을 수 있습니다.

  • 인시던트 감지 및 대응의 어려움: 규정을 준수하지 않는 클러스터는 모니터링 및 로깅이 불충분할 수 있으므로 보안 인시던트를 탐지하고 대응하는 데 실패할 수 있습니다.

  • 경쟁 우위 유지에 어려움을 겪습니다: 규정을 준수하지 않을 경우 잠재 고객 및 파트너의 기본 규정 준수 요구 사항을 충족하지 못할 수 있으므로 시장에서 경쟁 우위를 잃을 수 있습니다.

  • 업계 표준의 규정 준수 요건을 충족하는 데 따르는 어려움: 규정을 준수하지 않는 조직은 PCI-DSS, SOC2, HIPAA, NIST와 같은 업계 규정 준수 표준을 충족하는 데 어려움을 겪을 수 있습니다.

이러한 위험과 결과를 완화하기 위해 조직은 정기적인 감사, 자동화된 규정 준수 검사, Kubernetes 환경에 대한 지속적인 모니터링을 포함하는 포괄적인 규정 준수 전략을 채택해야 합니다.

결론

Kubernetes 환경에서의 규정 준수는 복잡하고 지속적인 프로세스입니다. 클러스터의 동적이고 일시적인 특성과 최신 클라우드 환경의 증가하는 공격 표면이 결합되어 일관된 규정 준수 상태를 유지하기가 어렵습니다. 이러한 어려움에도 불구하고 조직은 보안 침해의 위험을 최소화하고 민감한 데이터를 보호하기 위해 규정 준수를 보장해야 합니다. 이를 위해서는 지속적인 모니터링 및 평가, 자동화된 테스트 및 수정, 정책 및 절차에 대한 정기적인 업데이트를 포함하는 포괄적인 접근 방식이 필요합니다.

이러한 과제를 고려할 때, Kubernetes 환경에서는 규정 준수를 우선시하고 높은 규정 준수 표준을 유지하는 데 필요한 리소스와 도구에 투자하는 것이 중요합니다. 즉, 최신 규제 요건과 모범 사례를 최신 상태로 유지하고 규정 준수 프로세스를 자동화하는 데 도움이 되는 솔루션을 도입해야 합니다. Kubescape로 구동되는 ARMO Platform은 모든 Kubernetes 환경에서 규정 준수를 관리할 수 있는 Kubernetes 중심의 종합적인 솔루션입니다. 지금 바로 등록하여 Kubernetes 환경을 보호하고 규제 요건보다 앞서 나가세요.

PreviousMemberNext클라우드 네이티브 가드레일이 개발 팀에 도움이 되는 5가지 이유(2023.03.20)

Last updated 1 year ago

Page cover image