Cloud Native DevOps with Kubernetes

 

 

Cloud Native DevOps with Kubernetes 간략 기록

 

 

자체 쿠버네티스 호스팅 사용시 고려할 점
컨트롤 플레인의 고가용성을 보장하는가? (마스터 노드의 장애 시 대응 가능)
클러스터의 안전성 (내부 컴포넌트들은 TLS 암호화와 신뢰할 수 있는 인증서를 사용, 사용자와 애플래케이션은 클러스터 작업을 위한 최소한의 권한, 컨테이너의 보안 기본값, 노드에서 컨트롤 플레인 컴포넌트에 불필요한 접근을 하는가?, 내부 etcd 데이터베이스에 대한 접근이 제어되는가? 등등)
클러스터 API 에 대한 접근 제한

컨테이너 이미지 업로드 영역 (안전한 이미지인가?)

 

컨테이너의 보안 기본값 체크 -> 로그 체크 (로그양 체크 및 연구)
* 루트 권한으로 컨테이너 실행 등

k8Guard = 클러스터 정책을 설정하여 성능 모니터링 가능
kube-bench = 쿠버네티스 클러스터가 인터넷 보안센터(CIS)에서 지정한 기준을 따르는지 감사

 

< 쿠버네티스 감사 로깅 >
언제 누가 클러스터에 무엇을 했는지 찾을수 있는 방법 고민?

감사 로깅이 활성화되어 있다면 클러스터 API로의 모든 요청은 타임스탬프, 요청자(서비스계정), 리소스와 같은 요청 세분 내용, 응답 내용이 기록됨

 

< 클러스터 접근 관리 >
클러스터의 접근제한 - 클러스터 운영자와 애플리케이션 개발자 두 그룹으로 나뉨, 업무에 따른 다른 권한 부여가 필수
쿠버네티스의 역할 기반 접근 제어(RBAC_rolebasedaccesscontrol) 시스템을 사용하여 특정 작업을 수행할 사용자 제어
RBAC 확인법 - kubectl describe pod -n kube-system -l component=kubbe-apiserver (--authorization-mode=Node,RBAC  * RBAC가 없다면 비활성 상태)
Role 권한 확인 - kubectl describe clusterrole/edit

 

< 보안스캐닝 >

클레어(Clair - https://github.com/coreos/clair) 는 코어OS 프로젝트에서 개발한 오픈 소스 컨테이너 스캐너로 컨테이너가 실행되기 전에 컨테이너 이미지를 정적으로 분석하는 도구
아쿠아(Aqua) 컨테이너 보안 플랫폼은 컨테이너 보안 취약점, 악성 소프트웨어, 이상 행위를 스캔하며 정책을 잘 적용하고 규정을 준수하도록 돕는 상용 컨테이너 보안 제품
ㄴ 마이크로 스캐너 제공_알려진 보안 취약점 스캔, kube-hunter 제공_쿠버네티스 클러스 자체의 보안 이슈를 검색하기 위해 설계(오픈 포트, 인증서의 이메일 주소 노출 등 탐지)
앵커엔진(AnchoreEngine) 컨테이너 이미지를 스캔하는 오픈 소스 도구로 알려진 보안 취약점과 라이브러리, 구성파일, 파일권한 등 컨테이너 내부에 존재하는 모든 것의 목록을 검사

 

CI(continuous integration) / CD(continuous deployment) = 지속적 통합과 지속적 배포의 조합
* CD는 종종 파이프라인으로 지칭
1. 개발자는 변경한 코드를 깃에 푸시
2. 빌드 시스템은 변경한 코드를 자동으로 빌드하고 테스트
3. 모든 테스트를 통과하면 컨테이너 이미지는 중앙 컨테이너 레지스트리에 푸시
4. 새롭게 빌드된 컨테이너는 자동으로 스테이징 환경에 배포
5. 스테이징 환경은 몇 가지 자동화된 인수 테스트로 수행
6. 검증된 컨테이너 이미지는 상용 환경에 배포

 

 

 

 

 

 

 

- 21.07.15 k8s 기록 -