February 2021
Beginner to intermediate
252 pages
5h 36m
Korean
Content preview from 컨테이너 보안: 컨테이너화된 응용 프로그램의 보안을 위한 개념, 이론, 대응법과 모범 관행까지
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
제
10
장
컨테이너 네트워크 보안
192
괴할 때마다 규칙들을 다시 작성해야 한다. 따라서 사람이 손으로 규칙들을 작성하는 것은 사
실상 불가능하다. 현실적인 대안은 규칙 생성을 자동화하는 것뿐이다.
10.7.1
여러 가지 네트워크 정책 솔루션
그런 자동화에 사용할 만한 도구는 어떤 것이 있을까? 쿠버네티스에는 앞에서 언급한
NetworkPolicy
객체가 있지만, 쿠버네티스는 이 객체의 사용을 강제하지 않는다. 이 객체는
이 객체를 지원하는 네트워크 플러그인 (
https
://
oreil
.
ly
/
Bv
_
JG
)을 사용할 때만 효과를 낸다.
일부 네트워크 플러그인은 더 유연하거나 관리가 쉬운 상용 버전으로 업그레이드하는 옵션도
제공한다.
일부 상용 컨테이너 보안 플랫폼은 쿠버네티스 네트워크 플러그인과 본질적으로 같은 일을
하지만 플러그인의 형태로 직접 설치되지는 않는 컨테이너 방화벽을 제공한다. 특정 컨테이너
이미지가 정상적으로 작동할 때의 예상 트래픽을 학습해서 정책을 자동으로 생성하는 기능을
갖춘 솔루션도 있다.
10.7.2
네트워크 정책 모범 관행
네트워크 정책을 생성·관리·강제하는 데 사용하는 도구가 무엇이듯, 다음과 같은 모범 관행
들을 따르는 것이 좋다.
모든 진입 트래픽을 기본적으로 거부
최소 권한 원칙에 따라, 각 이름공간에 모든 진입 (
ingress
; 들어오는 ) 트래픽을 기본적으로
거부하는 정책 (
https
://
oreil
.
ly
/
L6OjC
)을 설정하고 꼭 필요한 진입 트래픽만 허용하는 정책
들을 추가한다.
모든 진출 트래픽을 ...