October 2024
Beginner to intermediate
452 pages
10h 12m
Korean
Content preview from 쿠버네티스 창시자에게 배우는 모범 사례 2판
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
389
CHAPTER 19
보안
19.3
워크로드 컨테이너 보안
클러스터 보안의 핵심 컴포넌트를 배웠으니 이제 워크로드 수준의 보안 메커니즘에 대해 알
아보자. 쿠버네티스는 워크로드 배포 시 사용하는 것과 동일한 툴로 구성을 간소화하는 다양
한 보안 관련
API
를 제공한다.
19.3.1
파드 시큐리티 어드미션
파드 시큐리티 어드미션은 워크로드 보안에서 매우 중요한 요소다. 파드 시큐리티 어드미션
을 이용하면 파드를 구성할 때 보안에 민감한 모든 컴포넌트를 구성/관리하고 네임스페이스
나 클러스터 수준에서 즉시 활용 가능한 모범 사례를 적용할 수 있다 (컨테이너와 파드 보안
에 관한 자세한 내용은
10
장 참고).
19.3.2
Seccomp
,
AppArmor
,
SELinux
리눅스 자체도 쿠버네티스에서 실행되는 워크로드의 보안 태세를 강화할 수 있는 다양한 보
안 메커니즘을 제공한다.
Seccomp
은 컨테이너에서 유입된 시스템 호출
syscall
을 제한하는 시
스템 호출 필터링 프로파일을 생성한다. 하지만 아쉽게도
Seccomp
프로파일은 아직 쿠버네
티스 커뮤니티에서 충분히 논의가 진행되지 않아 컨테이너가 시스템 호출에 액세스함으로써
악의적인 목적에 사용될 여지를 남겨 놓았다.
이런 이유로 쿠버네티스 커뮤니티에서
Seccomp
오퍼레이터
3
라는 멋진 툴을 만들었는데, 이
툴을 ...