NSA(National Security Agency, 미국 국가안보국)와 CISA( Cybersecurity and Infrastructure Security Agency, 사이버보안 및 인프라 보안국)은 지속적으로 쿠버네티스 하드닝 가이드를 업데이트하여 기업과 조직이 쿠버네티스 클러스터를 하드닝할 수 있도록 안내하고 있습니다. 클러스터 하드닝은 클러스터에 공격이 이뤄질 경우 피해범위를 축소하는 효과가 있습니다.
쿠버네티스 하드닝을 위해 고려할 사항에 대해 확인해 보겠습니다.
- 취약점과 설정오류 확인을 위해 컨테이너 이미지 및 포드 스캔
- 최소 특권으로 컨테이너와 포드 운영
- 테크니컬 컨트롤을 이용하여 최소 수준의 보안 적용
- 네트워크 분리와 하드닝을 통해 침해로 인한 피해 최소화
- 방화벽을 사용하여 네트워크 연결 제한 및 암호화 적용
- 엄격한 인증 및 인가를 통해 사용자와 어드민의 접근 제한 및 공격표면 최소화
- 로그 감사를 통해 어드민이 활동을 모니터링하고 악의적 행위에 대해 알림 수신
- 모든 쿠버네티스 설정에 대한 주기적 리뷰를 진행하도록 보안 정책 생성 및 취약점 스캐너 활용
NSA 하드닝 점검표 적용
Fairwines 에서 발행한 ‘2024 쿠버네티스 벤치마크 리포트’에서는 NSA 하드닝 점검표에 대한 내용도 살펴보았습니다.
리눅스 하드닝
대부분 워크로드는 애플리케이션을 운영하는데 필요한것 이상 과도한 권한을 가지고 있습니다. 컨테이너의 권한을 최소로 튜닝함으로써 공격자가 워크로드 클러스터에 침입하여 발생하는 침해를 최소화할 수 있습니다.
2024 쿠버네티스 벤치마크 리포트를 살펴보면 33%의 조직이 50%이상의 워크로드에 과도한 권한을 부여하고 있었습니다. 즉, 리눅스 하드닝 모범관행이 적용되지 않았다는 의미이며 하드닝 적용을 위해 워크로드를 살펴볼 필요가 있습니다. 오픈소스 Polaris 정책엔진을 통해 이슈상황을 파악하고 해결할 수 있습니다.
네트워크 정책 부재
쿠버네티스의 네트워크 정책은 다른 포드, IP address, 네임스페이스간의 트래픽 흐름을 관리합니다. 만약 포드에 NetworkPolicy 가 없다면 이그레스와 인그레스 트래픽을 제한하거나, 외부 자원에 대한 접근 혹은 원치않는 다른 포드로부터 접근이 가능해 집니다.
벤치마크 리포트에 따르면 37%의 조직은 워크로드를 보호하는 네트워크 정책을 적용하고 있었습니다. 그러나 58%의 조직이 50% 이상의 워크로드에 네트워크 정책을 설정하지 않은 것으로 조사되었습니다.
악의적인 공격자는 호시탐탐 보안이 부재한 kubeconfig, 클라우드 크리덴셜, 공급망 취약점, 노출된 대시보드, 알려진 보안 취약점을 공격할 기회를 노리고 있습니다. 이런 경로를 통해 침입한 공격자는 시크릿과 민감한 데이터를 탈취하거나 컴퓨터 자원을 몰래 사용하거나 비즈니스 자체를 위협할 수 있습니다.
NSA 하드닝 가이드를 적용함으로써 이런 위협으로부터 비즈니스를 보호할 수 있지만, 빠르게 변하고 진화하는 클라우드/쿠버네티스 환경을 지속적으로 유지보수하는 것은 매우 어려운 일입니다.
Fairwinds Insgiths 와 같은 상용 서비스나 Polaris 와 같은 오픈소스 컴플라이언스 툴을 적용하여 조직은 보다 쉽게 쿠버네티스 클러스터 하드닝을 적용할 수 있고, 잠재된 위협으로부터 시스템을 보호하고 빠르게 규모의 확장에도 적용할 수 있습니다.
NSA 하드닝에 대한 상세한 정보는 2024 쿠버네티스 벤치마크 리포트를 통해 확인할 수 있습니다.
원문출처: K8s Benchmark Report: Are Organizations Meeting NSA Hardening Checks?
참고링크:
쿠버네티스 벤치마크 보고서 2024 — 비용 효율성, 안정성 그리고 보안
