클라우드 네트워크 보안이란 무엇인가요?

네트워크 세분화

네트워크 세분화는 무단 액세스를 제한하고 잠재적인 위협을 차단하며 전반적인 네트워크 성능을 개선하기 위해 네트워크를 더 작고 격리된 세그먼트로 분할하는 방법입니다. 컨테이너화된 환경에서 보안 팀은 다양한 방법을 통해 네트워크 세분화를 달성할 수 있습니다.

네트워크 네임스페이스

네트워크 네임스페이스는 자체 네트워크 인터페이스, 라우팅 테이블 및 방화벽 규칙을 포함하여 각각에 대해 별도의 네트워크 스택을 생성하여 컨테이너 간 격리를 제공합니다. 네트워크 네임스페이스를 활용하면 컨테이너가 서로의 네트워크 구성을 간섭하는 것을 방지하고 필요한 네트워크 리소스로만 가시성을 제한할 수 있습니다.

오버레이 네트워크

오버레이 네트워크는 기존 물리적 네트워크 위에 가상 네트워크 계층을 생성하여 컨테이너가 마치 동일한 네트워크에 있는 것처럼 서로 다른 호스트 간에 통신할 수 있도록 합니다. 컨테이너를 위한 인기 있는 오버레이 네트워크 솔루션으로는 Docker의 기본 제공 오버레이 드라이버, Flannel, Weave가 있습니다.

네트워크 파티션 및 보안 그룹

네트워크 파티션 및 보안 그룹은 논리적 경계를 만들고 특정 방화벽 규칙을 적용하여 세그먼트 간의 트래픽을 제한함으로써 컨테이너 네트워크를 더욱 세분화할 수 있습니다.

트래픽 필터링 및 방화벽 규칙

컨테이너화된 차세대 방화벽은 멀웨어의 클러스터 내 유입 및 확산을 차단하는 동시에 데이터 유출 및 명령 및 제어(C2) 공격에 사용되는 악의적인 아웃바운드 연결을 방지합니다. 시프트-레프트 보안 툴은 알려진 취약점에 대해 구축 시 보호 기능을 제공하지만, 컨테이너화된 차세대 방화벽은 알려지지 않은 취약점과 패치되지 않은 취약점에 대한 보호 기능을 제공합니다.

트래픽 필터링과 방화벽 규칙은 컨테이너 간은 물론 컨테이너와 호스트간의 트래픽 흐름을 제어하는 데 필수적입니다.

송신 및 수신 필터링

아웃그레스 필터링은 컨테이너로부터의 아웃바운드 트래픽을 제어하고, 인그레스 필터링은 컨테이너로의 인바운드 트래픽을 제어합니다. 송신 및 수신 필터링을 적용하면 컨테이너가 외부 위협에 노출되는 것을 제한하고 필요한 서비스만 통신하도록 제한할 수 있습니다.

컨테이너 트래픽에 방화벽 규칙 적용하기

방화벽 규칙은 호스트, 컨테이너, 네트워크 수준 등 다양한 수준에서 적용할 수 있습니다. 예를 들어 Linux iptables 또는 방화벽을 사용하여 컨테이너 트래픽을 관리하고 무단 액세스 및 악의적인 활동으로부터 인프라를 보호하는 규칙을 만들 수 있습니다.

부하 분산 및 트래픽 라우팅

로드 밸런싱과 트래픽 라우팅은 여러 컨테이너에 트래픽을 분산하고 애플리케이션의 고가용성을 보장하는 데 중요합니다. HAProxy, NGINX 또는 Kubernetes의 기본 제공 서비스와 같은 솔루션을 사용하여 미리 정의된 규칙과 상태 확인에 따라 트래픽을 적절한 컨테이너로 라우팅할 수 있습니다.

암호화 및 보안 통신

컨테이너 간, 컨테이너와 호스트 간의 통신을 암호화하고 보호하는 것은 중요한 데이터를 보호하고 애플리케이션의 무결성을 유지하는 데 필수적입니다.

컨테이너 트래픽을 위한 전송 계층 보안(TLS)

TLS는 네트워크를 통해 전송되는 데이터에 대한 암호화 및 인증을 제공합니다. 컨테이너 트래픽에 TLS를 구현하면 컨테이너 간, 컨테이너와 호스트 간에 전송되는 데이터를 암호화하여 도청이나 변조로부터 데이터를 안전하게 보호할 수 있습니다. OpenSSL 또는 Let's Encrypt와 같은 도구를 사용하여 컨테이너에 대한 TLS 인증서를 생성하고 관리하면 됩니다.

컨테이너 간 통신 보안 유지

컨테이너 간의 통신을 보호하기 위해 Docker의 기본 제공 암호화된 네트워크와 같은 컨테이너 네이티브 솔루션을 사용하거나 컨테이너에 API 인식 네트워크 보안을 제공하는 Cilium과 같은 타사 도구를 사용할 수 있습니다. 이러한 솔루션을 사용하면 컨테이너 간 트래픽에 대한 암호화, 인증, 권한 부여를 구현할 수 있습니다.

컨테이너와 호스트 간 통신 보안 유지

컨테이너와 호스트 간의 안전한 통신을 보장하려면 SSH 또는 TLS로 보호되는 API와 같은 호스트 수준의 암호화 및 인증 메커니즘을 사용하여 컨테이너 관리 인터페이스 및 데이터 스토리지 시스템에 대한 액세스를 제어할 수 있습니다.

쿠버네티스 네트워크 보안

네트워크 정책

네트워크 정책은 클러스터 내부 및 클러스터와 외부 네트워크 간의 트래픽 흐름을 제어할 수 있는 쿠버네티스의 핵심 기능입니다. 최신 도구를 사용하면 보안 팀에서 특정 마이크로서비스에 액세스할 수 있는 사람과 항목을 기본적으로 결정하는 정책을 정의할 수 있습니다. 조직은 이러한 정책을 정의하고 고도로 분산된 컨테이너 애플리케이션 환경 전반에서 일관되게 유지 관리할 수 있는 프레임워크가 필요합니다.

네트워크 정책 정의 및 적용

쿠버네티스 네트워크 정책은 파드, 서비스, 네임스페이스와 같은 구성 요소 간에 허용되는 트래픽을 지정하는 YAML 파일을 사용하여 정의된다. 일단 정의되면, 이러한 정책은 Calico 또는 Cilium과 같이 쿠버네티스 네트워크 정책 API를 지원하는 네트워크 플러그인을 사용하여 적용할 수 있습니다.

트래픽 화이트리스트 및 블랙리스트

네트워크 정책을 사용하여 파드 레이블, IP 주소 또는 네임스페이스 등의 기준에 따라 클러스터 구성 요소 간의 트래픽을 화이트리스트 또는 블랙리스트에 추가할 수 있습니다. 이를 설정하면 어떤 서비스가 서로 통신할 수 있는지 제어하고 민감한 데이터나 리소스에 대한 무단 액세스를 방지할 수 있습니다.

네임스페이스 격리 및 세분화

네임스페이스 수준에서 네트워크 정책을 적용하면 클러스터 내에서 애플리케이션 또는 환경을 격리하고 세분화하여 필요한 구성 요소로만 트래픽을 제한하고 잠재적인 보안 위험을 방지할 수 있습니다.

인그레스 및 아웃그레스 제어

수신 및 송신 트래픽을 제어하는 것은 Kubernetes 클러스터로 들어오고 나가는 데이터의 흐름을 관리하고 외부 위협으로부터 클러스터를 보호하는 데 매우 중요합니다.

인그레스 컨트롤러 및 부하 분산

쿠버네티스의 인그레스 컨트롤러는 미리 정의된 규칙에 따라 클러스터 내의 적절한 서비스로의 외부 트래픽 라우팅을 관리합니다. 로드 밸런싱은 기본 제공 Kubernetes 서비스 또는 NGINX 및 HAProxy와 같은 타사 솔루션을 통해 달성할 수 있습니다. 이러한 솔루션을 사용하면 경로, 호스트 또는 헤더와 같은 기준에 따라 트래픽을 라우팅할 수 있습니다. 또한 TLS 종료 및 기타 보안 기능을 제공할 수 있습니다.

인그레스 액세스 모범 사례

• 모든 네임스페이스에 대해 모두 거부 정책을 적용하여 기본 "모든-모든-모든 허용" Kubernetes 정책을 수정하세요.
• 로드 밸런서 또는 인그레스가 연결되지 않은 경우 서비스가 외부 IP에서 직접 들어오는 트래픽을 수락하지 못하도록 합니다. 로드 밸런서 또는 인그레스로부터 들어오는 트래픽만 허용합니다.
• 서비스의 요구 사항에 따라 특정 프로토콜 및 포트로 트래픽을 제한합니다(예: 웹 서비스의 경우 HTTP/HTTPS, DNS 서비스의 경우 UDP 53).
• 동일한 네임스페이스에 있든 다른 네임스페이스에 있든 이를 소비하는 다른 서비스(파드)의 트래픽만 허용합니다.
• 다른 네임스페이스의 파드에서 인그레스 정책을 생성하려면 네임스페이스에 레이블을 추가합니다.

송신 트래픽 관리

데이터 유출을 방지하고 아웃바운드 연결이 필요한 대상으로만 제한되도록 하려면 Kubernetes 클러스터의 이그레스 트래픽을 제어하는 것이 필수적입니다. 파드 또는 네임스페이스에서 아웃바운드 트래픽에 대한 규칙을 정의할 수 있는 이그레스 네트워크 정책을 사용하여 이를 달성할 수 있습니다. 또한, 이그레스 게이트웨이 또는 Squid와 같은 프록시 솔루션을 사용하여 클러스터에서 아웃바운드 트래픽을 제어하고 모니터링할 수 있습니다.

이그레스 액세스 모범 사례

• 마이크로서비스에서사용하는 각 외부 서비스의 필요성을 파악하세요. Prisma Cloud Compute Defender와 같은 제품은 마이크로서비스가 관여하는 외부 흐름을 식별하는 데 도움이 될 수 있습니다.
• 쿠버네티스 네트워크 정책은 IP 주소만 지원하므로, 파드가 고정 IP 주소 없이 DNS(FQDN) 이름에 연결해야 하는 경우 외부 방화벽이나 프록시를 사용한다.
• 외부 연결이 필요하지 않은 파드의 아웃바운드 트래픽을 차단하여 데이터 유출이나 악성 바이너리 다운로드의 위험을 줄이세요.
• 외부 종속성이 없는 경우 블록 이그레스 정책을 적용하되, 이그레스 정책을 적용할 때 Kubernetes DNS 서비스와 같은 필수 서비스가 연결된 상태를 유지하도록 하세요.

ID 기반 마이크로 세그먼테이션은 레이어 3과 레이어 4에서 애플리케이션 간의 통신을 제한하고 컨테이너화된 차세대 방화벽은 레이어 7 심층 패킷 검사를 수행하고 허용된 모든 트래픽을 스캔하여 알려진 위협과 알려지지 않은 위협을 식별 및 방지합니다.

DNS 정책 및 보안

DNS는 클러스터 내의 서비스 및 기타 구성 요소에 대한 이름 확인을 제공하기 때문에 쿠버네티스 네트워크에 필수적인 요소입니다. DNS 스푸핑 또는 캐시 중독과같은 공격을 방지하기 위해 DNS 인프라의 보안과 무결성을 보장하세요.

쿠버네티스는 클러스터 내에서 DNS 확인 동작을 제어하기 위한 기본 제공 DNS 정책을 제공하며, 외부 DNS 공급자 또는 DNSSec과 같은 DNS 보안 솔루션을 사용하여 DNS 인프라의 보안을 강화할 수도 있습니다.

서비스 메시 및 네트워크 암호화

서비스 메시는 마이크로서비스 및 컨테이너화된 애플리케이션을 위한 트래픽 라우팅, 부하 분산, 보안 등의 고급 네트워킹 기능을 제공하는 전용 인프라 계층입니다.

서비스 메시 구현하기

Istio 및 Linkerd와 같은 서비스 메시 솔루션을 Kubernetes 클러스터와 통합하여 고급 네트워킹 기능을 제공하고 컨테이너화된 애플리케이션의 보안을 강화할 수 있습니다. 이러한 솔루션은 상호 TLS, 액세스 제어, 트래픽 암호화 등의 기능을 제공하여 애플리케이션, 특히 마이크로서비스를 다양한 보안 위협으로부터 보호할 수 있습니다.

안전한 통신을 위한 상호 TLS(mTLS)

상호 TLS(mTLS)는 보안 연결을 설정하기 전에 클라이언트와 서버가 서로의 신원을 인증하는 보안 프로토콜입니다. 클라이언트가 서버만 인증하는 기존 TLS와 달리, mTLS는 클라이언트에게 인증서를 제시하도록 요구하여 보안 계층을 추가합니다. 추가된 요구 사항은 양 당사자가 모두 본인이 맞는지 확인하여 무단 액세스, 데이터 유출 및 중간자 공격을 방지하는 데 도움이 됩니다.

네트워크 트래픽의 관찰 가능성 및 제어

또한 서비스 메시 솔루션은 네트워크 트래픽에 대한 관찰 가능성과 제어 기능을 제공하므로 애플리케이션의 성능과 보안을 거의 실시간으로 모니터링할 수 있습니다. 무단 액세스, 비정상적인 트래픽 패턴 및 기타 잠재적인 보안 문제를 조기에 식별하면 위험을 완화하기 위해 조기에 수정 조치를 취할 수 있습니다.

트래픽 및 민감한 데이터 암호화

클러스터 내 데이터의 기밀성과 무결성을 보장하려면 내부 및 외부 통신 모두에 암호화 기술을 구현하는 것이 필수적입니다.

호스트 간 통신 암호화를 위한 IPsec

IPsec은 모든 마스터 호스트와 노드 호스트 간의 통신을 암호화하여 클러스터 트래픽을 보호합니다. IPsec 오버헤드를 염두에 두고 클러스터 내에서 IPsec 통신을 사용하도록 설정하려면 컨테이너 오케스트레이션 설명서를 참조하세요. 필요한 인증서를 관련 인증서 데이터베이스로 가져오고 클러스터의 호스트 간 통신을 보호하는 정책을 만듭니다.

IPsec 오버헤드에 대한 최대 전송 단위(MTU) 구성하기

IPsec 헤더 오버헤드를 수용하도록 경로 또는 스위칭 MTU를 조정하세요. 예를 들어, 클러스터가 최대 전송 유니짓(MTU)이 1500바이트인 이더넷 네트워크에서 작동하는 경우, IPsec 및 SDN 캡슐화 오버헤드를 고려하도록 SDN MTU 값을 수정합니다.

클러스터에서 API 통신을 위한 TLS 활성화

쿠버네티스는 클러스터 내의 API 통신이 기본적으로 TLS를 사용하여 암호화된다고 가정합니다. 대부분의 설치 방법은 클러스터 구성 요소에 요구 사항 인증서를 생성하고 배포합니다. 하지만 일부 컴포넌트와 설치 방법에서는 HTTP를 통해 로컬 포트를 사용할 수 있다는 점에 유의하세요. 관리자는 각 구성 요소의 설정에 대한 정보를 지속적으로 파악하여 잠재적으로 안전하지 않은 트래픽을 식별하고 해결해야 합니다.

쿠버네티스 컨트롤 플레인 보안

특히 쿠버네티스 클러스터의 컨트롤 플레인은 공격의 주요 표적입니다. 보안을 강화하려면 다음 구성 요소를 검사하고 적절한 구성을 통해 강화하세요:

• 노드와 그 경계
• 마스터 노드
• 핵심 구성 요소
• API
• 공개형 포드

Kubernetes의 기본 구성은 일정 수준의 보안을 제공하지만, 모범 사례를 채택하면 워크로드 및 런타임 통신을 위해 클러스터를 강화할 수 있습니다.

네트워크 정책(방화벽 규칙)

쿠버네티스의 플랫 네트워크는 기본적으로 모든 구축이 네임스페이스 간에도 다른 구축에 도달할 수 있도록 합니다. 이렇게 파드 간에 격리되지 않으면 손상된 워크로드가 다른 네트워크 구성 요소에 대한 공격을 시작할 수 있습니다. 네트워크 정책을 구현하면 격리 및 보안을 제공할 수 있습니다.

파드 보안 정책

쿠버네티스는 기본적으로 다양한 안전하지 않은 구성으로 파드를 실행할 수 있도록 허용한다. 예를 들어 호스트에서 루트 권한이 있는 권한 있는 컨테이너를 실행하는 것은 호스트의 네임스페이스 및 파일 시스템을 사용하거나 호스트의 네트워킹을 공유하는 것과 마찬가지로 위험성이 높습니다. 관리자는 파드 보안 정책을 통해 클러스터에 구축을 허용하기 전에 파드의 권한과 권한을 제한할 수 있다. 네트워크 정책을 사용하여 의존적이지 않은 파드가 서로 통신하지 못하도록 격리하면 침해 발생 시 컨테이너 간 측면 이동을 방지하는 데 도움이 됩니다.

비밀 암호화

쿠버네티스의 기본 배포는 기본적으로 미사용 시크릿을 암호화하지 않습니다(GKE와 같은 관리형 서비스는 암호화하지만). 공격자가 키-값 저장소(일반적으로 Etcd)에 액세스하면 암호화되지 않은 비밀을 포함하여 클러스터의 모든 항목에 액세스할 수 있습니다. 클러스터 상태 저장소를 암호화하면 미사용 데이터 유출로부터 클러스터를 보호할 수 있습니다.

역할 기반 액세스 제어

RBAC는 Kubernetes 전용은 아니지만 클러스터 손상을 방지하려면 올바르게 구성해야 합니다. RBAC를 사용하면 파드 또는 사용자가 액세스할 수 있는 클러스터의 구성 요소를 세밀하게 제어할 수 있습니다. 클러스터 내에서 사용자와 파드가 보고, 업데이트하고, 삭제하고, 생성할 수 있는 것을 제한함으로써 RBAC는 침해로 인한 잠재적 피해를 제한하는 데 도움이 됩니다.

가상 패치를 통한 컨트롤 플레인 보안 해결

컨트롤 플레인에 대한 관리자 수준의 액세스를 최소화하고 API 서버가 공개적으로 노출되지 않도록 하는 것이 가장 중요한 보안 기본 사항입니다.

DevOps 및 SecOps 팀은 애플리케이션 패키지의 취약점을 식별할 수 있지만 이러한 위험을 완화하는 데는 시간이 걸립니다. 취약한 패키지는 구축 전에 교체하거나 패치 및 테스트를 거쳐야 하므로 문제가 해결될 때까지 환경이 노출됩니다. Prisma Cloud와 같은 솔루션은 각 워크로드에 대한 취약성 매핑을 자동화하여 알려진 취약성에 대한 가상 패치를 제공합니다. 이 솔루션은 WAAS 구성 요소를 활용하여 트래픽 검사 정책을 조정하여 원격 HTTP 기반 익스플로잇을 탐지하고 차단합니다.

컨테이너와 쿠버네티스를 위한 네트워크 보안 모범 사례

논의된 영역을 요약하면, 다음 모범 사례는 팀이 네트워크 기반 위협으로부터 컨테이너화된 애플리케이션과 데이터를 보호할 수 있는 체크리스트 역할을 합니다.

네트워크 트래픽 모니터링 및 로깅

보안 인시던트를 감지 및 대응하고 컨테이너화된 환경의 전반적인 상태를 유지하려면 네트워크 트래픽을 면밀히 주시하는 것이 가장 중요합니다.

중앙 집중식 로깅 및 모니터링 솔루션

컨테이너 및 Kubernetes 환경을 위한 중앙 집중식 로깅 및 모니터링 솔루션(예: ELK Stack, Prometheus 또는 Prisma Cloud)을 구현하면 다양한 영역에서 네트워크 트래픽 데이터를 수집, 분석, 시각화하는 데 도움이 됩니다. 중앙 집중식 데이터 인텔리전스에 쉽게 액세스하면 추세를 파악하고 이상 징후를 감지하며 인프라의 성능과 보안에 대한 인사이트를 얻을 수 있습니다.

보안 인시던트 탐지 및 대응

네트워크 트래픽을 모니터링하고 비정상적이거나 의심스러운 활동에 대한 경고를 설정하면 무단 액세스, 데이터 유출 및 기타 악의적인 활동과 관련된 사고를 신속하게 탐지하고 대응할 수 있습니다. 보안 팀은 영향을 받는 구성 요소를 격리하거나 악성 IP를 차단하거나 방화벽 규칙을 적시에 업데이트하는 등 적절한 조치를 취할 수 있는 역량을 갖추고 있습니다.

네트워크 트래픽 시각화 및 분석

네트워크 트래픽 데이터를 시각화하고 분석하면 잠재적인 보안 위험을 나타낼 수 있는 패턴과 추세를 파악하는 데 도움이 됩니다. Kibana, Grafana 또는 사용자 정의 대시보드와 같은 도구를 사용해 네트워크 트래픽을 시각적으로 표현하여 이상 징후를 발견하고 보안 인시던트를 보다 효과적으로 조사할 수 있습니다.

보안 네트워크 구성

네트워크 구성을 강화하고 강력한 액세스 제어를 구현하는 것은 보안 위협으로부터 컨테이너와 Kubernetes 환경을 보호하는 데 필수적입니다.

호스트 및 클라우드 네트워크 설정 강화

환경의 보안을 유지하려면 컨테이너 호스트와 개별 컨테이너 모두에 대해 안전한 네트워크 구성을 보장해야 합니다. 사용하지 않는 네트워크 서비스를 비활성화하고, 네트워크 액세스를 필요한 구성 요소로만 제한하고, 호스트 운영 체제 및 컨테이너 런타임에 보안 패치와 업데이트를 적용하는 것이 필수적인 조치입니다.

네트워크 액세스 제어 및 인증

무단 액세스를 방지하고 컨테이너와 쿠버네티스 환경의 무결성을 유지하려면 강력한 액세스 제어 및 인증 메커니즘을 구현하는 것이 필수적입니다. 주요 조치로는 역할 기반 액세스 제어(RBAC)를 활용하여 Kubernetes에서 사용자 권한을 관리하고, 다중 인증(MFA)을 통합하고, VPN 또는 방화벽과 같은 네트워크 보안 솔루션을 사용하여 사용자 환경에 대한 액세스를 제한하는 것이 있습니다.

정기적인 네트워크 보안 평가

정기적인 네트워크 보안 평가(취약성 스캔, 침투 테스트, 보안 감사)는 컨테이너 및 Kubernetes 환경의 잠재적인 약점을 식별하는 데 있어 필수입니다. 이러한 평가의 주요 측면에는 네트워크 구성, 방화벽 규칙 및 보안 정책을 검사하여 업계 모범 사례 및 규정 준수 요구 사항을 준수하는지 확인하는 것이 포함됩니다.

이러한 모범 사례를 따르고 효과적인 네트워크 보안 조치를 구현하면 잠재적인 네트워크 기반 위협으로부터 컨테이너 및 Kubernetes 환경을 강화하고 애플리케이션과 데이터의 안전과 무결성을 보장할 수 있습니다.

클라우드 네트워크 보안 FAQ