클러스터 및 애플리케이션 보안Cluster and application security

Kubernetes security essentials를 숙지 하 고 클러스터 및 응용 프로그램 보안 지침에 대 한 보안 설정을 검토 합니다.Familiarize yourself with Kubernetes security essentials and review the secure setup for clusters and application security guidance. Kubernetes 보안은 Kubernetes 클러스터의 분산 된 동적 특성으로 인해 컨테이너 수명 주기 전체에서 중요 합니다.Kubernetes security is important throughout the container lifecycle because of the distributed, dynamic nature of a Kubernetes cluster. 응용 프로그램은 응용 프로그램의 보안을 구성 하는 서비스 체인에서 가장 약한 링크 만큼 안전 합니다.Applications are only as secure as the weakest link in the chain of services that comprise the application’s security.

계획, 학습 및 증명Plan, train, and proof

시작 하는 동안 아래의 security essentials 검사 목록 및 Kubernetes 보안 리소스는 클러스터 운영 및 응용 프로그램 보안을 계획 하는 데 도움이 됩니다.As you get started, the security essentials checklist and Kubernetes security resources below will help you plan for cluster operations and application security. 이 섹션을 완료 하면 다음 질문에 대답할 수 있습니다.By the end of this section, you'll be able to answer these questions:

  • Kubernetes 클러스터의 보안 및 위협 모델을 검토 했습니까?Have you reviewed the security and threat model of Kubernetes clusters?
  • Kubernetes 역할 기반 액세스 제어를 위해 클러스터를 사용할 수 있나요?Is your cluster enabled for Kubernetes role-based access control?

보안 검사 목록:Security checklist:

프로덕션에 배포 및 Kubernetes 보안 모범 사례 적용Deploy to production and apply Kubernetes security best practices

프로덕션을 위해 응용 프로그램을 준비할 때 최소한의 모범 사례 집합을 구현 합니다.As you prepare the application for production, implement a minimum set of best practices. 이 단계에서이 검사 목록을 사용 합니다.Use this checklist at this stage. 이 섹션을 완료 하면 다음 질문에 대답할 수 있습니다.By the end of this section, you'll be able to answer these questions:

  • 수신, 송신 및 pod 내부 통신에 대 한 네트워크 보안 규칙을 설정 해야 하나요?Have you set up network security rules for ingress, egress, and intra-pod communication?
  • 클러스터가 노드 보안 업데이트를 자동으로 적용 하도록 설정 되어 있나요?Is your cluster set up to automatically apply node security updates?
  • 클러스터 및 컨테이너 서비스에 대 한 보안 검사 솔루션을 실행 하 고 있나요?Are you running a security scanning solution for your cluster and container services?

보안 검사 목록:Security checklist:

  • 그룹 구성원 자격을 사용 하 여 클러스터에 대 한 액세스를 제어 합니다.Control access to clusters using group membership. 사용자 id 또는 그룹 구성원 자격을 기반으로 클러스터 리소스에 대 한 액세스를 제한 하도록 Kubernetes Kubernetes RBAC (역할 기반 액세스 제어)를 구성 합니다.Configure Kubernetes role-based access control (Kubernetes RBAC) to limit access to cluster resources based on user identity or group membership. 자세한 내용은 KUBERNETES RBAC 및 AZURE AD id를 사용 하 여 클러스터 리소스에 대 한 액세스 제어를 참조 하세요.For more information, see Control access to cluster resources using Kubernetes RBAC and Azure AD identities.

  • 비밀 관리 정책을 만듭니다.Create a secrets management policy. Kubernetes에서 비밀 관리를 사용 하 여 암호 및 인증서와 같은 중요 한 정보를 안전 하 게 배포 하 고 관리 합니다.Securely deploy and manage sensitive information, such as passwords and certificates, using secrets management in Kubernetes. 자세한 내용은 Kubernetes의 비밀 관리 이해 (비디오)를 참조 하세요.For more information, see Understand secrets management in Kubernetes (video).

  • 네트워크 정책을 사용 하 여 pod 내부 네트워크 트래픽을 보호 합니다.Secure intra-pod network traffic with network policies. 최소 권한의 원칙을 적용 하 여 클러스터에서 pod 간의 네트워크 트래픽 흐름을 제어 합니다.Apply the principle of least privilege to control network traffic flow between pods in the cluster. 자세한 내용은 네트워크 정책을 사용 하 여 pod 내부 트래픽 보호를 참조 하세요.For more information, see Secure intra-pod traffic with network policies.

  • 권한 있는 Ip를 사용 하 여 API 서버에 대 한 액세스를 제한 합니다.Restrict access to the API server using authorized IPs. API 서버에 대 한 액세스를 제한 된 IP 주소 범위 집합으로 제한 하 여 클러스터 보안을 개선 하 고 공격 노출 영역을 최소화 합니다.Improve cluster security and minimize attack surface by limiting access to the API server to a limited set of IP address ranges. 자세한 내용은 API 서버에 대 한 보안 액세스를 참조 하세요.For more information, see Secure access to the API server.

  • 클러스터 송신 트래픽을 제한 합니다.Restrict cluster egress traffic. 클러스터에 대 한 송신 트래픽을 제한 하는 경우 허용할 포트와 주소를 알아봅니다.Learn what ports and addresses to allow if you restrict egress traffic for the cluster. Azure 방화벽 또는 타사 방화벽 어플라이언스를 사용 하 여 송신 트래픽을 보호 하 고 이러한 필수 포트 및 주소를 정의할 수 있습니다.You can use Azure Firewall or a third-party firewall appliance to secure your egress traffic and define these required ports and addresses. 자세히 알아보려면 AKS에서 클러스터 노드에 대 한 송신 트래픽 제어를 참조 하세요.To learn more, see Control egress traffic for cluster nodes in AKS.

  • WAF (웹 응용 프로그램 방화벽)를 사용 하 여 트래픽을 보호 합니다.Secure traffic with Web Application Firewall (WAF). Kubernetes 클러스터에 대 한 수신 컨트롤러로 Azure 애플리케이션 게이트웨이를 사용 합니다.Use Azure Application Gateway as an ingress controller for Kubernetes clusters. 자세한 내용은 Azure 애플리케이션 게이트웨이를 수신 컨트롤러로 구성을 참조 하세요.For more information, see Configure Azure Application Gateway as an ingress controller.

  • 작업자 노드에 보안 및 커널 업데이트를 적용 합니다.Apply security and kernel updates to worker nodes. AKS 노드 업데이트 환경을 이해 합니다.Understand the AKS node update experience. 클러스터를 보호 하기 위해 AKS의 Linux 노드에 보안 업데이트가 자동으로 적용 됩니다.To protect your clusters, security updates are automatically applied to Linux nodes in AKS. 이러한 업데이트는 OS 보안 수정 사항 또는 커널 업데이트를 포함합니다.These updates include OS security fixes or kernel updates. 이러한 업데이트의 일부는 프로세스를 완료하도록 노드를 다시 부팅해야 합니다.Some of these updates require a node reboot to complete the process. 자세히 알아보려면 kured를 사용 하 여 자동으로 노드를 다시 부팅 하 여 업데이트 적용을 참조 하세요.To learn more, see Use kured to automatically reboot nodes to apply updates.

  • 컨테이너 및 클러스터 스캔 솔루션을 구성 합니다.Configure a container and cluster scanning solution. Azure Container Registry에 푸시되는 컨테이너를 검색 하 고 클러스터 노드, 클라우드 트래픽 및 보안 제어에 대해 깊이 있게 파악할 수 있습니다.Scan containers pushed into Azure Container Registry and gain deeper visibility to your cluster nodes, cloud traffic, and security controls.

    자세한 내용은 다음을 참조하세요.For more information, see:

최적화 및 크기 조정Optimize and scale

이제 응용 프로그램이 프로덕션 환경에 있으므로 워크플로를 최적화 하 고 응용 프로그램 및 팀이 확장할 수 있도록 준비 하는 방법Now that the application is in production, how can you optimize your workflow and prepare your application and team to scale? 최적화 및 크기 조정 검사 목록을 사용 하 여 준비 합니다.Use the optimization and scaling checklist to prepare. 이 섹션을 완료 하면 다음 질문에 대답할 수 있습니다.By the end of this section, you'll be able to answer this question:

  • 대규모의 거 버 넌 스 및 클러스터 정책을 적용할 수 있나요?Can you enforce governance and cluster policies at scale?

보안 검사 목록:Security checklist:

  • 클러스터 거 버 넌 스 정책을 적용 합니다.Enforce cluster governance policies. 중앙에서 일관 된 방식으로 클러스터에 대 한 규모 사항을 및 보호 기능을 적용 합니다.Apply at-scale enforcements and safeguards on your clusters in a centralized, consistent manner. 자세한 내용은 Azure Policy를 사용 하 여 배포 제어를 참조 하세요.To learn more, see Control deployments with Azure Policy.

  • 클러스터 인증서를 정기적으로 회전 합니다.Rotate cluster certificates periodically. Kubernetes는 많은 구성 요소를 인증 하는 데 인증서를 사용 합니다.Kubernetes uses certificates for authentication with many of its components. 보안 또는 정책 상의 이유로 이러한 인증서를 정기적으로 회전 하는 것이 좋습니다.You might want to periodically rotate those certificates for security or policy reasons. 자세히 알아보려면 Azure Kubernetes 서비스에서 인증서 회전 (AKS)을 참조 하세요.To learn more, see Rotate certificates in Azure Kubernetes Service (AKS).