주요 10가지 쿠버네티스 보안 문제"

사실상의 컨테이너 오케스트레이션 플랫폼인 쿠버네티스는 조직이 컨테이너화된 애플리케이션을 배포, 확장 및 관리하는 방식을 혁신했습니다. 막대한 성능과 유연성을 제공하지만, 내재된 복잡성과 동적 특성으로 인해 여러 보안 문제가 발생합니다. Kubernetes 클러스터가 여러 노드에 걸쳐 다양한 워크로드를 호스팅함에 따라 보안 유지가 어려운 과제가 되었습니다.

이 글에서는 일반적인 쿠버네티스 보안 문제점을 살펴보고 이를 해결하기 위한 실행 가능한 전략을 제시합니다.

Kubernetes 보안의 필요성

기업들이 워크로드를 Kubernetes로 전환함에 따라,

2023년 클라우드 네이티브 컴퓨팅 재단(CNCF) 설문조사에 따르면 응답자의 93%가 지난 1년간 최소 한 건의 쿠버네티스 보안 사고를 경험했으며, 78%는 자사의 보안 상태에 대한 확신이 부족하다고 답했습니다. 별도의 아쿠아 시큐리티(Aqua Security) 보고서는 동일한 기간 동안 프로덕션 환경에서 쿠버네티스를 운영하는 조직의 무려 90%가 보안 사고를 겪었다고 밝혔습니다.

최근 발생한 주요 사건들은 강력한 쿠버네티스 보안 조치의 중요성을 부각시켰습니다. 2018년에는 테슬라의 쿠버네티스 콘솔이 침해당하여 민감한 데이터가 노출되고 암호화폐 채굴을 위한 컴퓨팅 자원이 무단 사용되었습니다. 더 최근인 2021년에는 컨테이너 런타임 취약점(CVE-2021-32760)으로 인해 공격자가 컨테이너 격리 기능을 우회하고 호스트 시스템에 대한 루트 권한을 획득할 가능성이 발생했습니다.

이러한 사건들은 쿠버네티스 보안이 선택 사항이 아닌, 대규모 컨테이너화 워크로드를 운영하는 모든 조직의 기본 요구사항임을 뼈저리게 상기시켜 줍니다.

최근 몇 년간 발견된 주목할 만한 쿠버네티스 취약점으로는 다음과 같습니다:

• CVE-2018-1002105: Kubernetes API 서버의 치명적 결함으로 인해 권한이 없는 사용자가 권한을 상승시키고 클러스터 내 모든 포드에서 임의 명령을 실행할 수 있었습니다.
• CVE-2019-11246: `kubectl cp` 명령어의 취약점으로 공격자가 사용자의 워크스테이션에 임의의 경로로 악성 파일을 작성할 수 있습니다.작업 환경에 악성 파일을 작성할 수 있는 취약점.
• CVE-2020-8554: 로드밸런서(LoadBalancer) 및 외부 IP(ExternalIPs) 서비스의 외부 IP 주소에 영향을 미치는 중간자 공격(Man-in-the-middle) 취약점.
• CVE-2021-25741: 볼륨 정화 프로세스의 결함으로 인해 공격자가 이전에 종료된 포드에서 민감한 정보에 접근할 수 있습니다.

Kubernetes는 왜 안전하지 않은가?

쿠버네티스의 다면적인 아키텍처는 본질적으로 다음과 같은 다양한 취약점을 내포합니다:

• API 서버 노출: 클러스터 제어 평면의 중추인 API 서버는 주요 공격 대상입니다.
• 잘못 구성된 RBAC: 부적절하게 정의된 역할과 권한은 무단 접근으로 이어질 수 있습니다.
• 제한 없는 네트워크 정책: 네트워크 분할 부족은 클러스터 내 횡방향 이동을 용이하게 합니다.
• 기본 컨테이너 구성: 루트 권한 또는 기본 설정으로 실행되는 컨테이너는 쉽게 악용될 수 있습니다.

Kubernetes 보안 문제

Kubernetes 보안 환경은 지속적으로 진화하고 있으며, 새로운 위협이 정기적으로 등장합니다. 그러나 다음 문제들은 Kubernetes 관리자와 보안 팀이 직면한 가장 중요하고 지속적인 과제 중 일부를 나타냅니다:

#1. 무단 접근 및 권한 상승

Kubernetes 리소스에 대한 무단 접근은 오늘날 클러스터가 직면한 가장 심각한 보안 위험 중 하나입니다. 클러스터에 접근 권한을 획득한 공격자는 악성 코드를 실행하거나, 민감한 데이터를 탈취하거나, 운영을 방해할 가능성이 있습니다.

해결 방법:

1. 강력한 역할 기반 접근 제어(RBAC) 정책 구현:
   • 최소 권한 원칙을 준수하는 세분화된 역할 및 클러스터 역할을 정의하십시오.
   • 네임스페이스를 사용하여 워크로드를 분리하고 권한 범위를 제한하십시오.
   • RBAC 정책이 적절하게 유지되도록 정기적으로 감사하고 검토하십시오.
2. Kubernetes Pod 보안 정책(PSP) 또는 Pod 보안 표준(PSS)을 활성화하고 구성하십시오:
   • 특권 컨테이너 방지 또는 호스트 네임스페이스 접근 제한과 같은 Pod 생성 및 실행에 대한 제한을 적용하십시오.
   • PSP/PSS를 사용하여 클러스터 전반에 걸쳐 보안 모범 사례를 시행합니다.
   • 강력한 인증 메커니즘 구현: 사용자 인증을 위해 OpenID Connect(OIDC) 또는 기타 연합 ID 공급자를 사용하십시오.
   • 모든 클러스터 액세스에 대해 다중 요소 인증(MFA)을 적용하십시오.&
   • 서비스 계정 토큰을 정기적으로 교체하고 권한을 제한하십시오.
3. Kubernetes API 서버 보안 강화: &
   • PodSecurityPolicy 및 NodeRestriction과 같은 API 서버 승인 컨트롤러를 활성화하고 구성하십시오.
   • 모든 API 서버 통신에 TLS를 사용하고 클라이언트 인증서를 검증하십시오.

#2. 안전하지 않은 API 서버 구성

Kubernetes API 서버는 클러스터 리소스 관리를 위한 주요 진입점입니다. API 서버의 잘못된 구성이나 취약점은 클러스터 보안에 심각한 결과를 초래할 수 있습니다.&

해결 방법:

1. API 서버 엔드포인트 보안 강화:
   • 모든 API 서버 통신에 강력한 TLS 암호화를 사용하십시오.
   • 신뢰할 수 있는 네트워크로의 접근을 제한하기 위해 IP 화이트리스트를 구현하십시오.
   • API 서버에 대한 원격 액세스를 위해 배스틴 호스트 또는 VPN 사용을 고려하십시오.
2. 입장 제어기 활성화 및 구성:
   • 최신 이미지 버전이 사용되도록 보장하기 위해 AlwaysPullImages 어드미션 컨트롤러를 사용하십시오.
   • kubelet 권한을 제한하기 위해 NodeRestriction 어드미션 컨트롤러를 활성화하십시오.
   • 조직별 보안 정책을 위한 사용자 정의 어드미션 컨트롤러를 구현합니다.
3. 감사 로깅 및 모니터링:
   • 모든 API 서버 요청을 추적하기 위해 Kubernetes 감사 로깅을 활성화하고 구성합니다.
   • Falco 또는 Sysdig 같은 도구를 사용하여 의심스러운 API 서버 활동을 탐지하고 경고합니다.
4. 정기적인 취약점 스캔:
   • API 서버 및 관련 구성 요소에 대한 정기적인 취약점 스캔을 수행하십시오.
   • Kubernetes 보안 권고 사항을 최신 상태로 유지하고 패치를 즉시 적용하십시오.

#3. 취약한 컨테이너 이미지

컨테이너 이미지는 Kubernetes 워크로드의 기반을 형성합니다. 오래되거나 취약한 이미지를 사용하면 클러스터에 상당한 보안 위험이 발생할 수 있습니다.

해결 방법:

1. 이미지 스캔 구현:&
   • Trivy, Clair, Anchore 등의 도구를 사용하여 이미지의 알려진 취약점을 스캔합니다.
   • 취약한 이미지가 배포되는 것을 방지하기 위해 이미지 스캔을 CI/CD 파이프라인에 통합합니다.
2. 이미지 서명 및 검증 강제 적용:
   • 신뢰할 수 있는 이미지 레지스트리를 구현하고 Notary와 같은 도구를 사용하여 이미지 서명을 수행하세요.신뢰할 수 있는 출처의 서명된 이미지만 허용하도록 입장 제어기를 구성합니다.
3. 이미지 공격 표면 최소화:
   • Alpine이나 distress 이미지와 같은 최소한의 기본 이미지를 사용하여 잠재적 공격 표면을 줄이십시오.
   • 프로덕션 이미지에서 불필요한 패키지와 유틸리티를 제거하십시오.
4. 이미지를 최신 상태로 유지하세요:
   • 기본 이미지와 애플리케이션 종속성을 정기적으로 업데이트하세요.
   • 업데이트가 있을 때 이미지를 재빌드하고 재배포하는 자동화 프로세스를 구현하십시오.

#4. 네트워크 정책 오구성

Kubernetes의 기본 네트워크 구성은 모든 파드가 서로 통신할 수 있도록 허용하여, 침해 발생 시 측면 이동으로 이어질 수 있습니다.

해결 방법:

1. 네트워크 정책 구현:
   • Kubernetes 네트워크 정책을 사용하여 포드 간 통신 규칙을 정의하고 적용합니다.
   • 기본적으로 "모든 것을 거부"하는 태도를 채택하고 필요한 트래픽만 명시적으로 허용합니다.
2. 필요한 경우에만 통신을 허용하는 유연한 접근 방식을 채택합니다.
3. 필요한 경우에만 통신" 기본 입장을 채택하고 필요한 트래픽만 명시적으로 허용하세요.
4. 네트워크 트래픽 분할:
   • 네임스페이스를 사용하여 워크로드를 논리적으로 분리하고 네임스페이스 수준에서 네트워크 정책을 적용하십시오.
   • 네트워크 마이크로 세그멘테이션을 구현하여 잠재적 침해의 확산 범위를 제한하십시오.
5. 포드 간 트래픽 암호화:
   • Istio 또는 Linkerd와 같은 서비스 메시를 사용하여 포드 간 트래픽을 암호화하십시오.
   • 모든 내부 클러스터 통신에 상호 TLS(mTLS) 구현.
6. 네트워크 트래픽 모니터링:
   • Cilium 또는 Calico와 같은 도구를 사용하여 고급 네트워크 가시성 및 정책 적용을 구현합니다.
   • 비정상적인 트래픽 패턴을 탐지하기 위해 네트워크 흐름 로깅 및 분석을 구현합니다.
   &

#5. 시크릿 관리

API 키, 비밀번호, 인증서와 같은 민감한 정보의 적절한 관리는 Kubernetes 워크로드의 보안을 유지하는 데 매우 중요합니다.해결 방법:

1. Kubernetes Secrets 사용:
   • 민감한 정보는 파드 사양이나 구성 맵에 하드코딩하지 말고 쿠버네티스 시크릿에 저장하세요.
   • AWS KMS나 HashiCorp Vault 같은 암호화 공급자를 사용해 저장 중인 시크릿을 암호화하세요.
2. 외부 시크릿 관리 구현:
   • External Secrets Operator 또는 Sealed Secrets 같은 도구를 사용하여 외부 비밀 관리 시스템과 통합하십시오.
   • 민감한 정보 노출을 최소화하기 위해 필요 시점 비밀 프로비저닝을 구현하십시오.
3. 기밀 정보를 정기적으로 교체하십시오:
   • 모든 민감한 자격 증명에 대해 자동화된 기밀 정보 교체를 구현하십시오.
   • 가능한 경우 단기 토큰 및 인증서를 사용하여 잠재적 침해의 영향을 최소화하십시오.
4. 비밀 정보 접근 제한:
   • RBAC를 사용하여 필요 시에만 시크릿에 대한 접근을 제한하십시오.
   • 모든 시크릿 접근 및 수정 사항에 대해 감사 로그를 구현하십시오.

#6. Etcd 데이터 저장소 보안

etcd 키-값 저장소는 Kubernetes의 모든 클러스터 상태를 위한 주요 데이터 저장소입니다. etcd가 침해되면 공격자가 클러스터를 완전히 제어할 수 있습니다.

해결 방법:&

1. 저장 중인 etcd 데이터 암호화:
   • EncryptionConfiguration 리소스를 사용하여 etcd 암호화를 활성화하십시오.
   • 강력한 암호화 키를 사용하고 정기적으로 교체하십시오.
2. etcd 통신 보안:
   • 모든 etcd 피어 및 클라이언트 통신에 TLS를 사용하십시오.
   • etcd 접근을 위한 클라이언트 인증서 인증 구현.
3. 백업 및 재해 복구:
   • etcd 데이터의 정기적이고 암호화된 백업을 구현합니다.
   • 데이터 무결성을 보장하기 위해 etcd 복원 절차를 테스트하고 검증합니다.
4. etcd 접근 제한:
   • 접근이 제한된 전용 노드에서 etcd를 실행합니다.
   • 네트워크 정책을 사용하여 etcd와 통신할 수 있는 구성 요소를 제한합니다.

#7. 런타임 보안 위험

컨테이너 런타임 보안는 실행 중인 컨테이너의 취약점을 악용하는 공격으로부터 보호하는 데 매우 중요합니다.

해결 방법:

1. 런타임 보안 모니터링 구현:
   • Falco 또는 Sysdig 같은 도구를 사용하여 의심스러운 컨테이너 동작을 탐지하고 경고합니다.
   • 행동 기준선 설정을 구현하여 비정상적인 컨테이너 활동을 식별하십시오.
2. SELinux 또는 AppArmor 활성화:
   • 컨테이너 기능 및 파일 시스템 접근을 제한하기 위해 SELinux 또는 AppArmor 프로파일을 사용하십시오.
   • 특정 애플리케이션 요구 사항에 맞게 사용자 정의 보안 프로파일을 구현하십시오.
3. seccomp 프로파일 사용:
   • 컨테이너가 사용할 수 있는 시스템 호출을 제한하기 위해 seccomp 프로파일을 구현합니다.
   • 기본적으로 거부하는 프로필로 시작하여 점차 필요한 시스템 호출을 허용하십시오.
4. 컨테이너 샌드박싱:
   • 컨테이너와 호스트 시스템 간의 격리를 강화하기 위해 gVisor 또는 Kata Containers 사용을 고려하십시오.

#8. 로깅 및 모니터링 격차

Kubernetes 환경에서 보안 사고를 탐지하고 대응하기 위해서는 포괄적인 로깅 및 모니터링이 필수적입니다.

해결 방법:

1. 중앙 집중식 로깅:
   • ELK 스택이나 Splunk 같은 중앙 집중식 로깅 솔루션을 구현하여 모든 클러스터 구성 요소에서 로그를 집계합니다.
   • Fluentd나 Logstash 같은 로그 전달 에이전트를 사용해 컨테이너와 노드에서 로그를 수집합니다.
2. 강력한 모니터링 구현:
   • Prometheus와 Grafana를 사용하여 클러스터 상태 및 성능 지표를 모니터링합니다.
   • 잠재적인 보안 문제를 감지하기 위해 사용자 정의 경보 규칙을 구현합니다.
3. 보안 정보 및 이벤트 관리(SIEM):
   • 고급 위협 탐지 및 상관 관계를 위해 Kubernetes 로그 및 메트릭을 SIEM 솔루션과 통합하여 고급 위협 탐지 및 상관관계 분석 수행.
   • 일반적인 보안 이벤트에 대한 자동화된 사고 대응 플레이북 구현.
4. 지속적인 규정 준수 모니터링:
   • Kube-bench 또는 Kube-hunter와 같은 도구를 사용하여 클러스터가 보안 모범 사례를 지속적으로 준수하는지 평가합니다.
   • 일반적인 잘못된 구성을 자동으로 수정합니다.

#9. 공급망 공격

컨테이너 이미지와 종속성을 포함한 소프트웨어 공급망은 쿠버네티스 환경에 취약점을 유입시키는 경로가 될 수 있습니다.

대응 방법:

1. 소프트웨어 자재 명세서(SBOM) 구현 (SBOM):
   • 모든 컨테이너 이미지와 애플리케이션 종속성에 대한 SBOM 생성 및 유지 관리.
   • Syft 또는 Tern과 같은 도구를 사용하여 빌드 프로세스 중에 SBOM을 자동으로 생성합니다.
2. CI/CD 파이프라인 보안 강화:
   • 모든 CI/CD 시스템에 강력한 접근 제어 및 인증을 구현하세요.
   • 배포된 아티팩트의 무결성을 보장하기 위해 서명된 커밋과 검증된 빌드를 사용하세요.
3. 취약점 관리:
   • 소프트웨어 공급망의 모든 구성 요소에 대해 지속적인 취약점 스캔을 구현합니다.
   • Dependabot 또는 Snyk과 같은 도구를 사용하여 알려진 취약점이 있는 종속성을 자동으로 업데이트합니다.
4. 아티팩트 저장소 보안:
   • 컨테이너 이미지 및 기타 빌드 아티팩트 저장을 위해 신뢰할 수 있고 접근이 통제되는 아티팩트 저장소를 사용하십시오.
   • 배포된 아티팩트의 무결성을 보장하기 위해 이미지 서명 및 검증을 구현하십시오.

#10. 오래된 구성 요소 및 CVE

Kubernetes 구성 요소 및 관련 도구를 최신 상태로 유지하는 것은 클러스터의 보안 태세를 유지하는 데 매우 중요합니다.

해결 방법:

1. 정기적인 패치 및 업데이트:
   • 컨트롤 플레인, 워커 노드, 애드온을 포함한 모든 쿠버네티스 구성 요소에 대한 정기적인 패치 일정을 수립하십시오.
   • kube-bench와 같은 도구를 사용하여 구식 구성 요소 및 잘못된 구성을 식별합니다.
2. CVE 모니터링 및 관리:
   • Kubernetes 보안 권고사항 및 관련 CVE 피드를 구독하세요.
   • 클러스터 구성 요소에 영향을 미치는 CVE를 평가하고 우선순위를 정하는 프로세스를 구현하세요.
3. 자동화된 업데이트 테스트:
   • 프로덕션에 적용하기 전에 스테이징 환경에서 Kubernetes 업데이트에 대한 자동화된 테스트를 구현하십시오.
   • 잠재적 문제의 영향을 최소화하기 위해 카나리아 배포 또는 블루-그린 업데이트를 사용하십시오.&
4. 버전 차이 관리:
   • Kubernetes 구성 요소 간 지원되는 버전 차이를 인지하고 모든 구성 요소가 지원 범위 내에 있는지 확인하십시오.
   • 최신 보안 기능 및 수정 사항을 적용하기 위해 정기적인 주요 버전 업그레이드를 계획하십시오.

쿠버네티스 보안 모범 사례

특정 보안 문제를 해결하는 것 외에도, 포괄적인 보안 모범 사례 세트를 구현하는 것은 견고한 쿠버네티스 보안 태세를 유지하는 데 매우 중요합니다. 고려해야 할 주요 관행은 다음과 같습니다:

1. 이미지 스캐닝

애플리케이션용 이미지를 빌드할 때 다음과 같은 여러 보안 공격 표면이 생성될 수 있습니다: 신뢰할 수 없는 레지스트리의 코드 사용,

공격자는 이미지의 이러한 취약점을 이용해 컨테이너를 탈출하고 호스트 또는 쿠버네티스 워커 노드에 접근할 수 있습니다. 성공할 경우 해당 호스트에서 실행 중인 다른 모든 컨테이너에 접근할 수 있습니다. 이러한 수준의 제어권을 확보하면 호스트 볼륨, 파일 시스템의 데이터를 읽을 수 있으며, 해당 호스트에서 실행 중인 쿠베렛 구성(쿠베렛 인증 토큰 및 쿠버네티스 API 서버와의 통신에 사용되는 인증서 포함)에도 접근할 수 있습니다.; 인증 토큰 및 Kubernetes API 서버와의 통신에 사용되는 인증서를 포함한 해당 호스트에서 실행 중인 Kubelet 구성까지 접근할 수 있습니다. 이는 공격자에게 클러스터에 추가 피해를 입히고 권한을 상승시킬 기회를 제공합니다.

따라서 컨테이너 이미지의 취약점을 정기적으로 스캔하는 작업은 Sysdig, Synk, Trivy 등과 같은 도구를 사용하여 수행할 수 있습니다. 이러한 도구들은 업데이트되는 취약점 데이터베이스를 보유하고 있으며, 이미지가 알려진 취약점에 대해 스캔을 수행합니다. 이는 레지스트리에 푸시되기 전 CI/CD 파이프라인의 빌드 단계에서 수행될 수 있습니다.

2. 비루트 사용자 권한으로 실행하기

가능한 경우 컨테이너를 비루트 사용자 권한으로 실행하도록 구성하세요. 이미지 빌드 시 전용 서비스 사용자 계정을 생성하고 루트 사용자 대신 해당 계정으로 애플리케이션을 실행합니다. 이는 컨테이너 침해 시 잠재적 영향을 제한합니다.

# 그룹 및 사용자 생성

RUN groupadd -r myapp && useradd -g myapp myapp

# 소유권 및 권한 설정

RUN chown -R myapp:myapp / app

# 사용자 전환

USER myapp

MD node index.js

참고: 이는 포드 자체의 잠재적 오설정으로 인해 덮어쓰일 수 있습니다.

포드 사양의 securityContext 필드를 사용하여 runAsUser 및 runAsGroup을 0이 아닌 값으로 설정하세요. 또한 컨테이너 내 권한 상승을 방지하려면 allowPrivilegeEscalation: false를 설정하세요.

3. RBAC를 통한 사용자 및 권한

세부적인 역할 기반 접근 제어(RBAC) 정책을 구현하여 사용자와 서비스 계정이 자신의 작업을 수행하는 데 필요한 권한만 갖도록 보장하십시오. RBAC 정책을 정기적으로 감사하고 불필요한 권한을 제거하십시오. rbac-lookup 또는 `rakkess`와 같은 도구를 사용하여 RBAC 구성을 시각화하고 분석하십시오.

4. 네트워크 정책 사용

기본적으로 클러스터 내 각 포드는 서로 통신할 수 있습니다. 이는 공격자가 하나의 포드에 접근하면 다른 모든 애플리케이션 포드에도 접근할 수 있음을 의미합니다. 그러나 실제로 모든 포드가 서로 통신할 필요는 없으므로, 쿠버네티스 네트워크 정책을 구현하여 포드 간 및 포드와 외부 간 통신을 제어함으로써 통신을 제한할 수 있습니다.&

기본적으로 "모든 것을 거부"하는 태도를 취하고 필요한 트래픽만 명시적으로 허용하세요. 고급 네트워크 정책 적용 및 가시성을 위해 Cilium이나 Calico 같은 도구를 사용하세요.

최대

5. 통신 암호화

Kubernetes 내 파드 간 통신은 암호화되지 않아 공격자가 모든 통신 내용을 평문으로 읽을 수 있습니다. API 서버 통신, etcd 피어 및 클라이언트 트래픽, 및 kubelet 연결에 TLS를 적용하십시오. Istio 또는 Linkerd와 같은 서비스 메시를 구현하여 포드 간 통신에 상호 TLS(mTLS)를 활성화하십시오.

6. 비밀 데이터 보안

인증 정보, 비밀 토큰, 개인 키 등 민감한 데이터는 Kubernetes의 secrets 리소스에 저장되지만, 기본적으로 base64 인코딩만 적용된 암호화되지 않은 상태로 저장됩니다. 따라서 secrets를 볼 수 있는 권한이 있는 사람은 누구나 간단히 내용을 디코딩할 수 있습니다.

민감한 정보를 저장하고 암호화 공급자를 사용하여 저장 시 암호화하기 위해 기본 솔루션인 Kubernetes Secrets&를 활용하여 민감한 정보를 저장하고 암호화 공급자를 통해 저장 시 암호화할 수 있습니다.

보안 강화 및 다중 클러스터에 걸친 시크릿의 중앙 집중식 관리를 위해 HashiCorp Vault나 AWS Secrets Manager와 같은 외부 시크릿 관리 솔루션 사용을 고려하십시오.

7. 안전한 etcd 저장소

저장 중인 etcd 데이터를 암호화하고 TLS를 사용하여 etcd 통신을 보호하십시오. etcd 접근을 위한 클라이언트 인증서 인증을 구현하고 네트워크 정책을 사용하여 etcd 노드 접근을 제한하십시오. etcd 데이터를 정기적으로 백업하고 복원 절차를 테스트하십시오.

8. 자동화된 백업 및 복원

etcd 데이터 및 지속적 볼륨을 포함한 클러스터 상태의 자동화된 암호화 백업을 구현하십시오. 데이터 무결성을 보장하고 재해 발생 시 다운타임을 최소화하기 위해 복원 절차를 정기적으로 테스트하십시오. Kubernetes 네이티브 백업 및 복원 기능을 위해 Velero와 같은 도구 사용을 고려하십시오.

9. 보안 정책 구성&

Open Policy Agent (OPA) Gatekeeper 또는 Kyverno와 같은 도구를 사용하여 보안 정책을 구현하고 적용하십시오. 이러한 도구를 통해 특정 레이블 요구, 리소스 제한 적용, 특권 컨테이너 사용 제한 등과 같은 사용자 정의 정책을 클러스터 전반에 걸쳐 정의하고 적용할 수 있습니다.

10. 재해 복구

Kubernetes 클러스터에 대한 포괄적인 재해 복구 계획을 수립하고 정기적으로 테스트하십시오. 여기에는 노드 장애, 제어 평면 중단 또는 데이터 손상과 같은 다양한 장애 시나리오에서 복구하는 절차가 포함되어야 합니다. 고가용성과 복원력을 보장하기 위해 중요한 워크로드에 대해 다중 지역 또는 다중 클러스터 전략을 구현하십시오.