Kubernetes 보안에는 Kubernetes 인프라뿐만 아니라 애플리케이션과 데이터가 모두 무단 액세스 또는 기타 보안 위협으로부터 보호되도록 하는 보안 정책이 포함됩니다. Kubernetes 보안 테스트는 K8s 환경에서 사용되는 백엔드 보호/보안 방법론을 점검하고 검증하는 과정입니다.
이 블로그는 Kubernetes 보안 테스트에 대한 완전한 이해와 우리가 집중해야 할 주요 영역에 대해 설명합니다. 이후 블로그에서는 Kubernetes 아키텍처, 일반적인 취약점 목록, 그리고 조직이 전반적인 Kubernetes 보안 태세를 개선하기 위한 모범 사례로 사용할 수 있는 테스트 방법론을 살펴봅니다.
Kubernetes 보안 테스트란?
Kubernetes 보안 테스트는 Kubernetes 환경의 다양한 계층이 안전한 조치를 제공하는지 인증하고 점검하는 과정입니다. 이 과정에서는 클러스터, 노드, 파드, 네트워크 구성 등 Kubernetes 인프라의 여러 요소를 살펴보며, 보안 문제나 잠재적인 취약 경로가 없는지 확인합니다.
이 테스트는 보안 팀이 접근 제어, 네트워크 정책, 컨테이너 구성 등과 같은 항목을 검증하는 것에서 시작합니다. 이는 Kubernetes 환경이 인증되지 않은 액세스, 데이터 유출, 그리고 운영 프로세스에 잠재적 피해를 줄 수 있는 기타 보안 위협에 노출되지 않도록 하기 위함입니다.
Kubernetes 보안 테스트의 중요성:
- 취약점 발견: 정기적인 테스트는 공격자가 악용하기 전에 보안 취약점을 식별할 수 있는 유일한 방법입니다.
- 컴플라이언스: 많은 산업 분야에서는 반드시 준수해야 하는 특정 보안 표준이 있으며, 테스트는 컴플라이언스에 도움이 됩니다.
- 데이터 보호: Kubernetes 클러스터에 저장 및 처리되는 민감한 데이터를 보호합니다.
- 운영 안정성: 적절한 테스트 없이 침해가 발생하면 정상적인 비즈니스 운영에 심각한 중단이 초래될 수 있습니다.
- 평판 보호: 안전한 Kubernetes 환경을 유지하면 조직의 이미지를 훼손하는 데이터 유출 및 서비스 중단을 방지할 수 있습니다.
일반적인 Kubernetes 보안 취약점
Kubernetes 환경은 여러 보안 과제에 직면해 있습니다. 다음은 Kubernetes 환경의 보안에 영향을 줄 수 있는 다섯 가지 일반적인 취약점입니다:
구성 오류
YAML 파일과 API 오브젝트는 Kubernetes 구성 오류의 일반적인 원인입니다. 여기에는 최소화되지 않은 대시보드, 과도한 파드 보안 정책, 불충분한 네트워크 정책 등이 포함됩니다. 예를 들어, AlwaysPullImages 어드미션 컨트롤러를 런타임 영향에 대한 이해 없이 활성화하는 것처럼 단순할 수 있습니다. 이러한 구성 오류로 인해 무단 액세스, 데이터 유출, 리소스 오용이 발생할 수 있습니다.
컨테이너 이미지 취약점
컨테이너 이미지는 알려진 취약점이 있는 구버전 소프트웨어를 기반으로 빌드될 수 있으므로 동적 보안 스캔만으로는 충분하지 않습니다. 이는 컨테이너에 대한 무단 액세스 또는 악성 코드 실행 기회를 제공할 수 있습니다. 공격자는 베이스 이미지나 애플리케이션 종속성(예: 취약한 버전의 OpenSSL) 또는 구식 시스템 라이브러리의 알려진 CVE를 노릴 수 있습니다. 공개 저장소에는 취약하거나 신뢰할 수 없거나 검증되지 않은 이미지가 다수 존재할 수 있어 Kubernetes 환경에 취약점이 주입될 가능성이 높아집니다.
네트워크 보안 문제
일반적인 Kubernetes 네트워크 보안 위험은 잘못 구성된 네트워크 정책과 서비스 노출과 관련이 있습니다. 이는 파드가 비정상적인 방법으로 네트워크에 접근하거나 외부 소스에서 접근할 수 있게 할 수 있습니다. NetworkPolicy 리소스의 오용이나 잘못 구성된 CNI 플러그인은 의도하지 않은 네트워크 경로를 열 수 있습니다.
접근 제어 취약점
Kubernetes 접근 제어 취약점은 일반적으로 잘못 구성된 RBAC 정책과 잘못 관리된 서비스 계정에서 발생합니다. 여기에는 권한 상승이나 민감한 리소스에 대한 무단 액세스를 허용하는 기법이 포함됩니다. 이러한 취약점은 과도하게 허용적인 ClusterRole을 정의하거나 잘못된 RoleBinding을 통해 주입될 수 있습니다. 약한 접근 제어는 사용자가 의도하지 않은 작업(예: 클러스터 전체 설정 변경, 다른 네임스페이스의 데이터 접근 등)을 할 수 있게 만듭니다.
시크릿 관리 결함
Kubernetes 시크릿은 민감한 정보를 담고 있으므로 매우 신중하게 관리해야 합니다. 버전 관리 시스템에 평문으로 시크릿을 저장하거나 약한 etcd 암호화를 사용할 경우 민감한 데이터가 유출될 수 있습니다. 보안이 중요한 환경에서는 etcd의 기본 암호화만으로는 충분하지 않으며 추가적인 저장 시 암호화가 필요합니다. 시크릿을 부적절하게 처리(예: 환경 변수나 로그로 마운트)할 경우에도 의도치 않은 노출이 발생할 수 있습니다.
Kubernetes 보안 테스트 체크리스트
이 체크리스트는 Kubernetes 보안 테스트를 수행할 때 집중해야 할 주요 영역을 안내합니다:
#1. 클러스터 수준 보안 점검
여기에는 인증 메커니즘 및 어드미션 컨트롤러를 포함한 API 서버 구성 검증, RBAC 정책의 적절한 구현 및 최소 권한 원칙 점검이 포함됩니다. 또한 etcd 암호화 및 접근 제어 평가, PodSecurityPolicies 및 NetworkPolicies와 같은 클러스터 전체 리소스의 정확성 점검이 필요합니다.
이 작업에는 스케줄러 및 컨트롤러 매니저 등 컨트롤 플레인 구성 요소의 설정 평가, 컨트롤 플레인 구성 요소 간의 안전한 통신 검증도 포함됩니다. 또한 네임스페이스를 통한 시스템 및 사용자 워크로드의 적절한 분리, 클러스터 업그레이드 프로세스 및 버전 호환성 평가도 필요합니다.
#2. 노드 수준 보안 점검
여기에는 kubelet 설정을 포함한 노드 구성 점검, 컨테이너 런타임의 보안 옵션 점검이 포함됩니다. 이어서 노드 인증 및 인가 메커니즘 검증, 운영체제 하드닝 및 불필요한 서비스 제거 점검이 이루어집니다.
또한 노드 수준 네트워크 구성 및 방화벽 규칙 평가, 노드 리소스 할당 및 제한, 보안 부팅 및 무결성 메커니즘 평가가 포함됩니다. 워크로드 스케줄링을 위한 노드 라벨 점검, 컨테이너 스토리지 드라이버의 적절한 구성 검증, 노드 구성 요소와 컨테이너 간의 적절한 격리 점검도 포함됩니다.
#3. 파드 및 컨테이너 보안 점검
여기에는 사용자/그룹 ID, 권한, seccomp 프로필을 포함한 파드 보안 컨텍스트 점검, 컨테이너 이미지 소스 및 스캔 프로세스 검증, 컨테이너의 적절한 리소스 제한 및 요청 점검이 포함됩니다. 또한 파드 간, 파드-서비스 계정 간 연관성, 읽기 전용 루트 파일 시스템 및 권한 제거 등 컨테이너 런타임 구성, 환경 변수 또는 명령 인자 내 민감 정보 점검이 필요합니다.
이외에도 init 컨테이너 및 사이드카 패턴의 적절한 사용 점검, 컨테이너 헬스 체크 및 재시작 정책, 파드 중단 예산 및 서비스 품질(QoS) 구성, 고가용성 구성을 위한 파드 안티-어피니티 규칙, 파드 보안 표준 정책 구현 점검이 포함됩니다.
#4. 네트워크 보안 점검
NetworkPolicy 리소스의 적절한 분리 및 최소 권한 접근 점검. 파드 및 네임스페이스 수준의 인그레스 및 이그레스 제어 검증. 인그레스 리소스 및 서비스의 TLS 구성 점검. 서비스 메시 구현 평가(사용 시).
CNI 플러그인 구성 및 네트워크 오버레이 보안 평가. 서로 다른 네트워크 네임스페이스 간의 적절한 격리 점검. DNS 구성 및 DNS 기반 공격 가능성 검증. 파드 간 통신을 포함한 네트워크 트래픽 암호화 메커니즘 평가.
kube-proxy 구성의 잠재적 오구성 점검. 서비스 계정과 연계된 네트워크 정책의 적절한 사용 검증. 외부 로드 밸런서의 적절한 구현 및 보안 구성 점검.
#5. 서비스 계정 및 시크릿 관리 점검
토큰 자동 마운트 설정을 포함한 서비스 계정의 적절한 구성 및 사용 검증. 서비스 계정과 연계된 RBAC 바인딩 점검. 기본 서비스 계정에 부여된 불필요한 권한 점검.
시크릿 관리 관행 평가(저장 및 전송 시 암호화 포함). 외부 시크릿 관리 시스템 사용 시 적절한 사용 검증. 시크릿 교체 정책 및 구현 점검.
클라우드 환경에서의 파드 아이덴티티 메커니즘 사용 평가. 시크릿 주입 메커니즘의 적절한 구성 검증. 애플리케이션 코드 또는 구성 내 하드코딩된 자격 증명 또는 토큰 점검.
#6. 모니터링 및 알림 점검
메트릭 수집 및 저장을 포함한 모니터링 솔루션의 적절한 구현 검증. 보안 관련 이벤트에 대한 알림 규칙 구성 평가. 보안 정보 및 이벤트 관리(SIEM) 시스템과의 적절한 통합 점검.
보안 관련 메트릭 및 로그의 커버리지 평가. 모니터링 및 알림 시스템에 대한 적절한 접근 제어 검증. 이상 탐지 메커니즘 구현 점검.
감사 로깅 구성 및 모니터링 시스템과의 통합 평가. 보안 로그 및 메트릭의 적절한 보존 및 아카이브 정책 검증. 무단 액세스 시도 또는 정책 위반 등 주요 보안 이벤트에 대한 적절한 알림 점검.
CNAPP 마켓 가이드Kubernetes 보안 테스트의 이점
Kubernetes 보안은 위협 탐지부터 비용 최적화에 이르기까지 조직에 다양한 이점을 제공합니다. 주요 이점은 다음과 같습니다:
1. 위협 탐지 강화
보안 분석을 통해 기존에는 탐지할 수 없었던 취약점/위협을 탐지 및 차단할 수 있습니다. 조직은 구성 오류, 취약한 접근 제어, 기타 보안 취약점을 악용되기 전에 발견할 수 있습니다. 정기적인 테스트는 환경 구성 요소의 변경이나 새로운 공격 벡터로 인한 신규 제로데이 취약점도 탐지할 수 있습니다.
2. 컴플라이언스 향상
보안 테스트를 통해 조직은 규제 요건 및 산업 표준을 준수할 수 있습니다. 이는 컴플라이언스 감사에 중요한 보안 통제 및 관행의 증거를 제공합니다. 컴플라이언스는 암호화와 테스트뿐만 아니라 데이터 보호, 접근 제어, 기타 보안 메커니즘이 GDPR, HIPAA, PCI DSS 등 필수 컴플라이언스 프레임워크의 일부임을 보장합니다.
3. 공격 표면 감소
Kubernetes 보안 테스트는 이러한 취약점을 탐지 및 제거하여 클러스터의 공격 표면을 대폭 줄입니다. 불필요하게 노출된 서비스를 제거하고 과도한 권한을 신중하게 제거하여 네트워크를 더욱 견고하게 만듭니다. 사전 대응적 접근으로 인해 공격자가 Kubernetes 환경에서 손쉬운 표적을 찾기 어렵게 만듭니다.
4. 운영 안정성
주기적인 보안 테스트는 Kubernetes 배포의 안정성도 보장합니다. 보안 문제를 식별하고 해결하는 조직은 실제 보안 사고로 인한 다운타임을 방지할 수 있습니다. 이를 통해 Kubernetes 애플리케이션은 더 높은 가동 시간, 더 나은 성능, 더 신뢰할 수 있는 서비스 제공이 가능합니다.
5. 비용 최적화
효과적인 보안 테스트는 조직의 Kubernetes 배포 비용을 최적화할 수 있습니다. 테스트의 주요 이점은 구성 오류나 리소스 과다 할당을 식별하여 컴퓨팅 자원을 더 효율적으로 사용할 수 있다는 점입니다. 또한, 이러한 사전 대응적 테스트로 보안 침해를 예방하면 사고 대응, 데이터 손실, 평판 손상과 관련된 높은 비용을 줄일 수 있습니다.
Kubernetes 보안 테스트 모범 사례
최적의 효과를 얻기 위해 기업이 따라야 할 모범 사례는 다음과 같습니다:
1. 지속적인 보안 테스트 활성화
보안 테스트를 자동화하여 CI/CD 파이프라인의 일부로 포함시켜 항상 보안 점검이 실행되도록 합니다. Kubernetes 네이티브 보안 스캐너와 정책 집행 도구로 클러스터 구성, 컨테이너 이미지, 네트워크 정책을 지속적으로 평가합니다. 배포 프로세스에 자동 보안 테스트를 통합하여 취약점이 프로덕션에 반영되기 전에 탐지합니다.
2. 다차원 테스트 전략 사용
K8s 관련 문제 대부분을 포함할 수 있도록 다양한 유형의 보안 테스트를 혼합하여 사용합니다. 여기에는 Kubernetes 구성, YAML, Docker 이미지의 정적 분석, 실제 Kubernetes 클러스터에서의 동적 테스트, 실제 공격을 모방한 침투 테스트 등이 포함됩니다. 자동화 도구와 수동 테스트 방식을 모두 활용하여 최대한 많은 보안 문제를 커버합니다.
3. 테스트 지식 및 도구 최신 상태 유지
최신 Kubernetes 버전 및 권장 사항에 따라 보안 테스트 도구와 모범 사례를 업데이트합니다. 취약점 및 보안 테스트에 사용되는 데이터베이스/벤치마크를 최신 상태로 유지합니다. 새로운 Kubernetes 전용 위협 벡터와 취약점을 지속적으로 추적합니다. 보안 팀이 최신 Kubernetes 기능과 그 보안적 함의를 숙지하도록 합니다.
4. 결과 수집, 우선순위 지정, 조치
테스트에서 발견된 보안 문제를 우선순위화하고 수정하는 방법론을 마련합니다. 위험 기반 접근 방식으로, 영향도가 높은 취약점부터 우선적으로 조치합니다. 모든 보안 이슈에 대해 추적, 수정, 검증할 수 있는 메커니즘을 구축합니다. 치명적 취약점에 대한 SLA를 설정하고, 합의된 기간 내에 패치 또는 재구성하도록 합니다.
5. 팀 간 협업
보안, 개발, 운영 팀 간의 보안 테스트 협업을 장려합니다. 개발자를 보안 테스트 프로세스에 포함시켜 보안 인식 및 모범 사례를 높입니다. 운영 팀과 협력하여 보안 테스트가 프로덕션 환경에 부정적 영향을 주지 않도록 합니다. 보안 테스트 결과를 논의하고, 팀 간 조치 협력을 위한 적절한 커뮤니케이션 라인을 마련합니다.
Kubernetes 보안 테스트의 과제
Kubernetes는 뛰어난 이점을 제공하지만, 전체 K8s 인프라에 대한 보안 테스트는 쉽지 않은 작업입니다. 기업이 직면하는 몇 가지 과제를 살펴보겠습니다:
1. Kubernetes 환경의 복잡성
Kubernetes는 여러 구성 요소, 설정, 종속성이 내장된 상당히 복잡한 시스템입니다. 보안 테스트의 복잡성이 핵심 논의 대상입니다. 테스터는 다양한 Kubernetes 오브젝트 간의 상호 의존성, 네트워크 정책, 보안 통제의 동등성에 대해 깊이 이해해야 합니다. Kubernetes는 매우 동적이며 자주 변경/업데이트되므로 테스트가 더욱 어렵습니다.
2. 확장성 및 성능 요인
Kubernetes 클러스터에 대한 보안 테스트는 시간과 자원을 소모할 수 있습니다. 전체 스캔 및 테스트는 클러스터 성능에 영향을 미치고 높은 지연을 초래할 수 있습니다. 운영 효율성을 유지하면서 보안 요구 사항을 충족하는 것은 어려운 일입니다. 따라서 테스터는 프로덕션 서버에 미치는 영향을 최소화하면서 보안 점검을 수행하는 방법을 익혀야 합니다.
3. 지속적인 변화에 선제적으로 대응
Kubernetes와 그 생태계의 빠른 개발 속도, 지속적인 릴리즈, 새로운 버전, 기능, 보안 패치 도입은 결코 느리지 않습니다. 보안 테스트 도구와 방법론도 이에 맞춰 자주 변경되어야 합니다. 새로운 기능을 반영하는 테스트 환경, 보안 벤치마크, 테스트 케이스의 업데이트는 지속적인 노력과 자원이 필요합니다.
4. 멀티 클라우드 및 하이브리드 환경에서의 작업
여러 조직이 Kubernetes를 여러 클라우드 제공업체 또는 하이브리드 클라우드-온프레미스 구성에 배포합니다. 다양한 인프라는 보안 테스트의 복잡성을 더욱 높입니다. 테스터는 클라우드 중심 보안 통제, 네트워크 설정, 다양한 컴플라이언스 요구 사항의 차이를 고려해야 합니다. 서로 다른 환경에서 일관된 보안 테스트 컴플라이언스를 확보하는 것이 가장 큰 과제입니다.
5. 컨테이너 특화 요구 사항
K8s 테스트는 컨테이너 관련 취약점 및 구성 오류뿐만 아니라, 컨테이너 이미지 유형에서 런타임 보안, 격리 메커니즘까지 보안 테스트를 수행해야 합니다. 이러한 항목은 직접적으로 테스트되어야 하며, 이를 위해 테스터는 적절한 기법을 숙지해야 합니다.
Kubernetes 보안 테스트 자동화 방법
동적 환경에서 보안을 유지하려면 Kubernetes 보안 테스트 자동화가 중요합니다. 이 과정은 CI/CD 파이프라인에 보안 스캐닝 도구를 내장하는 것에서 시작합니다. 이러한 도구는 Kubernetes 매니페스트, 컨테이너 이미지, 클러스터 구성을 자동으로 점검하여 보안 취약점 및 구성 오류를 식별합니다. 빌드 및 배포 프로세스에는 Kubesec, Kube-bench와 같은 오픈소스 도구를 통합하여 지속적인 보안 피드백을 제공합니다.
이러한 비기능 요구 사항이 프로그래밍 방식으로 적용되면, Open Policy Agent(OPA)와 같은 정책-코드-프레임워크를 통해 동의 정책이 자동화되어 인프라의 확장성과 보안을 견고하게 합니다. 이를 통해 조직은 모든 Kubernetes 클러스터에 대한 보안 정책을 자동으로 작성 및 집행할 수 있습니다. 정책을 코드로 정의함으로써 애플리케이션 라이프사이클 전반에 걸쳐 버전 관리, 테스트, 보안 표준 집행이 가능합니다.
지속적인 모니터링 및 알림은 자동화된 테스트만큼이나 런타임 보안 위협의 실시간 탐지에 중요합니다. 이상 활동이나 정책 위반에 대한 알림을 활성화하면 보안 팀이 잠재적 보안 문제를 신속하게 대응할 수 있습니다. SIEM 시스템과의 통합을 통해 Kubernetes 도메인 전반의 보안 이벤트를 상관 분석 및 추가 분석할 수 있습니다.
SentinelOne을 통한 Kubernetes 보안 및 테스트
SentinelOne은 실시간 위협 탐지 및 대응을 위한 자율 아키텍처를 포함한 전체 보안 스택으로 Kubernetes 워크로드를 보호합니다. Kubernetes 클러스터, 노드, 컨테이너에 대한 가시성을 제공하며, 위협 식별 및 해결 프로세스를 가속화합니다.
자동화된 위협 헌팅
SentinelOne은 머신러닝 알고리즘을 사용하여 클러스터 내 이상 행동을 탐지합니다. 이 기능은 잠재적 위협, 오류, 또는 탐지되지 않은 악성 작업을 식별하는 데 도움이 됩니다.
런타임 보호 및 취약점 관리
이 도구는 컨테이너 보안을 위한 런타임 보호 및 취약점 관리를 제공합니다. 컨테이너 이벤트를 모니터링하고, 보안 정책을 적용하며, 무단 작업을 차단합니다. SentinelOne의 CI/CD와 컨테이너 레지스트리 통합을 통해 배포 전 컨테이너 이미지의 취약점을 자동으로 스캔하고 식별할 수 있습니다.
중앙 집중식 관리 및 보고
SentinelOne의 Kubernetes 보안 솔루션은 중앙 집중식 관리 및 보고 기능을 제공하여 보안 팀이 전체 Kubernetes 환경의 상태를 한눈에 파악할 수 있습니다. 플랫폼은 컴플라이언스 모니터링/검증 및 보안 감사를 위한 맞춤형 대시보드와 상세 보고서를 제공합니다.
자동화된 인시던트 대응
SentinelOne의 Kubernetes 보안 솔루션의 또 다른 특징은 자동화된 인시던트 대응입니다. 위협이 확인되면, 해당 플랫폼은 필요에 따라 영향을 받은 컨테이너 또는 노드를 자동으로 격리하여 수평 이동을 차단하고 보안 사고의 잠재적 심각도를 줄입니다.
서버, VM, 컨테이너를 위한 AI 기반 클라우드 워크로드 보호(CWPP)로, 런타임 위협을 실시간으로 탐지하고 차단합니다.
결론
컨테이너 오케스트레이션을 사용하는 모든 조직에 Kubernetes 보안 테스트는 필수적입니다. 이를 통해 전체 Kubernetes 생태계의 보안, 구성 오류, 위협을 가시화할 수 있습니다. 공격 표면이 대폭 줄어들며, K8s 보안 테스트를 도입하는 것만으로도 조직의 보안 태세를 크게 개선할 수 있습니다.
점점 더 복잡해지고 확장되는 Kubernetes 환경에서는 정기적이고 자동화된 보안 감사가 필수적입니다. 이러한 예방적 조치는 보안 사고를 방지할 뿐만 아니라 산업 규정 및 컴플라이언스도 보장합니다.
자주 묻는 질문
Kubernetes 보안 테스트란 Kubernetes 클러스터에 적용된 보안 구성을 테스트하고 검증하는 것을 의미합니다. 이는 노드, 파드, 클러스터, 네트워크 구성 등 Kubernetes 인프라의 여러 부분을 점검하여 잠재적인 보안 취약점이나 약점을 식별하는 것을 포함합니다.
Kubernetes 환경에서 흔한 보안 위험에는 클러스터 설정 및 리소스의 잘못된 구성, 컨테이너 이미지의 취약점, 잘못 구성된 네트워크 정책과 같은 네트워크 보안 문제가 포함됩니다. 그 외에도 잘못된 RBAC 정책, 시크릿 관리의 결함, 안전하지 않은 API 서버 구성 등 접근 제어의 약점이 있습니다.
Kubernetes 보안 테스트를 수행하려면 자동화된 스캐닝 도구를 사용하여 잘못된 구성과 취약점을 점검하는 것부터 시작하세요. Kubernetes 구성 및 정책을 수동으로 검토하고, 실제 공격을 시뮬레이션하는 침투 테스트를 실시합니다. 네트워크 트래픽과 정책을 분석하고, 접근 제어 및 인증 메커니즘을 검토하며, 컨테이너 이미지의 보안을 평가합니다.
SentinelOne는 Kubernetes 환경을 위한 보안 솔루션을 제공하며, 통합 보안 테스트 및 모니터링 기능을 지원합니다. 이 플랫폼은 고급 머신러닝 알고리즘을 활용하여 Kubernetes 클러스터, 노드, 컨테이너 전반에서 이상 징후, 잘못된 구성, 취약점을 탐지합니다. SentinelOne의 솔루션에는 자동화된 위협 탐지 및 대응, 컨테이너 런타임 보호, 컨테이너 이미지에 대한 취약점 스캔, 중앙 집중식 관리 및 보고 기능이 포함되어 있습니다.
Kubernetes의 RBAC(Role-Based Access Control)은 조직 내 개별 사용자의 역할에 따라 Kubernetes 리소스에 대한 접근을 제어하는 방법입니다. RBAC을 테스트하려면 RBAC 정책과 역할 정의를 검토하고, 역할이 사용자 및 서비스 계정에 올바르게 바인딩되어 있는지 확인해야 합니다.
Kubernetes에서 컨테이너 이미지를 보호하려면 공격 표면을 줄이기 위해 최소한의 베이스 이미지를 사용하고, 이미지를 정기적으로 취약점 스캔해야 합니다. CI/CD 파이프라인에서 안전한 이미지 빌드 프로세스를 구현하고, 신뢰할 수 있는 검증된 이미지 소스를 사용하세요. 이미지 서명 및 검증 메커니즘을 적용하고, 컨테이너를 root 권한으로 실행하지 않도록 합니다.
