보안

보안은 기업 클라우드에서 중요한 요소 중 하나 입니다. 클라우드 네이티브 환경의 보안 구성요소는 크게 3가지 입니다.

클러스터 인증과 권한 관리

클러스터 접속 인증과 권한(인가)은, 허가 된 사용자가 클러스터에 접속하여, 필요한 리소스를 관리 할 수 있는 권한을 말합니다. 접속 사용자는 ‘사용자 계정’을 가집니다. 리소스는 어플리케이션과 데이터입니다. 관리자는 사용자에게 접속을 허가하고, 리소스에 대한 적절한 권한을 부여 하여 클러스터 보안을 관리 합니다.

칵테일 클라우드 사용자는 워크스페이스에서 할당 받은 클러스터를 GUI로 관리 할 수 있습니다. 따라서 클러스터에 직접 접속하여 관리 할 필요는 없습니다. 다만, 명령행 도구나 외부 CI/CD 시스템을 사용하는 경우는 클러스터 사용자 계정이 필요합니다. 이 경우 관리자는 사용자에게 클러스터 계정을 발급 합니다.

칵테일 클라우드는 하나의 사용자 계정으로 여러 클러스터에 접속하여, 권한에 따라 리소스를 관리 할 수 있는 통합 클러스터 계정 관리 기능을 제공 합니다. 칵테일 사용자는 관리자에게 클러스터 계정을 발급 받고, 유효 기간 안에 클러스터를 관리 할 수 있습니다.

감사로그

감사로그는 칵테일 사용자 또는 클러스터 계정으로 접속한 사용자가 어떤 리소스를 대상으로 명령어(API)를 수행했는지 기록합니다. 장애와 보안 이슈가 발생할 경우, 감사로그를 추적하여 원인을 분석 할 수 있습니다.

칵테일 클라우드는 플랫폼(칵테일 클라우드 기능)과 클러스터(쿠버네티스) 감사로그를 모두 수집하여 추적 할 수 있는 기능을 제공 합니다.

파드(컨테이너) 보안 정책

파드 보안 정책은 컨테이너 실행 시 권한, 노드의 접근 권한, OS 보안 설정 등을 제어 합니다. 보통 파드를 정의할 때 보안 설정을 같이 합니다. 하지만 기업에서는 보안에 대한 통제가 필요합니다. 팀 또는 조직마다 다른 보안 설정은 예기치 못한 보안 헛점을 만들어 낼 수 있습니다.

파드 보안 정책은 클러스터 전체 또는 어플리케이션 별로 보안 설정을 강제 할 수 있습니다. 기업이 기존 보안 정책을 가지고 있다면, 보안 정책으로 통제할 수 있습니다.

칵테일 클라우드는 보안 정책을 설정하고 적용할 수 있는 기능을 제공합니다.

이미지 검사

컨테이너 실행 이미지는 다수의 오픈소스를 포함 할 수 있습니다. 예를 들어 베이스 이미지(Base Image)는 컨테이너 이미지의 바탕으로 제작자가 인터넷에 공개한 이미지 입니다. 사용자는 베이스 이미지에 자신의 구성 요소를 첨가하여 컨테이너 이미지를 만듭니다. 이 경우 베이스 이미지에 악성 코드가 있다면, 보안 문제가 됩니다.

칵테일 클라우드가 제공하는 이미지 리지스트리는 이미지 악성 코드를 검사 할 수 있는 기능을 제공합니다. 또한 오래 된 구성 요소 버젼이나, 취약한 코드 등 추가 검사를 제공합니다.