보안

보안은 기업 클라우드에서 중요한 요소 중 하나입니다. 클라우드 네이티브 환경의 보안 구성 요소는 크게 3가지입니다.

클러스터 인증과 권한 관리

클러스터 접속 인증과 권한(인가)은, 허가된 사용자가 클러스터에 접속하여, 필요한 리소스를 관리할 수 있는 권한을 말합니다. 접속 사용자는 ‘사용자 계정’을 가집니다. 리소스는 애플리케이션과 데이터입니다. 관리자는 사용자에게 접속을 허가하고, 리소스에 대한 적절한 권한을 부여하여 클러스터 보안을 관리합니다.

칵테일 클라우드 사용자는 워크스페이스에서 할당받은 클러스터를 GUI로 관리할 수 있습니다. 따라서 클러스터에 직접 접속하여 관리할 필요는 없습니다. 다만, 명령행 도구나 외부 CI/CD 시스템을 사용하는 경우는 클러스터 사용자 계정이 필요합니다. 이 경우 관리자는 사용자에게 클러스터 계정을 발급합니다.

칵테일 클라우드는 하나의 사용자 계정으로 여러 클러스터에 접속하여, 권한에 따라 리소스를 관리할 수 있는 통합 클러스터 계정 관리 기능을 제공합니다. 칵테일 사용자는 관리자에게 클러스터 계정을 발급받고, 유효 기간 안에 클러스터를 관리할 수 있습니다.

감사 로그

감사 로그는 칵테일 사용자 또는 클러스터 계정으로 접속한 사용자가 어떤 리소스를 대상으로 명령어(API)를 수행했는지 기록합니다. 장애와 보안 이슈가 발생할 경우, 감사 로그를 추적하여 원인을 분석할 수 있습니다.

칵테일 클라우드는 플랫폼(칵테일 클라우드 기능)과 클러스터(쿠버네티스) 감사 로그를 모두 수집하여 추적할 수 있는 기능을 제공합니다.

파드(컨테이너) 보안 정책

파드 보안 정책은 컨테이너 실행 시 권한, 노드의 접근 권한, OS 보안 설정 등을 제어합니다. 보통 파드를 정의할 때 보안 설정을 같이 합니다. 하지만 기업에서는 보안에 대한 통제가 필요합니다. 팀 또는 조직마다 다른 보안 설정은 예기치 못한 보안 허점을 만들어 낼 수 있습니다.

파드 보안 정책은 클러스터 전체 또는 애플리케이션 별로 보안 설정을 강제할 수 있습니다. 기업이 기존 보안 정책을 가지고 있다면, 보안 정책으로 통제할 수 있습니다.

칵테일 클라우드는 보안 정책을 설정하고 적용할 수 있는 기능을 제공합니다.

이미지 검사

컨테이너 실행 이미지는 다수의 오픈소스를 포함할 수 있습니다. 예를 들어 베이스 이미지(Base Image)는 컨테이너 이미지의 바탕으로 제작자가 인터넷에 공개한 이미지입니다. 사용자는 베이스 이미지에 자신의 구성 요소를 첨가하여 컨테이너 이미지를 만듭니다. 이 경우 베이스 이미지에 악성 코드가 있다면, 보안 문제가 됩니다.

칵테일 클라우드가 제공하는 이미지 레지스트리는 이미지 악성 코드를 검사할 수 있는 기능을 제공합니다. 또한 오래된 구성 요소 버전이나, 취약한 코드 등 추가 검사를 제공합니다.