쿠버네티스 보안 & 컴플라이언스 (Q36-Q40)

보안 & 컴플라이언스 (36~40번)

Q36. Pod Security Standards(PSS)와 PSA의 enforce/audit/warn 모드 차이는?

Pod Security Standards는 3가지 정책 레벨을 제공한다:

Privileged(제한 없음), Baseline(알려진 권한 상승 방지), Restricted(강력한 보안).

Pod Security Admission(PSA)은 네임스페이스 레벨에서 적용되며 3가지 모드가 있다:

enforce(위반 시 Pod 생성 거부), audit(위반 로그 기록, 생성 허용), warn(사용자에게 경고, 생성 허용).

실무에서는 개발 환경은 warn, 스테이징은 audit, 프로덕션은 enforce를 사용한다.

Baseline으로 시작해 점진적으로 Restricted로 전환하며, pod-security.kubernetes.io/enforce: restricted 레이블을 네임스페이스에 설정한다.

Q37. Network Policy의 Egress 규칙과 DNS 허용 패턴은?

NetworkPolicy의 Egress는 Pod에서 나가는 트래픽을 제어한다.

기본 deny-all 정책 후 필요한 트래픽만 허용하는 화이트리스트 방식을 권장한다.

DNS 허용 필수 패턴:

egress:
  - to:
    - namespaceSelector:
        matchLabels:
          name: kube-system
    ports:
    - protocol: UDP
      port: 53

특정 외부 API만 허용:

CIDR 기반 제한, Pod/Namespace Selector 조합 사용.
Calico GlobalNetworkPolicy는 클러스터 전체 정책을 지원하며, Cilium은 L7(HTTP) 레벨 필터링과 FQDN 기반 Egress를 제공한다.

Q38. IRSA(IAM Roles for Service Accounts)의 동작 원리와 구현 방법은?

IRSA는 Pod가 AWS 리소스에 접근할 때 IAM Role을 사용하도록 하는 메커니즘이다.

동작 원리:

① EKS 클러스터에 OIDC Provider 생성 →
② IAM Role에 Trust Relationship 설정(OIDC Provider + ServiceAccount 조건) →
③ ServiceAccount에 eks.amazonaws.com/role-arn annotation 추가 →
④ Pod 생성 시 Webhook이 AWS_ROLE_ARN, AWS_WEB_IDENTITY_TOKEN_FILE 환경변수 주입 →
⑤ AWS SDK가 자동으로 STS AssumeRoleWithWebIdentity 호출.

장점: Node IAM Role보다 세밀한 권한 제어, Pod별 권한 분리, 보안 강화.

eksctl, Terraform으로 자동 구성 가능하며, S3, DynamoDB, RDS 접근에 필수적이다.

Q39. Container 보안 스캔과 Admission Controller 통합 전략은?

컨테이너 이미지 보안 스캔은 CI/CD 파이프라인과 런타임 양쪽에서 수행해야 한다.

CI/CD 단계:

Trivy, Clair, Anchore로 빌드 시 취약점 스캔, 심각도 기준(Critical/High)으로 빌드 실패 처리.

런타임 단계:

Admission Webhook(Kyverno, OPA Gatekeeper)으로 배포 전 검증, 서명되지 않은 이미지 차단(Sigstore/Cosign).

정책 예시:

특정 레지스트리만 허용, latest 태그 금지, 루트 사용자 실행 금지, privileged 컨테이너 차단.

Falco로 런타임 이상 행위 탐지, Aqua Security/Sysdig로 통합 보안 관리.

Q40. Secrets 암호화와 Sealed Secrets vs External Secrets Operator 비교는?

Kubernetes Secret은 기본적으로 etcd에 평문 저장되므로 암호화가 필수다.

옵션 비교:

etcd 암호화 (EncryptionConfiguration):

kube-apiserver 설정으로 etcd 저장 시 암호화, KMS(AWS/GCP) 통합 가능, 키 로테이션 복잡.

Sealed Secrets (Bitnami):

공개키로 암호화된 SealedSecret을 Git 저장 가능, 컨트롤러가 복호화 후 Secret 생성, GitOps 친화적, 단일 클러스터 종속.

External Secrets Operator:

AWS Secrets Manager, Vault, GCP Secret Manager와 동기화, 중앙 집중식 관리, 자동 로테이션, 멀티 클러스터 지원, 외부 의존성.

선택 기준: GitOps 환경은 Sealed Secrets, 멀티 클러스터/엔터프라이즈는 External Secrets Operator, 간단한 환경은 etcd 암호화.

💡 용어 설명:

보안 관련 용어들(PSS, PSA, RBAC, NetworkPolicy, IRSA, Sealed Secrets, External Secrets Operator, etcd 암호화 등)에 대한

상세한 설명은 문서 상단의 주요 용어 통합 정리 > 보안 및 인증 섹션을 참고하세요.

← KR_쿠버네티스.md로 돌아가기

KR_K8s_Security - somaz94/DevOps-Engineer GitHub Wiki

쿠버네티스 보안 & 컴플라이언스 (Q36-Q40)

보안 & 컴플라이언스 (36~40번)

Q36. Pod Security Standards(PSS)와 PSA의 enforce/audit/warn 모드 차이는?

Q37. Network Policy의 Egress 규칙과 DNS 허용 패턴은?

DNS 허용 필수 패턴:

특정 외부 API만 허용:

Q38. IRSA(IAM Roles for Service Accounts)의 동작 원리와 구현 방법은?

동작 원리:

Q39. Container 보안 스캔과 Admission Controller 통합 전략은?

CI/CD 단계:

런타임 단계:

정책 예시:

Q40. Secrets 암호화와 Sealed Secrets vs External Secrets Operator 비교는?

옵션 비교:

⚠️ GitHub.com Fallback ⚠️

KR_K8s_Security - somaz94/DevOps-Engineer GitHub Wiki

쿠버네티스 보안 & 컴플라이언스 (Q36-Q40)

보안 & 컴플라이언스 (36~40번)

Q36. Pod Security Standards(PSS)와 PSA의 enforce/audit/warn 모드 차이는?

Q37. Network Policy의 Egress 규칙과 DNS 허용 패턴은?

DNS 허용 필수 패턴:

특정 외부 API만 허용:

Q38. IRSA(IAM Roles for Service Accounts)의 동작 원리와 구현 방법은?

동작 원리:

Q39. Container 보안 스캔과 Admission Controller 통합 전략은?

CI/CD 단계:

런타임 단계:

정책 예시:

Q40. Secrets 암호화와 Sealed Secrets vs External Secrets Operator 비교는?

옵션 비교:

⚠️ **GitHub.com Fallback** ⚠️

⚠️ GitHub.com Fallback ⚠️