🔭Kubernetes 보안 문제를 검토하는 CIS Benchmark

안녕하세요 구독자님, 최신 DevOps 소식을 정리해서 공유해드리는 DevOps 여행을 위한 소식지입니다.

이번주에는 Kubernetes의 인프라 환경의 보안 이슈나 취약점을 검토하는 CIS Kubernetes Benchmark와, 이러한 검토 활동을 도와주는 kube-bench에 대해 알아보겠습니다.

🔎지금 운영하는 Kubernetes 클러스터는 안전할까? CIS Benchmark

CIS Benchmark란, 사이버 보안성 향상을 위해 활동하는 국제 조직 'Center of Internet Security'에서 제안하는 IT 인프라 보안 관련 우수 사례 및 가이드라인을 의미합니다.

현재 AWS와 같은 퍼블릭 클라우드부터 Ubuntu Linux 같은 운영체제까지, 다양한 대상에 대한 여러 종류의 CIS Benchmark가 공개되어 있는데요. 이 중 Kubernetes와 관련된 것이 바로 CIS Kubernetes Benchmark입니다.

그렇다면 CIS Kubernetes Benchmark는 어떤 역할을 할 수 있을까요? 

먼저, 다양한 전문가들이 모인 국제 조직 CIS에서 Kubernetes에 특화된 보안 가이드라인을 제공하여, 현재 알려진 Kubernetes 관련 취약점과 잘못된 클러스터 설정으로부터 안전한 Kubernetes 환경을 구축하는 것을 도와줄 수 있습니다.

또한 인프라/DevOps 엔지니어 입장에선 CIS Benchmark를 활용하는 툴을 사용함으로써 Kubernetes 클러스터가 보안 측면에서 권장되는 기준에 부합하는지를 쉽게 확인하고 적절한 조치를 취할 수 있게 됩니다.

CIS Kubernetes Benchmark의 대표적인 검토 대상은 다음과 같습니다.

CIS Kubernetes Benchmark는 위 대상에 대해 다수의 권장 사항으로 구성되어 있으며, 각 사항의 검토 결과는 보안 수준이나 준수 여부, 준수해야 하는 주체 등이 명시됩니다. 

지금까지 CIS Kubernetes Benchmark에 대해 살펴보았는데요. 그렇다면 어떻게 Benchmark 검토를 할 수 있을까요? 위에서도 잠깐 언급했지만, 관련 툴을 사용하는 것이 일반적인데요. 여러가지 툴 중에서도 많이 쓰이는 kube-bench에 대해 알아보겠습니다.

📊CIS Kubernetes Benchmark 검토를 도와주는 kube-bench

CIS Benchmark 검토로 kube-bench를 많이 사용하는 이유는 편의성 때문인데요. kube-bench는 아래 두 가지 방식으로 CIS Kubernetes Benchmark 검토 및 결과 확인을 쉽고 빠르게 할 수 있습니다.  

kube-bench 실행 후 검토 결과는 위 이미지와 같이 표시됩니다.

각 카테고리의 보안 사항에 대한 검토 결과를 확인할 수 있으며, 현재 보안 사항의 준수 여부(PASS/FAIL)와 보안 사항에 대한 세부 설명에 대해서도 확인할 수 있습니다.

위 검토 결과 항목 중 FAIL로 표시된 1.1.1 항목을 예로 들어서 설명해보겠습니다.

1.1.1 항목은 Kubernetes API 서버의 --allow-privileged 옵션 값을 false로 변경하라는 권장사항인데요. 실제로 해당 항목은 Kubernetes API 서버에 너무 많은 권한을 주지 않음으로써 보안성을 높이기 위한 권장 사항입니다.

위와 같은 검토 결과가 나왔다는 것은 현재 Kubernetes API Server의 --allow-privileged 값이 false가 아니란 뜻이며, 만약 해당 값을 false로 변경 후 다시 kube-bench를 실행하면 1.1.1 항목에 대한 검토 결과가 PASS로 표시됩니다.

이런 방식으로 CIS Kubernetes Benchmark에서 권장하는 보안 항목을 준수하면, 더욱 안전한 Kubernetes 환경을 구성할 수 있습니다.

🔭마치며...

이번 소식지에선 Kubernetes 클러스터의 보안성을 높여주는 가이드라인 CIS Kubernetes Benchmark와 kube-bench 툴에 대해서 알아봤습니다.🤓

혹시 이번 내용 관련해서 더 궁금한 점이 있으시다면 아래 메일리 댓글 남겨주세요.😀

그럼, 다음 소식지에서 보다 알차고 흥미로운 내용으로 찾아뵙겠습니다.

감사합니다. 😺

🔗References

DevOps와 클라우드 관련 기술 지식을 공유하는 블로그도 운영 중입니다 :)

🔭DevOps 여행을 위한 안내서