PCI-DSS v3.2.1 정책 제약조건 사용

정책 컨트롤러는 PCI-DSS v3.2.1 번들과 함께 사용하여 결제 카드 산업 데이터 보안 표준(PCI-DSS) v3.2.1의 일부 요소에 대해 클러스터 리소스의 규정 준수를 평가할 수 있는 제약조건 템플릿의 기본 라이브러리와 함께 제공됩니다.

PCI-DSS v3.2.1 정책 번들 제약조건

제약조건 이름 제약조건 설명 컨트롤 ID 프로필
pci-dss-v3.2.1-resources-have-required-labels 모든 앱에 지정된 라벨을 포함하도록 요구하여 방화벽 요구 사항을 보장합니다. 1.1.4 Standard
pci-dss-v3.2.1-apps-must-have-certain-set-of-annotations 모든 앱에 지정된 주석을 포함하도록 요구하여 네트워크 제어의 요구사항을 보장합니다. 1.1.5, 2.4 Standard
pci-dss-v3.2.1-require-default-deny-network-policies 클러스터에 정의된 모든 네임스페이스에 이그레스를 위한 기본 거부 NetworkPolicy가 있어야 합니다. 1.2, 1.3, 2.2.2 확장
pci-dss-v3.2.1-block-all-ingress 인그레스 객체 생성을 제한합니다. 1.2, 1.3 확장
pci-dss-v3.2.1-require-valid-network-ranges 인그레스 및 이그레스에서 사용할 수 있는 CIDR 범위를 제한합니다. 1.2, 1.3.2 확장
pci-dss-v3.2.1-require-namespace-network-policies 클러스터에 정의된 모든 네임스페이스에 NetworkPolicy가 있어야 합니다. 1.2 Standard
pci-dss-v3.2.1-enforce-managed-by-configmanagement-label RoleBinding 리소스에 유효한 app.kubernetes.io/managed-by= 라벨이 필요합니다. 1.2.2, 8.1.2 Standard
pci-dss-v3.2.1-block-creation-with-default-serviceaccount 기본 서비스 계정을 사용하여 리소스 만들기를 제한합니다. 2.1 Standard
pci-dss-v3.2.1-restrict-default-namespace 기본 네임스페이스를 사용하는 포드를 제한합니다. 2.1 Standard
pci-dss-v3.2.1-asm-peer-authn-strict-mtls 모든 PeerAuthentications로 엄격한 mMTLS를 덮어쓸 수 없음을 적용합니다. 4.1 Standard
pci-dss-v3.2.1-require-av-daemonset 바이러스 백신 daemonset이 있어야 합니다. 5.1.1, 5.3 Standard
pci-dss-v3.2.1-enforce-config-management 구성 동기화의 존재 및 사용 설정을 적용합니다. 5.3, 6.1, 6.4 Standard
pci-dss-v3.2.1-enforce-cloudarmor-backendconfig BackendConfig 리소스에 Cloud Armor 구성을 적용합니다. 6.5, 6.6 Standard
pci-dss-v3.2.1-restrict-rbac-subjects RBAC 주제에서 이름 사용을 허용된 값으로 제한합니다. 8.1, 8.1.5 확장
pci-dss-v3.2.1-block-secrets-of-type-basic-auth 기본 인증 유형 보안 비밀을 제한합니다. 8.1.5, 8.2.3, 8.5 Standard
pci-dss-v3.2.1-nodes-have-consistent-time COS를 OS 이미지로 사용하여 노드에서 일관되고 올바른 시간을 보장합니다. 10.4.1, 10.4.3 Standard

표준 및 확장 번들 제약조건 비교

PCI-DSS v3.2.1 번들은 PCI-DSS v3.2.1 제어의 일부 측면을 달성하기 위해 독자적인 정책 요구사항을 구현합니다. 표준 번들의 요구사항에 맞게 워크로드를 수정하는 것 외에도 환경에 대한 맞춤설정이 필요한 확장 제약조건 집합(선택사항)을 사용할 수 있습니다.

시작하기 전에

  1. 이 안내에서 사용되는 gcloudkubectl 명령어를 제공하는 Google Cloud CLI를 설치하고 초기화합니다. Cloud Shell을 사용하는 경우 Google Cloud CLI가 사전 설치됩니다.
  2. 기본 제약조건 템플릿 라이브러리를 사용하여 클러스터에 v1.14.3 이상의 정책 컨트롤러를 설치합니다. 이 번들에는 참조 제약조건이 포함되어 있으므로 참조 제약조건에 대한 지원을 사용 설정해야 합니다.

참조 제약조건에 맞게 정책 컨트롤러 구성

  1. 다음 YAML 매니페스트를 파일에 policycontroller-config.yaml로 저장합니다. 이 매니페스트는 특정 종류의 객체를 감시하도록 정책 컨트롤러를 구성합니다.

    apiVersion: config.gatekeeper.sh/v1alpha1
kind: Config
metadata:
  name: config
  namespace: "gatekeeper-system"
spec:
  sync:
    syncOnly:
      - group: "apps"
        version: "v1"
        kind: "DaemonSet"
      - group: "networking.k8s.io"
        version: "v1"
        kind: "NetworkPolicy"

  2. policycontroller-config.yaml 매니페스트를 적용합니다.

    kubectl apply -f policycontroller-config.yaml

PCI-DSS v3.2.1용 클러스터 워크로드 구성

표준 번들

  1. 모든 앱(ReplicaSet, Deployment, StatefulSet, DaemonSet)에는 pci-dss-[0-9]{4}q[1-4] 스키마의 pci-dss-firewall-audit label이 포함되어야 합니다.
  2. 모든 앱(ReplicaSet, Deployment, StatefulSet, DaemonSet)에는 YYYY-MM-DD 스키마의 network-controls/date 주석이 포함되어야 합니다.
  3. 클러스터에 정의된 모든 namespace에는 NetworkPolicy가 있어야 합니다.
  4. 기본적으로 configmanagement.gke.io에 대한 구성 동기화를 사용해야 하지만 pci-dss-v3.2.1-enforce-managed-by-configmanagement-label 제약조건에서 허용되는 app.kubernetes.io/managed-by 값을 맞춤설정할 수 있습니다.
  5. 기본 서비스 계정을 사용하여 리소스를 만들 수 없습니다.
  6. 기본 namespace를 포드에 사용할 수 없습니다.
  7. Anthos Service Mesh를 사용하는 경우 ASM PeerAuthentication은 엄격한 mTLS spec.mtls.mode: STRICT를 사용해야 합니다.
  8. 바이러스 백신 솔루션이 필요합니다. 기본값은 pci-dss-av namespaceclamav라는 daemonset가 있지만 daemonset의 이름과 네임스페이스는 pci-dss-v3.2.1-require-av-daemonset 제약조건의 구현에 따라 맞춤설정할 수 있습니다.
  9. 구성 동기화가 있고 사용 설정되어야 합니다.
  10. 모든 BackendConfigCloudArmor 대해 구성되어야 합니다.
  11. basic-auth 유형의 보안 비밀 사용은 허용되지 않습니다.
  12. 모든 노드는 일관된 시간 동안 이미지에 대해 Google Container-Optimized OS를 사용해야 합니다.

확장 번들(맞춤설정이 필요한 경우 선택사항)

  1. 클러스터에 정의된 모든 namespace에는 이그레스에 대한 기본 거부 NetworkPolicy가 있습니다. 허용되는 예외는 pci-dss-v3.2.1-require-namespace-network-policies에 지정할 수 있습니다.
  2. 허용되는 인그레스 객체(NodePortLoadBalancerIngress, Gateway, Service 유형)만 만들 수 있으며 pci-dss-v3.2.1-block-all-ingress에 지정할 수 있습니다.
  3. 인그레스 및 Express에는 허용된 IP 범위만 사용할 수 있으며, pci-dss-v3.2.1-require-valid-network-ranges에 지정할 수 있습니다.
  4. 허용된 주체만 RBAC 바인딩에 사용할 수 있고 도메인 이름을 pci-dss-v3.2.1-restrict-rbac-subjects에 지정할 수 있습니다.

PCI-DSS v3.2.1 정책 번들 감사

정책 컨트롤러를 사용하면 Kubernetes 클러스터에 정책을 적용할 수 있습니다. 앞의 테이블에서 설명된 PCI-DSS v3.2.1 정책과 관련하여 워크로드 및 규정 준수를 테스트하는 데 도움이 되도록, '감사' 모드에서 이러한 제약조건을 배포하여 위반 사항을 표시할 수 있고 더 중요하게는 Kubernetes 클러스터에 적용하기 전에 문제를 해결할 기회를 가질 수 있습니다.

kubectl, kpt 또는 구성 동기화를 사용하여 dryrun으로 설정된 spec.enforcementAction으로 이러한 정책을 적용할 수 있습니다.

kubectl

  1. (선택사항) kubectl을 사용하여 정책 제약조건을 미리 봅니다.

    kubectl kustomize https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v3.2.1

  2. kubectl을 사용하여 정책 제약조건을 적용합니다.

    kubectl apply -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v3.2.1

    출력은 다음과 같습니다.

    asmpeerauthnstrictmtls.constraints.gatekeeper.sh/pci-dss-v3.2.1-asm-peer-authn-strict-mtls created
k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/pci-dss-v3.2.1-block-creation-with-default-serviceaccount created
k8sblockobjectsoftype.constraints.gatekeeper.sh/pci-dss-v3.2.1-block-secrets-of-type-basic-auth created
k8senforcecloudarmorbackendconfig.constraints.gatekeeper.sh/pci-dss-v3.2.1-enforce-cloudarmor-backendconfig created
k8senforceconfigmanagement.constraints.gatekeeper.sh/pci-dss-v3.2.1-enforce-config-management created
k8srequirecosnodeimage.constraints.gatekeeper.sh/pci-dss-v3.2.1-nodes-have-consistent-time created
k8srequiredaemonsets.constraints.gatekeeper.sh/pci-dss-v3.2.1-require-av-daemonset created
k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/pci-dss-v3.2.1-require-namespace-network-policies created
k8srequiredannotations.constraints.gatekeeper.sh/pci-dss-v3.2.1-apps-must-have-certain-set-of-annotations created
k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v3.2.1-enforce-managed-by-configmanagement-label created
k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v3.2.1-resources-have-required-labels created
k8srestrictnamespaces.constraints.gatekeeper.sh/pci-dss-v3.2.1-restrict-default-namespace created

  3. 정책 제약조건이 설치되었는지 확인하고 클러스터 전체에 위반 사항이 있는지 확인합니다.

    kubectl get -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v3.2.1

    출력은 다음과 비슷합니다.

    NAME                                                                                         ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
asmpeerauthnstrictmtls.constraints.gatekeeper.sh/pci-dss-v3.2.1-asm-peer-authn-strict-mtls   dryrun               0

NAME                                                                                                                            ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/pci-dss-v3.2.1-block-creation-with-default-serviceaccount   dryrun               0

NAME                                                                                              ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sblockobjectsoftype.constraints.gatekeeper.sh/pci-dss-v3.2.1-block-secrets-of-type-basic-auth   dryrun               0

NAME                                                                                                          ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8senforcecloudarmorbackendconfig.constraints.gatekeeper.sh/pci-dss-v3.2.1-enforce-cloudarmor-backendconfig   dryrun               0

NAME                                                                                            ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8senforceconfigmanagement.constraints.gatekeeper.sh/pci-dss-v3.2.1-enforce-config-management   dryrun               0

NAME                                                                                         ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequirecosnodeimage.constraints.gatekeeper.sh/pci-dss-v3.2.1-nodes-have-consistent-time   dryrun               0

NAME                                                                                 ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequiredaemonsets.constraints.gatekeeper.sh/pci-dss-v3.2.1-require-av-daemonset   dryrun               0

NAME                                                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/pci-dss-v3.2.1-require-namespace-network-policies   dryrun               0

NAME                                                                                                        ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequiredannotations.constraints.gatekeeper.sh/pci-dss-v3.2.1-apps-must-have-certain-set-of-annotations   dryrun               0

NAME                                                                                                   ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v3.2.1-enforce-managed-by-configmanagement-label   dryrun               0
k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v3.2.1-resources-have-required-labels              dryrun               0

NAME                                                                                        ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srestrictnamespaces.constraints.gatekeeper.sh/pci-dss-v3.2.1-restrict-default-namespace   dryrun               0

kpt

  1. kpt를 설치하고 설정합니다. 이 안내에서는 kpt를 사용하여 Kubernetes 리소스를 맞춤설정하고 배포합니다.

  2. kpt를 사용하여 GitHub에서 PCI-DSS v3.2.1 정책 번들을 다운로드합니다.

    kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v3.2.1

  3. set-enforcement-action kpt 함수를 실행하여 정책의 시정 조치를 dryrun으로 설정합니다.

    kpt fn eval pci-dss-v3.2.1 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 \
  -- enforcementAction=dryrun

  4. 변경사항을 추적하는 리소스를 만드는 kpt로 작업 디렉터리를 초기화합니다.

    cd pci-dss-v3.2.1
kpt live init

  5. kpt로 정책 제약조건을 적용합니다.

    kpt live apply

  6. 정책 제약조건이 설치되었는지 확인하고 클러스터 전체에 위반 사항이 있는지 확인합니다.

    kpt live status --output table --poll-until current

    CURRENT 상태는 제약조건이 성공적으로 설치되었음을 확인합니다.

구성 동기화

  1. kpt를 설치하고 설정합니다. 이 안내에서는 kpt를 사용하여 Kubernetes 리소스를 맞춤설정하고 배포합니다.

구성 동기화를 사용하여 클러스터에 정책을 배포하는 운영자는 다음 안내를 따르세요.

  1. 구성 동기화의 동기화 디렉터리로 변경합니다.

    cd SYNC_ROOT_DIR

    resourcegroup.yaml.gitignore를 만들거나 추가하려면 다음 안내를 따르세요. 

    echo resourcegroup.yaml >> .gitignore

  2. 전용 policies 디렉터리를 만듭니다.

    mkdir -p policies

  3. kpt를 사용하여 GitHub에서 PCI-DSS v3.2.1 정책 번들을 다운로드합니다.

    kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v3.2.1 policies/pci-dss-v3.2.1

  4. set-enforcement-action kpt 함수를 실행하여 정책의 시정 조치를 dryrun으로 설정합니다.

    kpt fn eval policies/pci-dss-v3.2.1 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=dryrun

  5. (선택사항) 생성될 정책 제약조건을 미리 봅니다.

    kpt live init policies/pci-dss-v3.2.1
kpt live apply --dry-run policies/pci-dss-v3.2.1

  6. 구성 동기화의 동기화 디렉터리에 Kustomize가 사용되는 경우 루트 kustomization.yamlpolicies/pci-dss-v3.2.1를 추가합니다. 그렇지 않으면 policies/pci-dss-v3.2.1/kustomization.yaml 파일을 삭제합니다.

    rm SYNC_ROOT_DIR/policies/pci-dss-v3.2.1/kustomization.yaml

  7. 구성 동기화 저장소에 변경사항을 푸시합니다.

    git add SYNC_ROOT_DIR/policies/pci-dss-v3.2.1
git commit -m 'Adding PCI-DSS v3.2.1 policy audit enforcement'
git push

  8. 설치 상태를 확인합니다.

    watch gcloud beta container fleet config-management status --project PROJECT_ID

    SYNCED 상태는 정책 설치를 확인합니다.

정책 위반 보기

정책 제약조건이 감사 모드로 설치되면 정책 컨트롤러 대시보드를 사용하여 UI에서 클러스터의 위반 사항을 볼 수 있습니다.

또한 kubectl을 사용하여 다음 명령어를 사용하여 클러스터에서 위반 사항을 볼 수 있습니다.

kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v3.2.1 -o json | jq -cC '.items[]| [.metadata.name,.status.totalViolations]'

위반이 있는 경우 제약조건당 위반 메시지 목록을 다음에서 볼 수 있습니다.

kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v3.2.1 -o json | jq -C '.items[]| select(.status.totalViolations>0)| [.metadata.name,.status.violations[]?]'

PCI-DSS v3.2.1 정책 번들 시정 조치 변경

클러스터에서 정책 위반을 검토한 후에는 허용 컨트롤러가 호환되지 않는 리소스가 클러스터에 적용되지 않도록 warn 또는 deny를 수행할 수 있도록 시행 모드 변경을 고려할 수 있습니다.

kubectl

  1. kubectl을 사용하여 정책의 시정 조치를 warn로 설정합니다.

    kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v3.2.1 -o name | xargs -I {} kubectl patch {} --type='json' -p='[{"op":"replace","path":"/spec/enforcementAction","value":"warn"}]'

  2. 정책 제약조건 시정 조치가 업데이트되었는지 확인합니다.

    kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v3.2.1

kpt

  1. set-enforcement-action kpt 함수를 실행하여 정책의 시정 조치를 warn으로 설정합니다.

    kpt fn eval -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn

  2. 정책 제약조건을 적용합니다.

    kpt live apply

구성 동기화

구성 동기화를 사용하여 클러스터에 정책을 배포하는 운영자는 다음 안내를 따르세요.

  1. 구성 동기화의 동기화 디렉터리로 변경합니다.

    cd SYNC_ROOT_DIR

  2. set-enforcement-action kpt 함수를 실행하여 정책의 시정 조치를 warn으로 설정합니다.

    kpt fn eval policies/pci-dss-v3.2.1 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn

  3. 구성 동기화 저장소에 변경사항을 푸시합니다.

    git add SYNC_ROOT_DIR/policies/pci-dss-v3.2.1
git commit -m 'Adding PCI-DSS v3.2.1 policy bundle warn enforcement'
git push

  4. 설치 상태를 확인합니다.

    gcloud alpha anthos config sync repo list --project PROJECT_ID

    SYNCED 열에 표시된 저장소는 정책 설치를 확인합니다.

테스트 정책 시행

다음 명령어를 사용하여 클러스터에 정책을 준수하지 않는 리소스를 만듭니다.

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
  namespace: default
  name: wp-non-compliant
  labels:
    app: wordpress
spec:
  containers:
    - image: wordpress
      name: wordpress
      ports:
      - containerPort: 80
        name: wordpress
EOF

다음 예시와 같이 허용 컨트롤러는 이 리소스가 위반하는 정책 위반을 나열하는 경고를 생성해야 합니다.

Warning: [pci-dss-v3.2.1-restrict-default-namespace] <default> namespace is restricted
pod/wp-non-compliant created

PCI-DSS v3.2.1 정책 번들 삭제

필요한 경우 클러스터에서 PCI-DSS v3.2.1 정책 번들을 삭제할 수 있습니다.

kubectl

  • kubectl을 사용하여 정책을 삭제합니다.

    kubectl delete constraint -l policycontroller.gke.io/bundleName=pci-dss-v3.2.1

kpt

  • 정책을 삭제합니다.

    kpt live destroy

구성 동기화

구성 동기화를 사용하여 클러스터에 정책을 배포하는 운영자는 다음 안내를 따르세요.

  1. 구성 동기화 저장소에 변경사항을 푸시합니다.

    git rm -r SYNC_ROOT_DIR/policies/pci-dss-v3.2.1
git commit -m 'Removing PCI-DSS v3.2.1 policies'
git push

  2. 상태를 확인합니다.

    gcloud alpha anthos config sync repo list --project PROJECT_ID

    SYNCED 열에 표시된 저장소는 정책 삭제를 확인합니다.