버전 1.8. 이 버전은 Anthos 버전 지원 정책에 설명된 대로 지원되며 VMware용 Anthos 클러스터(GKE On-Prem)에 영향을 미치는 보안 취약점, 노출, 문제에 대한 최신 패치와 업데이트를 제공합니다. 자세한 내용은 출시 노트를 참조하세요. 이 버전은 최신 버전이 아닙니다.

클러스터 보안 강화

Kubernetes의 개발 속도로 인해 종종 새로운 보안 기능을 사용하게 됩니다. 이 문서에서는 VMware용 Anthos 클러스터(GKE On-Prem) 클러스터를 강화하는 방법을 설명합니다.

이 문서에서는 클러스터 생성 시 조치가 필요한 고가치 보안 완화 방법을 우선합니다. 중요도가 낮은 기능, 기본 설정에 따른 보안, 클러스터 생성 후 사용 설정할 수 있는 기능은 이 문서의 뒷부분에서 설명합니다. 보안 주제의 일반적인 개요는 보안을 참조하세요.

체크리스트

다음 배포 체크리스트에서는 Anthos 클러스터 플랫폼 배포를 강화하기 위한 권장사항을 중점적으로 설명합니다. 각 사항에 대한 자세한 내용은 이 문서의 섹션을 참조하세요.

배포 체크리스트 설명
ID 및 액세스 제어

vSphere 계정 권한 사용:
최소 권한이 있는 vSphere 관리자 계정을 사용합니다.

안전한 Google Cloud 서비스 계정:
Google Cloud 서비스 계정 권한을 최소화합니다.

OpenID Connect(OIDC 구성):
사용자 인증을 위해 OpenID Connect를 구성합니다.

Kubernetes 네임스페이스 및 RBAC를 사용하여 액세스 제한:
관리 격리와 최소 권한 역할 및 자격에 RBAC를 사용하여 네임스페이스를 사용합니다.

데이터 보호

vSphere 가상 머신 암호화:
VMware용 Anthos 클러스터가 사용하는 볼륨을 암호화하도록 vSphere를 설정합니다.

보안 비밀 관리:
저장 데이터를 암호화합니다.

네트워크 보호

제어 영역 및 노드에 대한 네트워크 액세스 제한:
제어를 설정하여 제어 영역 네트워크와 노드를 격리하고 보호합니다.

네트워크 정책을 사용하여 트래픽 제한:
클러스터 내 트래픽을 제한하는 네트워크 정책을 구현합니다.

선언적 보안

Anthos Config Management 정책 컨트롤러 사용:
클러스터 내에서 선언적 보안 정책에 대한 Anthos Config Management 정책 컨트롤러를 설치합니다.

유지보수

Anthos 업그레이드:
플랫폼에서 최신 버전의 Anthos를 실행 중인지 확인합니다.

보안 게시판 모니터링:
Anthos 보안 게시판에서 버전 관리에 대한 최신 조언과 안내를 확인하세요.

모니터링 및 로깅

Anthos 클러스터 로깅 옵션 설정:
로깅이 사용 설정되어 SIEM 솔루션에 통합되었는지 확인합니다.

ID 및 액세스 제어

vSphere 계정 권한 사용

VMware용 Anthos 클러스터를 설치하는 데 사용하는 vCenter 사용자 계정에는 충분한 권한이 있어야 합니다. 예를 들어 vCenter의 관리자 역할이 할당된 사용자 계정은 모든 vCenter 객체에 대한 전체 액세스 권한이 있으며 VMware용 Anthos 클러스터 관리자에게 전체 액세스 권한을 제공합니다.

Anthos를 성공적으로 설치하는 데 필요한 권한만 부여하는 최소 권한의 원칙이 권장됩니다. 설치를 수행하는 데 필요한 최소 권한 집합과 이러한 권한을 부여하는 데 필요한 명령어를 사전 정의했습니다.

안전한 Google Cloud 서비스 계정

Anthos clusters on VMware에는 3개의 Google Cloud 서비스 계정이 필요합니다.

  • VMware용 Anthos 클러스터 소프트웨어에 액세스하기 위한 사전 정의된 서비스 계정입니다. Anthos를 구매할 때 이 계정을 만듭니다.
  • Connect에서 VMware용 Anthos 클러스터를 Google Cloud에 등록하는 데 사용되는 등록 서비스 계정입니다.
  • Cloud Logging에서 사용할 클러스터 로그를 수집하는 데 사용되는 Cloud Logging 서비스 계정

설치하는 동안 이러한 서비스 계정에 ID 및 액세스 관리 역할을 결합합니다. 이러한 역할은 서비스 계정에 프로젝트 내의 특정 권한을 부여하며, 설치 중에 생성될 수 있습니다.

OpenID Connect 구성

클러스터를 만들 때만 인증을 구성할 수 있습니다. 클러스터의 사용자 인증을 구성하려면 OpenID Connect(OIDC)를 사용하세요.

VMware용 Anthos 클러스터는 사용자 클러스터의 Kubernetes API 서버와 상호작용하는 인증 메커니즘 중 하나로 OIDC를 지원합니다. OIDC를 사용하면 조직에서 사용자 계정을 만들고, 사용 설정하고, 사용 중지하기 위한 표준 절차에 따라 Kubernetes 클러스터에 대한 액세스를 관리할 수 있습니다.

특정 OIDC 지원을 받으려면 다음 문서를 참조하세요.

Kubernetes 네임스페이스 및 RBAC를 사용하여 액세스 제한

팀에 Kubernetes에 대한 최소 액세스 권한을 부여하려면 Kubernetes 네임스페이스 또는 환경별 클러스터를 만듭니다. 책임성 및 지불 거절과 관련하여 각 네임스페이스에 비용 센터 및 적절한 라벨을 지정합니다. 특히 프로덕션 환경에서 애플리케이션을 배포하고 관리하는 데 필요한 네임스페이스의 액세스 수준을 개발자에게만 제공합니다.

사용자가 클러스터에 완료해야 하는 태스크를 매핑하고 각 태스크를 수행하는 데 필요한 권한을 정의합니다. 클러스터 수준 및 네임스페이스 수준의 권한을 부여하려면 Kubernetes RBAC를 사용합니다.

VMware용 Anthos 클러스터를 설치하는 데 사용되는 Google Cloud 서비스 계정의 권한 외에 IAM은 VMware용 Anthos 클러스터에 적용되지 않습니다.

자세한 내용은 다음 설명서를 참조하세요.

데이터 보호

vSphere 가상 머신 암호화

VMware용 Anthos 클러스터의 클러스터 노드는 vSphere 클러스터의 가상 머신(VM)에서 실행됩니다. 저장 데이터를 모두 암호화하는 것이 좋습니다. vSphere에서 이 작업을 수행하려면 VMware vSphere 보안 PDFVM 암호화 권장사항 안내를 따르세요.

Anthos를 설치하기 전에 이 작업을 수행해야 합니다.

보안 비밀 관리

etcd에 저장된 Kubernetes 보안 비밀과 같은 민감한 정보에 추가적인 보안 레이어를 제공하도록 VMware용 Anthos 클러스터와 통합된 Secret Manager를 구성합니다.

여러 환경에서 워크로드를 실행하는 경우 Google Kubernetes Engine 및 VMware용 Anthos 클러스터 모두에서 작동하는 솔루션을 선호할 수 있습니다. HashiCorp Vault와 같은 외부 Secret Manager를 사용하는 경우 VMware용 Anthos 클러스터를 통합하기 전에 설정합니다.

보안 비밀 관리에는 여러 가지 옵션이 있습니다.

  • 기본적으로 VMware용 Anthos 클러스터에서 Kubernetes 보안 비밀을 사용할 수 있습니다. 앞에서 설명한 것처럼 클러스터는 VM에 vSphere 암호화를 사용하여 보안 비밀에 대한 기본적인 저장 데이터 암호화 보호 기능을 제공합니다. 보안 비밀은 기본적으로 더 이상 암호화되지 않습니다.
  • HashiCorp Vault와 같은 외부 Secret Manager를 사용할 수 있습니다. Kubernetes 서비스 계정 또는 Google Cloud 서비스 계정을 사용하여 HashiCorp에 인증할 수 있습니다.

자세한 내용은 다음 설명서를 참조하세요.

네트워크 보호

제어 영역 및 노드에 대한 네트워크 액세스 제한

클러스터 제어 영역과 노드의 인터넷 노출을 제한합니다. 클러스터를 만든 후에는 이러한 선택 항목을 변경할 수 없습니다. 기본적으로 VMware용 Anthos 클러스터의 클러스터 노드는 RFC 1918 주소를 사용하여 생성되며 이를 변경하지 않는 것이 좋습니다. 온프레미스 네트워크에 방화벽 규칙을 구현하여 제어 영역에 대한 액세스를 제한합니다.

네트워크 정책을 사용하여 트래픽 제한

기본적으로 VMware용 Anthos 클러스터의 모든 서비스는 서로 통신할 수 있습니다. 워크로드에 필요에 따라 서비스 간 통신을 제어하는 방법에 대한 자세한 내용은 다음 섹션을 참조하세요.

서비스에 대한 네트워크 액세스를 제한하면 클러스터 내에서 공격자의 측면 이동이 더 어려워지고 실수로 인한 서비스 거부나 고의적인 서비스 거부로부터 서비스를 보호할 수 있습니다. 트래픽을 제어하는 두 가지 권장 방법이 있습니다.

  • 애플리케이션의 엔드포인트에 대한 L7 트래픽을 제어하려면 Istio를 사용합니다. 부하 분산, 서비스 승인, 제한, 할당량, 측정항목에 관심이 있다면 이 옵션을 선택하세요.
  • 포드 간 L4 트래픽을 제어하려면 Kubernetes 네트워크 정책을 사용합니다. Kubernetes에서 관리하는 기본 액세스 제어 기능을 찾고 있는 경우 이 옵션을 선택합니다.

VMware용 Anthos 클러스터의 클러스터를 만든 후에 Istio 및 Kubernetes 네트워크 정책을 모두 사용 설정할 수 있습니다. 필요한 경우 함께 사용해도 됩니다.

자세한 내용은 다음 설명서를 참조하세요.

선언적 보안

Anthos Config Management 정책 컨트롤러 사용

Kubernetes 허용 컨트롤러는 Kubernetes 클러스터 사용 방법을 제어하고 적용하는 플러그인입니다. 허용 컨트롤러는 클러스터를 강화하기 위한 심층 방어 방식에서 중요한 요소입니다.

Anthos Config Management의 정책 컨트롤러를 사용하는 것이 가장 좋습니다. 정책 컨트롤러는 OPA 제약조건 프레임워크를 사용하여 CRD로 정책을 설명하고 적용합니다. 클러스터에 적용하는 제약조건은 클러스터에 배포되는 제약조건 템플릿에서 정의됩니다.

정책을 시행하기 전에 정책을 테스트할 수 있는 추가 기능과 함께PodSecurityPolicies와 동일한 보호를 많이 달성하기 위해 정책 컨트롤러 제약조건을 사용하는 방법에 대한 자세한 내용은 제약조건을 사용하여 포드 보안 적용을 참조하세요.

자세한 내용은 다음 설명서를 참조하세요.

유지보수

Anthos 업그레이드

Kubernetes에는 새로운 보안 기능과 보안 패치가 정기적으로 제공됩니다.

VMware용 Anthos 클러스터 클러스터를 최신 상태로 유지해야 합니다. 각 출시 버전의 출시 노트를 검토합니다. 또한 매월 새로운 패치 출시 버전으로 업데이트하고 3개월마다 부 버전으로 업데이트하세요. 클러스터를 업그레이드하는 방법을 알아봅니다.

또한 vSphere 인프라를 업그레이드하고 보호해야 합니다.

보안 게시판 모니터링

Anthos 보안팀은 심각도가 높거나 매우 높은 취약점에 대한 보안 게시판 게시합니다.

이 게시판은 일반적인 Google Cloud 취약점 번호 지정 체계를 따르며 기본 Google Cloud 게시판 페이지와 VMware용 Anthos 클러스터 출시 노트에서 연결됩니다. 각 보안 게시판 페이지에는 사용자가 업데이트를 구독할 수 있는 RSS 피드가 있습니다.

심각도가 높거나 매우 높은 취약점을 해결하기 위해 고객의 조치가 필요한 경우 Google에서는 이메일로 고객에게 연락합니다. 또한 지원 채널의 지원 계약을 통해 고객에게 연락할 수도 있습니다.

자세한 내용은 다음 설명서를 참조하세요.

모니터링 및 로깅

Anthos 클러스터 로깅 옵션 설정

VMware용 Anthos 클러스터에는 클라우드 기반 관리형 서비스, 오픈소스 도구, 타사 상업용 솔루션과의 검증된 호환성을 비롯한 여러 가지 클러스터 로깅 및 모니터링 옵션이 포함되어 있습니다.

  • VMware용 Anthos 클러스터를 사용하여 배포한 클러스터 내 에이전트로 사용 설정된 Cloud Logging 및 Cloud Monitoring 입니다.
  • Prometheus 및 Grafana(기본적으로 사용 중지됨)
  • 타사 솔루션을 사용한 검증된 구성

비즈니스 요구사항에 따라 선택하는 로깅 솔루션 모두 보안 이슈 관리를 위해 중앙 집중식 보안 정보 및 이벤트 관리(SIEM) 서비스에 전달 관련 이벤트 및 알림을 로깅하는 것이 좋습니다.

자세한 내용은 다음 설명서를 참조하세요.