Google Cloud에서는 Fleet과 Fleet에서 실행되는 애플리케이션이 보호되도록 다양한 기능을 제공합니다. 이 페이지에서는 Fleet 보안 기능을 간략히 설명하고 자세한 내용을 확인할 수 있는 링크를 제공합니다.
ID 관리
Google Cloud에서는 클러스터가 있는 위치와 관계없이 간단하고 일관되며 안전한 방식으로 Fleet 클러스터에 인증할 수 있는 다음 옵션을 제공합니다. 인증을 설정한 후에는 Kubernetes 역할 기반 액세스 제어(RBAC)를 사용하여 클러스터에 대한 액세스 제어를 더욱 세분화하여 구성할 수 있습니다.
Google Cloud로 인증
Google Cloud의 모든 GKE 클러스터는 기본적으로 Google Cloud 사용자와 서비스 계정 ID를 수락하도록 구성됩니다. Fleet에 여러 환경의 클러스터가 포함된 경우 사용자와 서비스 계정도 Google Cloud ID를 사용하여 등록된 클러스터에 인증할 수 있도록 Connect 게이트웨이를 구성할 수 있습니다.
다음 가이드에서 Google Cloud로 인증을 설정하고 사용하는 방법을 자세히 알아봅니다.
타사 제공업체로 인증
기존 타사 ID 공급업체를 사용해서 Fleet 클러스터에 인증을 수행하려는 경우 GKE Identity Service가 인증 서비스로 사용되어 기존 ID 솔루션을 여러 환경에 제공할 수 있습니다. Okta 및 Microsoft AD FS와 같은 모든 OpenID Connect(OIDC) 공급자와 일부 환경의 LDAP 공급자를 위한 미리보기 지원을 지원합니다. GKE Identity Service를 클러스터별로 또는 전체 Fleet에 대한 단일 구성(지원되는 경우)으로 설정할 수 있습니다.
다음 가이드에서 지원되는 환경과 제공업체를 포함하여 타사 인증 설정 및 사용을 자세히 알아봅니다.
Bearer 토큰으로 인증
앞선 Google 제공 솔루션이 조직에 적합하지 않으면 Kubernetes 서비스 계정을 사용하여 인증을 설정하고 Bearer 토큰을 사용하여 로그인할 수 있습니다. 자세한 내용은 Bearer 토큰을 사용하여 설정을 참조하세요.
Fleet 보안 관리
Google Cloud는 다음과 같이 Fleet 및 워크로드의 보안을 향상시켜 주는 다양한 기능과 제품을 제공합니다.
- 신뢰할 수 있는 이미지만 Fleet 클러스터에 배포되도록 보장하는 Binary Authorization
- 포드 간 연결을 제어하는 Kubernetes 네트워크 정책
- Cloud Service Mesh에 대해 미세 조정된 서비스 액세스 제어
- 클러스터 보안 상황을 모니터링하는 GKE 보안 상황 대시보드
Fleet 보안 상황 모니터링
GKE 보안 상황 대시보드는 Fleet의 GKE 클러스터에서 보안 문제를 평가 및 관리하도록 돕고 보안 문제를 해결하기 위한 실행 가능한 추천을 제공합니다. 포함된 기능은 다음과 같습니다.
- 구성 감사: 초과 권한이 부여된 포드와 같은 워크로드 사양의 잘못된 구성
- 취약점 스캔: 컨테이너 운영체제 또는 언어 패키지의 실행 가능한 취약점
- 정책 컨트롤러를 사용한 규정 준수 감사(GKE Enterprise가 사용 설정된 프로젝트만 해당)
대시보드에는 선택한 Fleet의 모든 클러스터와 선택한 프로젝트의 모든 독립형 GKE 클러스터에 대해 발견된 문제가 표시됩니다.
- 자세한 내용과 전체 기능 목록은 보안 상황 대시보드 정보를 참조하세요.
- 가격 책정 정보는 GKE 보안 상황 대시보드 가격 책정을 참조하세요.
Fleet 수준에서 보안 상황 대시보드 기능 구성
GKE Enterprise를 사용 설정한 경우 Fleet의 모든 클러스터가 보안 관측 가능성에 대한 동일한 기본 설정을 사용할 수 있도록 Fleet 수준에서 일부 보안 대시보드 기능을 관리할 수 있습니다.
- Fleet의 보안 상황 대시보드 기능을 구성하는 방법을 알아보세요.
Fleet 보안 리소스
다음 가이드에서 Fleet 보안 기능에 대해 자세히 알아보세요.
- Binary Authorization
- Kubernetes 네트워크 정책
- Cloud Service Mesh의 애플리케이션 보안:
- 보안 상태 대시보드 정보
업계 표준에 따른 클러스터 규정 준수 모니터링
GKE Compliance 대시보드는 CIS GKE 벤치마크 및 Kubernetes 포드 보안 표준과 같은 업계 표준에 따른 클러스터 규정 준수 개요를 제공합니다. 대시보드는 규정 준수 보고를 자동화하고 발견된 문제에 대한 자세한 목록과 실행 가능한 권장사항을 제공합니다.
- 규정 준수 감사 사용 설정에 대한 자세한 내용은 규정 준수 표준 클러스터 감사를 참조하세요.
- 규정 준수 대시보드에 대한 자세한 내용은 GKE Compliance 대시보드 정보를 참조하세요.
클러스터 정책 관리
정책 컨트롤러를 사용 설정하면 클러스터에 완전히 프로그래밍 가능한 정책을 적용할 수 있습니다. 이러한 정책은 '가드레일' 역할을 하며 Kubernetes API 구성 변경으로 인해 보안, 운영, 규정 준수 제어를 위반하는 것을 방지합니다.
정책 컨트롤러 문서에서 정책 컨트롤러로 할 수 있는 작업을 자세히 알아봅니다.