Knative serving의 보안 권장사항

이 문서에서는 보안 권장사항에 따라 Knative serving과 주요 구성요소를 구성하는 방법을 설명합니다.

Knative serving 보호

Knative serving은 오픈소스 Knative 프로젝트를 기반으로 하며 보안 상황을 상속합니다.

Knative serving에서 실행되는 워크로드는 동일한 네트워크 및 컴퓨팅 노드를 공유합니다. 상호 신뢰가 없는 워크로드에 대해 별도의 클러스터를 만들어야 합니다. Knative serving 클러스터는 CI/CD 인프라 또는 데이터베이스와 같이 관련 없는 워크로드를 실행해서는 안 됩니다.

Knative serving 워크로드에 대한 클러스터를 여러 개 만드는 이유는 다음과 같습니다.

• 프로덕션 환경에서 개발 분리
• 여러 팀에서 소유한 애플리케이션 격리
• 권한이 높은 워크로드 격리

클러스터를 설계한 후 클러스터 보호를 위해 다음 작업을 수행합니다.

• 클러스터에 대한 액세스 제한
• Knative 위협 모델 이해
• 커뮤니티 지원 도구를 사용하려는 경우 Knative 보안 참조 읽어보기

구성요소 보호

Knative serving에 포함되지 않는 구성요소를 보호할 책임은 사용자에게 있습니다.

Anthos Service Mesh

Knative serving은 트래픽 라우팅을 위해 Anthos Service Mesh를 사용합니다.

Anthos Service Mesh를 보호하려면 다음 가이드를 사용합니다.

• Anthos Service Mesh 보안 개요 및 기능
• Anthos Service Mesh 보안 권장사항

Google Kubernetes Engine

Knative serving은 Google Kubernetes Engine(GKE)을 사용하여 워크로드를 예약합니다. 클러스터를 보호하려면 다음 작업을 수행합니다.

• GKE Enterprise 보안 튜토리얼 따르기
• Google Kubernetes Engine 멀티테넌시 모델 이해
• Google Kubernetes Engine 클러스터 강화 가이드 따르기
• Google Kubernetes Engine 공유 책임 모델 이해

알려진 취약점

알려진 취약점에 대한 최신 정보를 확인할 수 있도록 Knative serving 종속 항목에 대한 보안 게시판을 구독해야 합니다.

• Anthos Service Mesh 보안 게시판
• GKE Enterprise 보안 게시판