GKE 컨트롤 플레인 권한 정보

에 문의하세요.

이 페이지에서는 관리형 제어 영역의 보안을 더욱 효과적으로 확인하고 제어할 수 있도록 Google Kubernetes Engine (GKE)에서 제공하는 옵션을 설명합니다. 이러한 옵션을 통칭하여 GKE 제어 영역 권한이라고 합니다. 이 페이지는 민감한 정보를 처리하기 위한 엄격한 개인 정보 보호 및 보안 요구사항을 충족하려는 정보 보안 책임자, 규정 준수 관리자, 분석가를 대상으로 합니다.

GKE 컨트롤 플레인 권한 기능 정보

GKE에서 Google Cloud 는 비활성 스토리지 암호화, 클러스터에서 사용자 인증 정보를 서명하고 확인하는 키 및 인증 기관 (CA) 구성을 비롯한 제어 영역의 보안 구성을 완전히 관리합니다. GKE 클러스터의 제어 영역 노드는 Google Cloud 가 관리하는 프로젝트에 있습니다. Google Cloud 의 역할에 관한 자세한 내용은 GKE 공유 책임을 참고하세요.

GKE 제어 영역 권한은 이러한 완전 관리형 제어 영역 노드의 특정 측면을 확인하고 관리할 수 있는 선택사항인 가시성 및 제어 기능입니다. 이러한 기능은 다음과 같은 요구사항이 있는 경우에 적합합니다.

  • 금융, 의료, 정부 등 특정 규정 준수 요구사항이 있는 규제가 엄격한 업종에서 비즈니스를 운영하는 경우
  • 엄격한 보안 및 암호화 요구사항이 있는 민감한 정보를 처리합니다.
  • 중요한 워크로드를 실행할 때 GKE에 대한 가시성을 개선하여 신뢰성을 높이려는 경우
  • 데이터 암호화, 소프트웨어 무결성 또는 로깅과 관련된 특정 규정 준수 또는 감사 요구사항을 충족해야 합니다.
  • 중요한 데이터를 처리하는 매우 민감한 워크로드가 있으며 해당 데이터의 암호화 및 액세스를 확인하려는 경우
  • 특정 조직 또는 규제 요구사항을 충족하는 맞춤 보안 정책을 적용하려는 경우
  • 특히Google Cloud 가 제어 영역에서 취하는 작업과 관련하여 GKE 환경에 대한 투명성과 가시성을 개선하려는 경우

GKE 제어 영역 권한의 이점

GKE 제어 영역 권한 기능은 엄격한 보안 정책 또는 엄격한 감사 요구사항이 있는 고도로 규제된 환경에 적합합니다. 이러한 기능을 사용하면 다음과 같은 이점이 있습니다.

  • 가시성 및 제어 기능 강화: GKE 제어 영역에 추가 가시성, 제어, 암호화 기능을 사용합니다.
  • 간소화된 규정 준수: 세부적인 감사 로그와 맞춤설정 가능한 보안 정책으로 규제 및 업계 요구사항을 충족합니다.
  • 신뢰 및 투명성 향상: 고객 지원 케이스를 해결할 때Google Cloud 가 컨트롤 플레인에서 취하는 작업에 대한 통계를 얻을 수 있습니다.
  • 위험 완화: 포괄적인 로그를 사용하여 관리형 제어 영역에 대한 잠재적 위협을 사전에 감지하고 대응합니다.
  • 표준화된 CA 및 키 관리: Certificate Authority Service를 사용하여 GKE 클러스터 CA를 관리하므로 인증서 관리를 특정 팀에 위임하고 CA 정책을 포괄적으로 시행할 수 있습니다. 또한 유사한 관리 위임을 위해 Cloud KMS를 사용하여 제어 평면 디스크 암호화 키를 관리합니다.

GKE 제어 영역 권한의 작동 방식

컨트롤 플레인에서 사용할 수 있는 기능은 다음과 같이 원하는 제어 유형에 따라 분류됩니다. 특정 요구사항에 따라 이러한 기능 중 하나 이상을 사용할 수 있습니다.

  • 키 및 사용자 인증 정보 관리: GKE가 컨트롤 플레인에서 저장 데이터를 암호화하고 클러스터에서 ID를 발급 및 확인하는 데 사용하는 키를 제어합니다.
  • 액세스 로그 및 ID 발급 로그: 네트워크, VM, 액세스 투명성의 로그를 사용하여 여러 소스를 통해 GKE 제어 영역 액세스를 확인합니다. Cloud KMS 및 CA 서비스의 ID 발급 로그를 사용하여 관리하는 키와 CA를 사용하여 ID가 생성된 시점을 확인합니다. 자세한 Kubernetes API 사용 로그를 사용하여 이러한 ID가 클러스터에서 수행하는 작업을 추적합니다.

키 및 사용자 인증 정보 관리

기본적으로 Google Cloud 는 GKE 클러스터의 키와 CA를 자동으로 관리합니다. 원하는 경우 Cloud KMSCA 서비스를 사용하여 자체 키와 CA를 설정할 수 있으며, 새 클러스터를 만들 때 이를 사용합니다.

GKE는 이러한 키와 CA를 Google Cloud기본값 대신 사용하여 클러스터에서 ID를 발급하고 확인하며 제어 평면 VM의 데이터를 암호화합니다. ID 발급 및 데이터 암호화 키를 계속 제어하면 다음 작업을 할 수 있습니다.

  • 키에 대한 배타적 제어를 요구하는 데이터 주권 및 개인 정보 보호 규정 준수
  • 자체 암호화 키를 관리하여 Kubernetes에서 중요한 민감한 정보의 암호화를 제어합니다.
  • 하드웨어 지원 키 사용 요구사항과 같은 조직의 정책 및 요구사항에 따라 데이터 암호화 전략을 맞춤설정합니다.

자체 관리 CA 및 서비스 계정 키

관리하는 Cloud KMS 키와 CA Service CA를 사용하도록 GKE 컨트롤 플레인을 구성할 수 있습니다. GKE는 이러한 리소스를 사용하여 클러스터에서 ID를 발급하고 확인합니다. 예를 들어 GKE는 CA와 키를 사용하여 Kubernetes 클라이언트 인증서Kubernetes 서비스 계정 Bearer 토큰을 발급합니다.

GKE가 ID를 발급할 때 사용할 다음 리소스를 만듭니다.

  1. 서비스 계정 서명 키: 클러스터의 서비스 계정에 대한 Kubernetes ServiceAccount Bearer 토큰에 서명합니다. 이러한 Bearer 토큰은 Kubernetes API 서버와의 포드 통신을 용이하게 하는 JSON 웹 토큰 (JWT)입니다.
  2. 서비스 계정 확인 키: Kubernetes 서비스 계정 JWT를 확인합니다. 이 키는 일반적으로 서명 키와 동일하지만 키를 더 안전하게 순환할 수 있도록 별도로 구성됩니다.
  3. 클러스터 CA: 인증서 서명 요청 (CSR) 및 kubelet 통신과 같은 목적으로 서명된 인증서를 발급합니다.
  4. etcd 피어 CA: 클러스터의 etcd 인스턴스 간의 통신을 위한 서명된 인증서를 발급합니다.
  5. etcd API CA: etcd API 서버와의 통신을 위한 서명된 인증서를 발급합니다.
  6. 집계 CA: Kubernetes API 서버와 확장 프로그램 서버 간의 통신을 사용 설정하기 위해 서명된 인증서를 발급합니다.

GKE가 클러스터에서 ID를 발급하면 Cloud Logging에 해당 감사 로그가 표시되며, 이 로그를 사용하여 발급된 ID의 전체 기간을 추적할 수 있습니다.

자세한 내용은 GKE에서 자체 인증 기관 및 서명 키 실행을 참고하세요.

제어 영역 부팅 디스크 및 etcd 암호화

기본적으로 GKE는 제어 영역 VM의 부팅 디스크, etcd에 데이터를 저장하는 디스크, Google Cloud가 관리하는 암호화 키를 사용하여 etcd의 내부 운영 백업을 암호화합니다. Google Cloud 이 기본 암호화에 관한 자세한 내용은 기본 저장 데이터 암호화를 참고하세요.

원하는 경우 Cloud KMS를 사용하여 관리하는 자체 암호화 키를 사용하여 다음 리소스를 암호화할 수 있습니다.

  • 컨트롤 플레인 부팅 디스크: 각 컨트롤 플레인 VM이 부팅하는 데 사용하는 Compute Engine 디스크입니다.
  • etcd 디스크: 각 제어 영역 VM에 연결되고 클러스터의 etcd 인스턴스 데이터를 저장하는 Compute Engine 디스크입니다.

  • etcd 내부 운영 백업: 재해 복구와 같은 운영 목적으로 사용되는 etcd의 내부 Google Cloud 백업입니다.

    이 백업은 Google Cloud내부의 긴급 조치입니다. 클러스터를 백업 및 복원하려면 Backup for GKE를 대신 사용하세요.

자세한 내용은 etcd 및 제어 영역 부팅 디스크 암호화를 참고하세요.

이 추가 암호화 옵션은 클러스터 제어 영역에서 암호화 수단을 제어하는 것과 관련된 특정 규제 또는 규정 준수 요구사항을 충족해야 하는 경우에 적합합니다. 자체 키를 별도로 사용하여 클러스터의 워커 노드의 부팅 디스크와 스토리지 디스크를 암호화할 수 있습니다. 자세한 내용은 고객 관리 암호화 키 (CMEK) 사용을 참고하세요.

GKE 제어 영역 권한을 사용하여 제어 영역 부팅 디스크를 암호화하면 GKE 제어 영역 VM은 부팅 디스크에서 하이퍼디스크 균형에 컨피덴셜 모드를 자동으로 사용합니다. 이 구성은 워커 노드의 기본 부팅 디스크를 변경하지 않습니다.

액세스 로그 및 ID 발급 로그

Logging에서 제어 영역의 액세스 및 ID와 관련된 모든 이벤트(예: 다음 이벤트)에 대한 로그를 볼 수 있습니다.

  • 직접 액세스: GKE 제어 영역 노드에 대한 직접 액세스 시도 (예: SSH)와 관련된 로그를 사용하면 VM SSH 로그와 VM 네트워크 연결이 액세스 투명성 로그의 SSH 레코드와 일치하는지 확인할 수 있습니다.
  • ID 발급 및 확인: CA 서비스 및 Cloud KMS에서 관리하는 CA 및 키를 사용하여 발급된 ID와 관련된 로그입니다.
  • Kubernetes의 ID 사용: 특정 ID가 Kubernetes API 서버에 대해 취하는 작업과 관련된 로그입니다.
  • 액세스 투명성: 제어 영역에 연결된 연결 및 직원이 제어 영역에서 취한 작업과 관련된 로그입니다. Google Cloud

이러한 로그를 사용하면 다음 작업을 할 수 있습니다.

  • 규정 준수 및 보안을 위해 모든 제어 영역 액세스 및 ID 이벤트에 대한 포괄적인 감사 추적을 유지합니다.
  • 내장된 Google 보호 기능 외에도 자체 모니터링을 빌드하여 제어 플레인 내의 의심스러운 활동을 식별하고 조사할 수 있습니다.
  • 승인된 항목만 GKE 클러스터에 액세스하고 상호작용하는지 확인하여 보안 상태를 개선합니다.
  • Cloud KMS 및 CA 서비스에서 ID 발급 로그를 사용하여 관리하는 키와 CA를 사용하여 ID가 생성된 시점을 확인합니다. 자세한 Kubernetes API 사용 로그를 사용하여 이러한 ID가 클러스터에서 수행하는 작업을 추적합니다.

다음 문서에서는 다양한 유형의 제어 영역 로그를 보고 처리하는 방법을 보여줍니다.

제어 영역 보안 관련 추가 리소스

이 섹션에서는 제어 평면 보안에 대한 신뢰도를 높이는 데 사용할 수 있는 다른 방법을 설명합니다. 다음 리소스를 사용하기 위해 GKE 제어 영역 권한을 사용할 필요는 없습니다.

  • 컨트롤 플레인 VM 이미지 무결성: GKE는 노드 VM 생성 및 부팅 이벤트에 관한 자세한 로그를 Cloud Logging에 추가합니다. 또한 제어 영역 및 워커 노드 머신 이미지에 해당하는 SLSA VSA를 GitHub에 게시합니다. VM이 상응하는 VSA가 있는 OS 이미지를 사용하는지 확인하고 각 제어 영역 VM의 부팅 무결성을 확인할 수 있습니다.

    VM 무결성 확인을 실행하려면 GKE 제어 영역 VM 무결성 확인을 참고하세요.

  • 기본 제공되는 제어 영역 보안 조치: GKE는 관리형 제어 영역에서 다양한 보안 강화 조치를 실행합니다. 자세한 내용은 제어 영역 보안을 참고하세요.

다음 단계