Knative serving의 보안 권장사항

이 문서에서는 보안 권장사항에 따라 Knative serving과 주요 구성요소를 구성하는 방법을 설명합니다.

Knative serving 보호

Knative serving은 오픈소스 Knative 프로젝트를 기반으로 하며 보안 상황을 상속합니다.

Knative serving에서 실행되는 워크로드는 동일한 네트워크 및 컴퓨팅 노드를 공유합니다. 상호 신뢰가 없는 워크로드에 대해 별도의 클러스터를 만들어야 합니다. Knative serving 클러스터는 CI/CD 인프라 또는 데이터베이스와 같이 관련 없는 워크로드를 실행해서는 안 됩니다.

Knative serving 워크로드에 대한 클러스터를 여러 개 만드는 이유는 다음과 같습니다.

• 프로덕션 환경에서 개발 분리
• 여러 팀에서 소유한 애플리케이션 격리
• 권한이 높은 워크로드 격리

클러스터를 설계한 후에는 다음 작업을 수행하여 보안을 강화합니다.

• 클러스터에 대한 액세스 제한
• Knative 위협 모델 이해
• 커뮤니티 지원 도구를 사용할 계획이라면 Knative 보안 참조를 읽어보세요.

구성요소 보호

Knative serving에 포함되지 않는 구성요소를 보호할 책임은 사용자에게 있습니다.

Cloud Service Mesh

Knative serving은 트래픽 라우팅을 위해 Cloud Service Mesh를 사용합니다.

Cloud Service Mesh를 보호하려면 다음 가이드를 사용합니다.

• Cloud Service Mesh 보안 개요 및 기능
• Cloud Service Mesh 보안 권장사항

Google Kubernetes Engine

Knative serving은 Google Kubernetes Engine(GKE)을 사용하여 워크로드를 예약합니다. 클러스터를 보호하려면 다음 작업을 수행합니다.

• GKE Enterprise 보안 튜토리얼을 따릅니다.
• Google Kubernetes Engine 멀티테넌시 모델을 이해합니다.
• Google Kubernetes Engine 클러스터 강화 가이드를 따릅니다.
• Google Kubernetes Engine 공유 책임 모델을 이해합니다.

알려진 취약점

알려진 취약점에 대한 최신 정보를 확인할 수 있도록 Knative serving 종속 항목에 대한 보안 게시판을 구독해야 합니다.

• Cloud Service Mesh 보안 게시판
• GKE Enterprise 보안 게시판