AKS Best Practice - Pod 보안

Pod 보안 모범 사례

• Pod 보안 컨텍스트(security context)를 사용하여 프로세스 및 서비스나 권한 상승에 대한 액세스 제한
• Azure Active Directory 워크로드 ID를 사용하여 다른 Azure 리소스로 인증
• Azure Key Vault와 같은 디지털 자격 증명 모음에서 자격 증명 요청 및 검색

리소스에 대한 Pod 엑세스 보안 유지

• allowPrivilegeEscalation은 pod가 루트 권한을 가정할 수 있는지를 정의합니다. 이 설정이 항상 false로 설정되도록 애플리케이션을 디자인합니다.
• Linux 기능을 사용하여 pod가 기본 노드 프로세스에 액세스하도록 할 수 있습니다. 이러한 기능을 할당할 때는 주의해야 합니다. 필요한 최소 권한 수를 할당합니다. 자세한 내용은 Linux 기능을 참조하세요.
• SELinux 레이블은 서비스, 프로세스 및 파일 시스템 액세스에 대한 액세스 정책을 정의할 수 있는 Linux 커널 보안 모듈입니다. 마찬가지로 필요한 최소 권한 수를 할당합니다. 자세한 내용은 Kubernetes의 SELinux 옵션을 참조하세요.

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    fsGroup: 2000
  containers:
    - name: security-context-demo
      image: mcr.microsoft.com/oss/nginx/nginx:1.15.5-alpine
      securityContext:
        runAsUser: 1000
        allowPrivilegeEscalation: false
        capabilities:
          add: ["NET_ADMIN", "SYS_TIME"]

• Pod는 사용자 ID 1000과 그룹 ID 2000의 일부로 실행됩니다.
• root를 사용하도록 권한을 에스컬레이션할 수 없습니다.
• Linux 기능이 네트워크 인터페이스 및 호스트의 실시간(하드웨어) Clock에 액세스할 수 있도록 허용합니다.

자격 증명 노출 제한

• Application 코드에서 자격 증명 정의 하지 않도록 함.
• Azure 리소스에 대해 관리 ID를 사용하여 다른 리소스에 대한 엑세스 요청하도록 함.
• Azure Key Vault와 같은 디지털 자격 증명 모음을 사용하여 디지털 키 및 자격 증명을 저장하고 사용
• Pod 관리 ID는 Linux Pod 및 컨테이너 이미지에서만 사용

Secret Store CSI(Container Storage InterFace) 드라이버와 함께 Azure Key Vault 사용

Azure AD 워크로드 ID를 사용하면 Azure 서비스 지원에 대한 인증 사용 가능

Azure 리소스에 대한 관리 ID가 없는 사용자 고유의 서비스 또는 애플리케이션의 경우 자격 증명 또는 키를 사용하여 계속 인증

• Key Vault를 사용하여 자격 증명, 스토리지 계정 키 또는 인증서와 같은 암호를 저장
• Secret Store CSI 드라이버용 Azure Key Vault 공급자를 사용하여 Azure Key Vault를 AKS 클러스터와 통합 가능
  • AKS 클러스터가 기본적으로 Key Vault에서 Secret Contents를 검색하여 요청 Pod에만 제공
• Azure AD를 사용하여 Key Vault에 대한 엑세를 요청하고 필요한 Secret Contents를 검색할수 있음.