AKS(Azure Kubernetes Service)에서 호스트 기반 암호화

아티클
02/29/2024

호스트 기반 암호화를 통해, AKS 에이전트 노드 VM의 VM 호스트에 저장된 데이터는 미사용 암호화되고 스토리지 서비스로 암호화되어 흐릅니다. 즉, 임시 디스크는 플랫폼 관리형 키를 사용하여 미사용 암호화됩니다. OS 및 데이터 디스크의 캐시는 해당 디스크에 설정된 암호화 유형에 따라 플랫폼 관리형 키 또는 고객 관리형 키를 사용하여 미사용 시 암호화됩니다.

기본적으로 AKS를 사용하는 경우 OS 및 데이터 디스크에서 플랫폼 관리형 키를 사용하는 서버 쪽 암호화를 사용합니다. 이러한 디스크의 캐시는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. Azure Kubernetes Service에서 Azure 디스크를 사용하여 BYOK(Bring your own key)에 따라 고유한 관리형 키를 지정할 수 있습니다. 또한 이러한 디스크의 캐시는 지정한 키를 사용하여 암호화됩니다.

호스트 기반 암호화는 Azure Storage에서 사용되는 SSE(서버 쪽 암호화)와 다릅니다. Azure 관리 디스크는 Azure Storage를 사용하여 데이터를 저장할 때 미사용 데이터를 자동으로 암호화합니다. 호스트 기반 암호화는 VM의 호스트를 사용하여 데이터가 Azure Storage를 통과하기 전에 암호화를 처리합니다.

시작하기 전에

시작하기 전에 다음 필수 구성 요소 및 제한 사항을 검토합니다.

필수 조건

CLI 확장 v2.23 이상이 설치되어 있는지 확인합니다.

제한 사항

이 기능은 클러스터 또는 노드 풀을 만들 때에만 설정할 수 있습니다.
이 기능은 Azure 관리 디스크의 서버 쪽 암호화를 지원하는 Azure 지역에서만 사용할 수 있으며, 지원되는 VM 크기만 사용할 수 있습니다.
이 기능을 사용하려면 VM 집합 유형으로 Virtual Machine Scale Sets를 기반으로 하는 AKS 클러스터 및 노드 풀이 필요합니다.

새 클러스터에서 호스트 기반 암호화 사용

새 클러스터를 만들고 --enable-encryption-at-host 플래그와 함께 az aks create 명령을 사용하여 호스트 기반 암호화를 사용하도록 클러스터 에이전트 노드를 구성합니다.
```
az aks create --name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 -l westus2 --enable-encryption-at-host
```

기존 클러스터에서 호스트 기반 암호화 사용

--enable-encryption-at-host 플래그와 함께 az aks nodepool add 명령을 사용하여 새 노드 풀을 추가하여 기존 클러스터에서 호스트 기반 암호화를 사용하도록 설정합니다.
```
az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
```

다음 단계

AKS 클러스터 보안 모범 사례를 검토합니다.
호스트 기반 암호화에 대해 자세히 알아봅니다.