Azure Arc에서 사용하도록 설정된 AKS의 보안 개념
적용 대상: Azure Stack HCI 22H2의 AKS, Windows Server의 AKS
Azure Arc에서 사용하도록 설정된 AKS의 보안에는 Kubernetes 클러스터에서 실행되는 인프라 및 애플리케이션의 보안이 포함됩니다. Arc에서 사용하도록 설정된 AKS는 AKS(Azure Kubernetes Service)에 대한 하이브리드 배포 옵션을 지원합니다. 이 문서에서는 Kubernetes 클러스터의 인프라 및 애플리케이션을 보호하는 데 사용되는 보안 강화 조치 및 기본 제공 보안 기능에 대해 설명합니다.
인프라 보안
Arc에서 사용하도록 설정된 AKS는 인프라를 보호하기 위해 다양한 보안 조치를 적용합니다. 다음 다이어그램에서는 이러한 측정값을 강조 표시합니다.
다음 표에서는 이전 다이어그램에 표시된 Azure Stack HCI의 AKS 보안 강화 측면에 대해 설명합니다. AKS 배포를 위한 인프라에 대한 개념적 배경 정보는 클러스터 및 워크로드를 참조하세요.
| 보안 측면 | Description |
|---|---|
| 1 | AKS 호스트는 모든 워크로드(대상) 클러스터에 액세스할 수 있으므로 이 클러스터는 단일 손상 지점이 될 수 있습니다. 그러나 관리 클러스터의 목적이 워크로드 클러스터를 프로비전하고 집계된 클러스터 메트릭을 수집하는 것으로 제한되므로 AKS 호스트에 대한 액세스는 신중하게 제어됩니다. |
| 2 | 배포 비용과 복잡성을 줄이기 위해 워크로드 클러스터는 기본 Windows Server를 공유합니다. 그러나 보안 요구 사항에 따라 관리자는 전용 Windows Server에 워크로드 클러스터를 배포하도록 선택할 수 있습니다. 워크로드 클러스터가 기본 Windows Server를 공유하는 경우 각 클러스터는 가상 머신으로 배포되므로 워크로드 클러스터 간에 강력한 격리가 보장됩니다. |
| 3 | 고객 워크로드는 컨테이너로 배포되고 동일한 가상 머신을 공유합니다. 컨테이너는 서로 프로세스 격리되며 가상 머신에서 제공하는 강력한 격리 보장에 비해 격리가 약한 형태입니다. |
| 4 | 컨테이너는 오버레이 네트워크를 통해 서로 통신합니다. 관리자는 Calico 정책을 구성하여 컨테이너 간의 네트워킹 격리 규칙을 정의할 수 있습니다. Calico 는 Windows 및 Linux 컨테이너를 모두 지원하며 있는 그대로 지원되는 오픈 소스 제품입니다. |
| 5 | API 서버와 컨테이너 호스트 간의 통신을 포함하여 Azure Stack HCI에서 AKS의 기본 제공 Kubernetes 구성 요소 간의 통신은 인증서를 통해 암호화됩니다. AKS는 기본 제공 인증서에 대한 기본 제공 인증서 프로비저닝, 갱신 및 해지를 제공합니다. |
| 6 | Windows 클라이언트 컴퓨터에서 API 서버와의 통신은 사용자에 대한 Microsoft Entra 자격 증명을 사용하여 보호됩니다. |
| 7 | 모든 릴리스에 대해 Microsoft는 Azure Stack HCI의 AKS VM에 대한 VHD를 제공하고 필요한 경우 적절한 보안 패치를 적용합니다. |
애플리케이션 보안
다음 표에서는 Arc에서 사용하도록 설정된 AKS에서 사용할 수 있는 다양한 애플리케이션 보안 옵션에 대해 설명합니다.
참고
선택한 오픈 소스 에코시스템에서 사용할 수 있는 오픈 소스 애플리케이션 강화 옵션을 사용할 수 있습니다.
| 옵션 | Description |
|---|---|
| 보안 빌드 | 빌드 보안의 목표는 이미지가 생성될 때 애플리케이션 코드 또는 컨테이너 이미지에 취약성이 도입되지 않도록 하는 것입니다. Azure Arc 지원 Kubernetes의 Azure GitOps와 통합하면 분석 및 관찰에 도움이 되므로 개발자는 보안 문제를 해결할 수 있습니다. 자세한 내용은 Azure Arc 지원 Kubernetes 클러스터에서 GitOps를 사용하여 구성 배포를 참조하세요. |
| 컨테이너 레지스트리 보안 | 컨테이너 레지스트리 보안의 목표는 레지스트리에 컨테이너 이미지를 업로드할 때, 이미지가 레지스트리에 저장되는 동안, 그리고 레지스트리에서 이미지를 다운로드하는 동안 취약성이 발생하지 않도록 하는 것입니다. AKS는 Azure Container Registry 사용하는 것이 좋습니다. Azure Container Registry 취약성 검사 및 기타 보안 기능이 함께 제공됩니다. 자세한 내용은 Azure Container Registry 설명서를 참조하세요. |
| 컨테이너에 gMSA를 사용하여 Windows 워크로드에 대한 ID Microsoft Entra | Windows 컨테이너 워크로드는 컨테이너 호스트의 ID를 상속하고 인증에 사용할 수 있습니다. 새로운 향상된 기능을 사용하면 컨테이너 호스트를 도메인에 조인할 필요가 없습니다. 자세한 내용은 Windows 워크로드에 대한 gMSA 통합을 참조하세요. |
기본 제공 보안 기능
이 섹션에서는 Azure Arc에서 사용하도록 설정된 AKS에서 현재 사용할 수 있는 기본 제공 보안 기능에 대해 설명합니다.
| 보안 목표 | 기능 |
|---|---|
| API 서버에 대한 액세스를 보호합니다. | PowerShell 및 Windows Admin Center 클라이언트에 대한 Active Directory Single Sign-In 지원. 이 기능은 현재 워크로드 클러스터에 대해서만 사용하도록 설정되어 있습니다. |
| 컨트롤 플레인의 기본 제공 Kubernetes 구성 요소 간의 모든 통신이 안전한지 확인합니다. 여기에는 API 서버와 워크로드 클러스터 간의 통신도 안전한지 확인하는 것이 포함됩니다. | 제로 터치 기본 제공 인증서 솔루션으로 인증서를 프로비전, 갱신 및 해지합니다. 자세한 내용은 인증서와의 통신 보안을 참조하세요. |
| Key Management Server(KMS) 플러그 인을 사용하여 Kubernetes 비밀 저장소(etcd)의 암호화 키를 순환시킵니다. | 지정된 KMS 공급자와 키 회전을 통합하고 오케스트레이션하기 위한 플러그 인입니다. 자세한 내용은 etcd 비밀 암호화를 참조하세요. |
| Windows 및 Linux 컨테이너 모두에 대한 워크로드를 지원하는 컨테이너에 대한 실시간 위협 모니터링. | Azure Arc에 연결된 Azure Defender for Kubernetes와의 통합은 Azure Arc에 연결된 Kubernetes에 대한 Kubernetes 위협 검색의 GA 릴리스까지 공개 미리 보기 기능으로 제공됩니다. 자세한 내용은 Azure Arc 지원 Kubernetes 클러스터 방어를 참조하세요. |
| Windows 워크로드에 대한 ID를 Microsoft Entra. | Windows 워크로드용 gMSA 통합을 사용하여 Microsoft Entra ID를 구성합니다. |
| Pod 간의 트래픽을 보호하기 위한 Calico 정책 지원 | Calico 정책을 사용하려면 네트워크 정책을 사용하여 Pod 간의 트래픽 보안을 참조하세요. |
다음 단계
이 항목에서는 Azure Arc에서 사용하도록 설정된 AKS를 보호하고 Kubernetes 클러스터에서 애플리케이션을 보호하는 방법에 대해 알아보았습니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기