다음을 통해 공유

데이터 보호

Kubernetes 환경에서 기밀성, 무결성 및 가용성을 유지하기 위해서는 데이터 보호가 필수적입니다. 이 문서에서는 비밀 보안, 미사용 데이터 암호화 및 클러스터 복구 계획 전략을 간략하게 설명합니다. 이러한 사례를 따르면 중요한 정보를 보호하고 비즈니스 연속성을 지원할 수 있습니다.

보관함을 사용하여 중요 정보를 저장하고 필요에 따라 클러스터에 동기화하세요.

Azure Key Vault와 같은 자격 증명 모음에 비밀 값(암호, 키 등)을 유지합니다. 이러한 비밀은 금고를 절대 떠나지 않고, 금고 내부에서 서명/암호화 작업에만 사용하는 것이 모범 사례입니다. 그러나 온-프레미스 클러스터의 경우 이 비밀 보관소에 대한 클라우드 연결을 안정적으로 유지할 수 없어서 필요할 때 비밀을 항상 사용하는 능력을 유지할 수 없습니다.

그렇다면 Kubernetes용 Azure Key Vault 비밀 저장소 확장(미리 보기)( "SSE")을 사용하는 것이 좋습니다. 이 확장은 Azure Key Vault에서 선택한 비밀을 자동으로 동기화하고 Azure Arc 지원 Kubernetes 클러스터의 Kubernetes 비밀 저장소에 오프라인으로 사용할 수 있도록 저장하는 데 도움이 될 수 있습니다.

참고문헌

Kubernetes 비밀 저장소 보호

Azure Local에서 Azure Arc에서 사용하도록 설정된 AKS를 실행하는 경우 Kubernetes 비밀을 보유하는 Kubernetes 구성 저장소 etcd에 대한 직접 액세스를 제한합니다. 또한 이러한 비밀을 자동으로 암호화하는 데 도움이 되는 기본 제공 KMS 플러그 인 이 있습니다. 이 플러그 인은 KEK( 키 암호화 키 )를 생성하고, 기본 Windows 호스트의 클러스터에서 격리하고, 30일마다 자동으로 회전합니다.

Arc 지원 Kubernetes를 통해 사용자 고유의 클러스터를 연결하는 경우 공급업체의 지침에 따라 etcd가 보호되고 비밀이 암호화되도록 도와줍니다.

참고문헌

다른 워크로드 데이터 보호

비밀 값 외에도 여전히 중요할 수 있는 다른 워크로드 데이터의 나머지 부분에 대한 보호를 고려합니다. Azure Local에서 AKS를 실행하는 경우 모든 데이터 볼륨은 BitLocker를 사용하여 미사용 시 암호화됩니다. Arc 지원 Kubernetes를 통해 사용자 고유의 클러스터를 연결하는 경우 공급업체에서 제공하는 유사한 보호를 사용합니다.

미사용 워크로드 데이터를 보호하는 것 외에도 전송 중인 워크로드 데이터를 보호하는 것도 중요합니다. 워크로드 간 및 Azure 간 데이터 트래픽에 대한 암호화, 인증 및 권한 부여 설정에 대해서는 위의 섹션 2.5-2.7을 참조하세요. 네트워크 계층 보호를 추가하는 방법에 대한 지침 도 참조하세요. Azure Arc에서 사용하도록 설정된 Azure Container Storage를 사용하여 데이터를 로컬로 저장하고 클라우드의 Azure와 동기화하는 경우 이러한 전송 보호를 자동으로 사용합니다.

보안 태세에 영향을 주지 않고 클러스터 복구 사용

클러스터 손실에서 복구하는 방법을 계획합니다. Azure Local 또는 기타 고가용성 옵션에서 Azure Arc에서 사용하도록 설정된 AKS를 사용하는 경우 정기적인 하드웨어 오류로부터 보호하는 데 도움이 될 수 있습니다. 그러나 전체 사이트 또는 사이버 공격에 영향을 주는 인시던트로 인해 클러스터가 손실될 수 있습니다.

시작점은 모든 구성 및 데이터가 클라우드에서 원본으로 공급되고 다시 동기화되는 것을 목표로 하는 것입니다. 이 동기화는 클러스터 복원이 초기 활성화와 같다는 것을 의미합니다. Flux에서 GitOps를 사용하여 클러스터를 구성하고, 비밀 저장소 확장(미리 보기)을 사용하여 Azure Key Vault 비밀을 동기화하고, Azure Container Storage(미리 보기)를 사용하여 데이터를 동기화하는 것이 좋습니다.

또는 Velero와 같은 전용 클러스터 백업 솔루션을 사용하는 것이 좋습니다. 일부 데이터의 복사본만 클러스터에 저장되거나 추가 보호가 필요한 경우 솔루션이 필요할 수 있습니다.

다음 단계