최근 2~3년간 쿠버네티스 환경이 시장에서 본격적으로 쓰여지기 시작하면서 체계적인 환경이 구축되어 있지 않아 사용 시 엄청난 리소스가 투입되거나 보안 관리 또한 쉽지 않게되는 문제가 종종 발생하고 있습니다. 

쿠버네티스 접근 제어는 역할 및 권한 관리의 복잡성, 확장성의 요구, 쿠버네티스 환경의 동적 특성, 기존 시스템과의 통합의 어려움을 가지고 있습니다. 이러한 도전 과제는  쿠버네티스 환경에서 효과적이고 확장 가능한 접근 제어 솔루션이 더욱 필요합니다. 쿠버네티스 환경에서도 효율적인 보안 관리가 가능한 쿼리파이 KAC(Kubernetes Access Controller)를 소개해드립니다. 

☑️ 쿠버네티스 접근제어가 필요한 이유

역할 및 권한 관리의 복잡성

쿠버네티스(Kubernetes)는 RBAC(역할 기반 접근 제어)를 사용하여 리소스에 대한 접근을 제어하지만, 이를 설정하는 과정은 복잡하고 오류가 발생하기 쉽습니다. 사용자, 서비스, 애플리케이션의 수가 늘어날수록 이러한 복잡성은 증가하며, 잘못된 설정으로 인해 사용자에게 과도한 권한을 부여하거나 필요한 접근이 차단되는 상황이 발생할 가능성이 높아집니다.

IAM 시스템 통합의 복잡성 

쿠버네티스 접근 제어를 기존 기업 IAM(Identity and Access Management) 시스템과 통합하는 것은 쉽지 않은 과제입니다. 특히 하이브리드 또는 멀티 클라우드 환경에서는 사용자 아이덴티티와 접근 정책을 IAM 시스템과 쿠버네티스 간에 일관되고 정확하게 매핑하는 것이 매우 어려울 수 있습니다.

규정 준수 및 감사 과제

쿠버네티스 접근 제어가 GDPR, HIPAA, PCI-DSS와 같은 산업 규제를 준수하도록 보장하는 것은 매우 복잡할 수 있습니다. 이러한 규제는 일반적으로 엄격한 접근 제어와 상세한 감사 기록을 요구하기 때문에, 이를 구현하고 유지하는 과정에서 추가적인 부담이 발생할 수 있습니다.

☑️ 쿼리파이 KAC - 쿠버네티스 접근제어 솔루션

QueryPie KAC는 쿠버네티스 클러스터 내에서 접근 제어 정책을 시행하는 핵심 구성 요소로, 사용자에게 K8s 접근 제어, 통합 감사 로깅, 기타 시스템 자산에 대한 통합 관리 환경을 제공합니다. 이를 통해 기업은 쿠버네티스 환경에서의 보안을 강화하고 운영 효율성을 높일 수 있습니다.

QueryPie KAC가 제공하는 주요 기능은 다음과 같습니다. 

1. 역할 기반 K8s API 액세스 제어(RBAC)

• · 역할 정의: QueryPie KAC는 관리자가 권한 세트를 지정하는 역할을 정의할 수 있도록 지원합니다. 특정 사용자의 속성(ABAC: 속성 기반 접근 제어) 값 조건에 따라 정책 수준에서 사용자별로 세분화된 쿠버네티스 접근 제어를 제공합니다.
• · 역할을 사용자/그룹에 할당: 역할이 정의되면, 접근 제어기는 이러한 역할을 특정 사용자, 그룹 또는 서비스 계정에 할당합니다. 이 할당은 클러스터 내에서 누가 무엇을 할 수 있는지를 결정합니다.

쿠버네티스 API 제어는 K8s 리소스, API 액션 등과 관련된 정책 조합을 통해 이루어집니다.

2. 서비스 계정 관리

• · 서비스 계정 컨트롤: KAC는 애플리케이션과 서비스가 쿠버네티스 API와 상호작용할 때 사용하는 서비스 계정을 관리합니다.

데스크톱 에이전트를 통해 KAC 사용자는 자신에게 할당된 역할에 맞게 구성된 쿠버네티스 관리 설정(KUBECONFIG) 업데이트를 받을 수 있습니다. 이를 통해 기존 쿠버네티스의 사용성을 유지하면서도 강화된 접근 제어를 기반으로 쿠버네티스 API 호출을 수행할 수 있습니다.

3. 다중 K8s 클러스터에 대한 통합 관리

• · 클라우드 환경에 최적화 : KAC는 분산된 클라우드 리소스를 동기화하고, 여러 쿠버네티스 통합을 관리할 수 있는 기능을 제공합니다.스케줄링 기능을 통해 리소스 변경 사항의 동기화 작업을 자동화하며, 변경 이력을 확인할 수 있습니다.

4. 액세스 제어 정책 시행

• · 쿠버네티스 멀티클러스터 접근 제어의 중앙화: KAC는 사용자가 컨테이너에 연결할 때 세션을 자동으로 기록하고, 컨테이너 내에서 이루어지는 작업을 모니터링합니다.또한, 일반적인 쿠버네티스 RBAC에서 지원하지 않는 K8s 리소스 이름(정규식 기반)으로 사용자 접근 제어 규칙을 적용할 수 있습니다.
• · 세분화된 K8s 리소스 단위 정책 관리: QueryPie는 리소스에 와일드카드 설정을 허용하여 쿠버네티스 환경에서 보다 세분화된 접근 제어를 가능하게 합니다. QueryPie KAC는 리소스 이름의 변화에 쉽게 적응할 수 있도록 와일드카드 설정을 지원하며, 사용자 권한에 따라 응답을 필터링할 수 있습니다.

5. IAM 통합

• · 클라우드 IAM 통합: 클라우드 환경에서 QueryPie KAC는 AWS IAM, GCP IAM, Azure AD와 같은 클라우드 제공자의 IAM 서비스와 통합됩니다. 이를 통해 클라우드 네이티브 아이덴티티와 역할을 기반으로 접근 제어를 관리할 수 있습니다.

6. 감사 및 로깅

• · K8s API 실행 이력 로깅: 현재 쿠버네티스 API 감사 로그는 읽기 어렵고 마스터 서버에 부담을 줄 수 있습니다. QueryPie KAC는 모든 API 요청을 커스텀 프록시를 통해 로깅하여 여러 클러스터를 철저히 모니터링할 수 있습니다. 중요한 작업만 선별적으로 로깅함으로써, 로그에 필수 정보만 저장되어 효율적인 관리가 가능합니다.
• · 컨테이너 쉘 명령 실행 이력 기록: exec 명령을 통해 파드 내 컨테이너에서 사용자의 활동을 모니터링할 수 있습니다. 세션 기록 기능을 활용하면 사용자가 컨테이너에 연결한 후 실행한 활동을 동일한 화면에서 재생할 수 있습니다.

요약하면, QueryPie KAC는 쿠버네티스 클러스터에 대한 접근 권한을 관리하고 이를 시행하며, 누가 클러스터에 접근할 수 있는지, 어떤 작업을 수행할 수 있는지, 그리고 어떤 리소스와 상호작용할 수 있는지를 제어합니다. 또한, 접근 제어 메커니즘을 구현하고, 아이덴티티를 관리하며, 보안 정책을 적용하고, 리소스 접근을 감사함으로써 클러스터의 보안과 무결성을 보장합니다.

☑️ 쿼리파이 KAC 활용법 

쿠버네티스 접근 제어 솔루션 ‘쿼리파이 KAC(Kubernetes Access Controller)’는 쿠버네티스 환경에서도 탄탄한 보안 환경을 유지할 수 있도록 합니다.

컨디션 기반의 클러스터 권한 관리, Namespace, Pods, Deployments, Replica Sets 등 세분화된 리소스 접근 관리, 컨테이너 팟 로깅 방법과 데모 시연까지 쿼리파이 KAC로 쿠버네티스 환경에서 효율적으로 클러스터를 관리하는 방법을 소개합니다. 아래 영상을 통해 확인해보세요. 

▶ QueryPie KAC(Kubernetes Access Controller) : 자세히보기

클라우드네트웍스는 국내 최대 규모의 쿼리파이 전담팀을 기반으로, 검증된 기술력과 경험을 바탕으로 구축부터 운영까지 지원합니다. QueryPie KAC에 대한 문의사항은 공식 파트너사인 클라우드네트웍스로 연락주시기 바랍니다.