1. 개념 K8s에서 작동하는 방화벽 개념 네임스페이스 단위로 적용 Ingress / Egress 방향에 대해 정책을 설정할 수 있고 label, IP를 기준으로 세부 설정 가능 CNI(Calico, Weave)에 의해 작동하므로 CNI에서 지원하지 않을 경우 NetworkPolicie 사용 불가 동일한 pod에 여러개의 NP를 적용할 수 있고, 이러한 경우 각 NP의 순서는 영향을 미치지 않으며 모든 NP의 총합이 반영 2. 예시 3. 실습1(DNS를 제외한 모든 Egress 트래픽 기본 차단) apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: deny-out-default spec: podSelector: {} policyTyp..
1. 개념 K8s의 보안은 On-prem 보안과는 접근방법이 다르고 Cloud 보안과도 차이가 존재 Cloud Native Security의 기본은 4C Cloud Cluster Container Code 2. K8s Attack / Security Surface 공격 표면을 반대로 이야기하면 보안 표면으로 볼 수 있음 K8s에는 3개의 공격 / 보안 표면이 존재 Host OS Security Cluster Security Application Security 3. Host OS Security K8s 클러스터가 구동되는 Host의 운영체제를 의미(EKS라면 Node가 구동되는 EC2의 AMI) Host OS를 안전하게 관리하는 방법은 일반적인 서버 보안과 동일한 층위로 접근 CCE 점검 K8s 노드 서..
0. IMDS(Instance Metadata Service) EC2 인스턴스의 메타데이터에 접근할 수 있는 서비스로 인스턴스 자체 혹은 내부에서 실행되는 애플리케이션과 AWS 또는 모니터링 도구간의 상호작용을 돕는 역할을 합니다. IMDS를 통해 다음과 같은 정보를 얻을 수 있습니다. - 인스턴스 메타데이터: 인스턴스 유형, IP 주소, 보안그룹 등 - IAM 역할 및 권한: 인스턴스에 할당된 IAM 역할 및 권한 - 보안 정보: 암호화된 볼륨 사용 여부, 키 페어 사용 여부 등 IMDS v1의 가장 큰 위험은 공격자가 EC2에 할당된 IAM 권한을 취득해 활용할 수 있다는 점입니다. 설령 IAM이 할당되어 있지 않다 하더라도 상술한 것과 같이 상당히 많은 유용한 정보를 획득하여 이를 공격에 활용할 수..
