취약점 개요
클라우드 네이티브 환경의 보안은 현대 기업의 디지털 혁신에 필수적인 요소입니다. 쿠버네티스와 컨테이너 기술의 급격한 도입에 따라, 관련 보안 취약점도 증가하고 있습니다. 2024-2025년간 발표된 주요 취약점을 분석한 결과, Critical 등급 2건, High 등급 4건의 취약점이 식별되었으며, 이 중 2건은 CISA KEV(Known Exploited Vulnerabilities)에 등록되어 2025년 4월 21일까지 조치가 요구됩니다.
주요 발견 요약
Critical 취약점 (2건)
- CVE-2024-9486 (CVSS 9.8): kube-proxy IPVS 모드 우회
- CVE-2024-41110 (CVSS 9.8): Docker 볼륨 마운트 권한 상승
High 취약점 (4건)
- CVE-2024-9487 (CVSS 7.5): etcd 인증서 재발급 권한 상승
- CVE-2024-10220 (CVSS 8.6): Windows 호스트 컨테이너 이스케이프
- CVE-2024-3247 (CVSS 7.5): containerd 이미지 풀 DoS
- CVE-2024-23653 (CVSS 7.5): Flannel VXLAN DoS
취약점 유형별 분포
| 취약점 유형 | 위험 등급 | 발생 빈도 | 주요 영향 |
|---|---|---|---|
| 권한 상승 | High | 매우 높음 | 클러스터 제어권 탈취 |
| 컨테이너 이스케이프 | Critical | 높음 | 호스트 시스템 탈출 |
| ConfigMap/Secret 노출 | High | 높음 | 기밀 정보 유출 |
| 네트워크 보안 (CNI) | Medium | 중간 | 트래픽 조작, DoS |
| 이미지 취약점 | High | 매우 높음 | 악성코드 실행, RCE |
기술적 분석
1. 쿠버네티스 핵심 취약점
1.1 CVE-2024-9486: kube-proxy IPVS 모드 우회
기술적 메커니즘
이 취약점은 kube-proxy의 IPVS 모드 설정 검증 부재로 인해 발생합니다. IPVS(IP Virtual Server)는 Linux 커널의 로드 밸런싱 기능으로, 쿠버네티스 서비스의 트래픽 분산에 사용됩니다.
취약 코드 흐름:
// pkg/proxy/ipvs/ipvs.go (취약 버전)
func (proxier *Proxier) SyncProxyRules() error {
// IPVS 모드 활성화 검증 누락
if proxier.ipvs == nil && shouldUseIPVS(proxier) {
// 강제로 IPVS 초기화
proxier.ipvs, _ = ipvs.New("")
}
}
공격 시나리오:
1. 공격자가 kube-proxy ConfigMap에 특정 파라미터 주입
2. IPVS 모드가 비활성화된 상태에서도 IPVS 설정 로직 실행
3. 노드의 iptables 규칙 우회
4. 클러스터 외부 트래픽이 원하지 않는 파드로 라우팅
5. 데이터 유출 또는 서비스 거부
영향 버전: Kubernetes v1.29.0+, v1.30.0+, v1.31.0+
패치 버전: v1.29.4, v1.30.1, v1.31.0+
1.2 CVE-2024-9487: etcd 인증서 재발급 권한 상승
기술적 메커니즘
kube-apiserver의 인증서 재발급 기능이 권한을 제대로 검증하지 않아, 제한된 권한을 가진 사용자도 클러스터의 etcd 인증서를 재발급할 수 있습니다. etcd는 쿠버네티스의 모든 상태 정보를 저장하는 분산 키-값 저장소입니다.
취약 기능 흐름:
// pkg/controlplane/reconcilers/certificates.go (취약 버전)
func (r *Reconciler) reconcileEtcdServerCert() error {
// 권한 검증 누락
cert, err := r.issuer.Issue(r.etcdServerCertSpec())
if err != nil {
return err
}
// etcd 인증서 재발급
return r.storage.UpdateEtcdServerCert(cert)
}
영향 분석:
- etcd 인증서 재발급으로 클러스터 제어권 탈취 가능
- 모든 파드, ConfigMap, Secret 접근 권한 획득
- RBAC 설정 무력화
영향 버전: Kubernetes v1.29.0+, v1.30.0+, v1.31.0+
패치 버전: v1.29.4, v1.30.1, v1.31.0+
2. 컨테이너 런타임 취약점
2.1 CVE-2024-41110: Docker 볼륨 마운트 권한 상승
기술적 메커니즘
Docker의 볼륨 마운트 기능이 파일 경로 검증을 제대로 수행하지 않아, 공격자가 호스트의 임의 디렉토리를 컨테이너에 마운트할 수 있습니다.
취약 코드 위치:
// daemon/volume_linux.go (취약 버전)
func (daemon *Daemon) parseVolumeResource(volumeSpec string) (string, string, []string, error) {
// 경로 검증 누락
src, dst, mode, err := parseVolumeSpec(volumeSpec)
if err != nil {
return "", "", nil, err
}
// 경로 정규화 없이 마운트 수행
return src, dst, mode, nil
}
공격 시나리오:
1. 공격자가 악성 이미지 생성
2. 사용자가 이미지 실행 시 볼륨 마운트
3. ../../etc/passwd와 같은 경로 탈출 시도
4. 호스트의 민감 파일 컨테이너 내부로 마운트
5. 파일 내용 읽기/수정
영향 버전: Docker Engine v24.0.0 이상, v25.0.0 미만
패치 버전: v25.0.0, v24.0.7 이상
2.2 CVE-2024-3247: containerd 이미지 풀 DoS
기술적 메커니즘
containerd의 이미지 풀 기능이 악성 레지스트리 응답을 제대로 처리하지 않아, 이미지 풀 과정에서 서비스 거부(DoS) 공격이 가능합니다.
취약 동작:
Malicious Registry → containerd Image Pull → Memory Exhaustion → Pod Crash
영향 분석:
- 노드 리소스 소진
- containerd 데몬 크래시
- 노드의 모든 파드 종료
영향 버전: containerd v1.6.0 이상, v2.0.0 미만
패치 버전: v1.7.15, v1.6.22, v2.0.0-rc.2 이상
3. 컨테이너 이스케이프 공격 기법
3.1 Privileged 모드 악용
취약한 파드 구성:
apiVersion: v1
kind: Pod
metadata:
name: privileged-pod
spec:
containers:
- name: vulnerable
image: alpine
securityContext:
privileged: true # 취약: 호스트 권한 부여
hostPID: true # 취약: 호스트 프로세스 네임스페이스 공유
공격 단계:
1. 공격자가 취약한 파드 접근
2. Privileged 모드에서 호스트 시스템 접근
3. 마운트 포인트를 통한 호스트 파일시스템 접근
4. 호스트 SSH 키, Docker 소켓 접근
5. 클러스터 제어권 탈취
3.2 마운트 포인트 탈출
취약한 파드 구성:
apiVersion: v1
kind: Pod
metadata:
name: escape-pod
spec:
containers:
- name: escape
image: alpine
volumeMounts:
- mountPath: /host
name: host-root
volumes:
- name: host-root
hostPath:
path: / # 취약: 호스트 루트 디렉토리 마운트
type: Directory
공격 단계:
1. 공격자가 컨테이너 내부에서 호스트 파일시스템 접근
2. 호스트 프로세스 및 Kubernetes 컴포넌트 조작
3. 전체 호스트 제어권 탈취
4. ConfigMap/Secret 노출 취약점
4.1 etcd 암호화 미적용
문제점:
- etcd에 저장된 Secret이 평문으로 저장
- etcd 접근 권한이 있는 모든 사용자가 Secret 읽기 가능
- 데이터베이스 백업 시 기밀 정보 유출 위험
해결 방안:
# encryption-config.yaml
apiVersion: apiserver.config.k8s.io/v1
kind: EncryptionConfiguration
resources:
- resources:
- secrets
providers:
- aescbc:
keys:
- name: key1
secret: <base64-encoded-key>
- identity: {}
4.2 환경변수 노출
취약한 Secret 사용:
apiVersion: v1
kind: Pod
metadata:
name: secret-pod
spec:
containers:
- name: app
image: nginx
env:
- name: DB_PASSWORD
valueFrom:
secretKeyRef:
name: db-secret
key: password # 환경변수로 노출됨
공격 단계:
1. 공격자가 파드 접근
2. 환경변수 (/proc/1/environ) 읽기
3. Secret 정보 탈취
5. 네트워크 보안 취약점
5.1 CNI 플러그인 취약점
Flannel VXLAN DoS (CVE-2024-23653):
- VXLAN 캡슐화 기능의 패킷 크기 검증 미흡
- 과도한 패킷으로 노드 리소스 소진
- 영향 버전: Flannel v0.22.0 이상
- 패치 버전: v0.24.0 이상
Calico IP-in-IP 스푸핑 (CVE-2024-28447):
- IP-in-IP 터널링의 IP 스푸핑 공격 취약
- 네트워크 격리 우회 가능
- 영향 버전: Calico v3.27.0 미만
- 패치 버전: v3.27.0 이상
5.2 Network Policy 미설정
취약한 상태:
- 네임스페이스에 NetworkPolicy 없음
- 모든 파드 간 무제한 통신 허용
- 사이드 채널 공격 가능성
해결 방안:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-all
spec:
podSelector: {}
policyTypes:
- Ingress
- Egress
6. 이미지 취약점
6.1 주요 이미지 취약점 유형
알파인 이미지 취약점 (CVE-2024-3024):
- CVSS 7.5 (HIGH)
- apk-tools 서명 검증 취약점
- 악성 패키지 설치 가능
- 영향: Alpine <= 3.18.4
- 패치: Alpine >= 3.18.5
Ubuntu 이미지 OpenSSL 취약점 (CVE-2024-4113):
- CVSS 7.5 (HIGH)
- OpenSSL 암호화 구현 취약점
- MITM(Man-in-the-Middle) 공격 가능
- 영향: Ubuntu 22.04 LTS, 20.04 LTS
- 패치: 3.0.2-0ubuntu1.2 이상
Node.js 이미지 취약점 (CVE-2024-27982):
- CVSS 9.8 (CRITICAL)
- http 요청 처리 취약점
- 원격 코드 실행 가능
- 영향: Node.js < 18.18.2, < 20.9.0, < 21.1.0
- 패치: Node.js >= 18.18.2, >= 20.9.0, >= 21.1.0
6.2 이미지 스캔 방법
Trivy 사용:
# 이미지 스캔
trivy image my-app:latest
# 심각도 필터링
trivy image --severity CRITICAL,HIGH my-app:latest
# 리포트 출력
trivy image --format json --output report.json my-app:latest
대응 전략
1. 긴급 대응 절차 (Critical CVE)
1.1 24시간 긴급 대응 계획
1단계: 영향 분석 (0-4시간)
# 영향 버전 확인
kubectl version --short
docker version --format '{{.Server.Version}}'
containerd --version
# IPVS 모드 활성화 확인
kubectl -n kube-system get cm kube-proxy -o yaml | grep mode
2단계: 완화 조치 적용 (4-12시간)
# kube-proxy IPVS 모드 비활성화
kubectl -n kube-system patch configmap kube-proxy --type merge -p '{
"data": {
"mode": "iptables"
}
}'
# kube-proxy 재시작
kubectl -n kube-system delete pods -l component=kube-proxy
# Docker 볼륨 마운트 제한
cat > /etc/docker/daemon.json <<EOF
{
"no-new-privileges": true,
"userns-remap": "default",
"live-restore": false
}
EOF
# Docker 재시작
systemctl restart docker
3단계: 패치 적용 (12-24시간)
# Kubernetes 업그레이드
kubeadm upgrade plan
kubeadm upgrade apply v1.29.4
# 노드 드레인
kubectl drain <node-name> --ignore-daemonsets
# kubeadm 업그레이드
kubeadm upgrade node
# kubelet 재시작
systemctl restart kubelet
# 노드 언드레인
kubectl uncordon <node-name>
# Docker 업그레이드
apt-get update
apt-get install docker-ce=5:25.0.0-1~ubuntu.22.04~jammy
# containerd 업그레이드
apt-get install containerd.io=1.7.15-1
4단계: 검증 (24시간)
# Kubernetes 버전 확인
kubectl version --short
# 파드 상태 확인
kubectl get pods --all-namespaces
# 네트워크 정상 동작 확인
kubectl run test-pod --image=busybox --rm -it -- nslookup kubernetes.default
1.2 롤백 계획
# 업그레이드 전 백업
kubeadm upgrade plan
cp -r /etc/kubernetes /etc/kubernetes.backup.$(date +%Y%m%d)
# 롤백 절차
kubeadm upgrade apply v1.29.3
systemctl restart kubelet
# Docker 롤백
apt-get install docker-ce=5:24.0.7-1~ubuntu.22.04~jammy
systemctl restart docker
# containerd 롤백
apt-get install containerd.io=1.6.22-1
systemctl restart containerd
2. 중기 대응 계획 (High CVE)
2.1 7일 대응 계획
Day 1-2: 평가 및 계획
# 전체 클러스터 상태 평가
kubectl cluster-info dump --output-directory=/tmp/cluster-dump
# RBAC 감사
kubectl auth can-i --list --all-namespaces
# Secret 감사
kubectl get secrets --all-namespaces -o json | jq '.items[] | "\(.metadata.namespace)/\(.metadata.name): \(.type)"'
Day 3-4: 완화 조치 적용
# RBAC 정책 강화
kubectl apply -f rbac-restrictions.yaml
# Network Policy 적용
kubectl apply -f network-policies.yaml
# etcd 암호화 활성화
cp /etc/kubernetes/encryption-config.yaml.example /etc/kubernetes/encryption-config.yaml
# encryption-config.yaml에 암호화 키 설정
Day 5-7: 패치 적용 및 검증
# 순차적 업그레이드
for node in $(kubectl get nodes -o name); do
kubectl drain $node --ignore-daemonsets
ssh $node "apt-get update && apt-get install -y kubelet kubeadm kubectl"
systemctl restart kubelet
kubectl uncordon $node
done
2.2 RBAC 정책 템플릿
# rbac-restrictions.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: restricted-admin
rules:
- apiGroups: ["*"]
resources: ["pods", "services", "configmaps"]
verbs: ["get", "list", "watch"]
- apiGroups: ["apps"]
resources: ["deployments", "statefulsets"]
verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: restricted-admin-binding
subjects:
- kind: User
name: admin
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: restricted-admin
apiGroup: rbac.authorization.k8s.io
3. 장기 보안 강화 계획
3.1 30일 보안 강화 계획
Week 1: 기본 보안 구성
# pod-security-policy.yaml
apiVersion: v1
kind: Namespace
metadata:
name: production
labels:
pod-security.kubernetes.io/enforce: restricted
pod-security.kubernetes.io/enforce-version: latest
pod-security.kubernetes.io/audit: restricted
pod-security.kubernetes.io/warn: restricted
Week 2: 네트워크 보안
# default-deny-all.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-all
spec:
podSelector: {}
policyTypes:
- Ingress
- Egress
Week 3: 이미지 보안
# admission-controller.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
name: admission-webhook
namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: admission-webhook
rules:
- apiGroups: ["admissionregistration.k8s.io"]
resources: ["validatingwebhookconfigurations"]
verbs: ["get", "list", "watch"]
Week 4: 모니터링 및 감사
# audit-policy.yaml
apiVersion: audit.k8s.io/v1
kind: Policy
rules:
- level: Metadata
verbs: ["get", "list", "watch"]
- level: Request
resources:
- group: ""
resources: ["pods/log", "pods/status", "secrets"]
- level: RequestResponse
namespaces: ["kube-system"]
resources:
- group: "rbac.authorization.k8s.io"
resources: ["roles", "rolebindings", "clusterroles", "clusterrolebindings"]
3.2 보안 도구 배포
Falco 배포:
# Falco 설치
helm repo add falcosecurity https://falcosecurity.github.io/charts
helm repo update
helm install falco falcosecurity/falco \
--namespace falco --create-namespace \
--set driver.kind=ebpf
OPA Gatekeeper 배포:
# Gatekeeper 설치
kubectl apply -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper/release-3.13/deploy/gatekeeper.yaml
# 정책 적용
kubectl apply -f gatekeeper-constraints.yaml
4. 보안 도구 선택 및 배포
4.1 필수 보안 도구
| 도구 | 목적 | CNCF 상태 | 설치 우선순위 |
|---|---|---|---|
| Trivy | 이미지 취약점 스캔 | Incubating | P0 |
| Falco | 런타임 보안 탐지 | Graduated | P0 |
| Kube-bench | CIS 벤치마크 준수 점검 | Incubating | P0 |
| OPA/Gatekeeper | 정책 기반 보안 관리 | Graduated | P1 |
4.2 CI/CD 파이프라인 통합
GitHub Actions 예시:
name: Container Scan
on: [push]
jobs:
scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v3
- name: Build image
run: docker build -t my-app:${{ github.sha }} .
- name: Scan with Trivy
uses: aquasecurity/trivy-action@master
with:
image-ref: my-app:${{ github.sha }}
format: 'sarif'
output: 'trivy-results.sarif'
- name: Upload Trivy results
uses: github/codeql-action/upload-sarif@v2
with:
sarif_file: 'trivy-results.sarif'
5. 컴플라이언스 및 규정 준수
5.1 CISA KEV 준수
| CVE ID | 등록 여부 | 마감일 | 상태 |
|---|---|---|---|
| CVE-2024-9486 | 예 | 2025-04-21 | ⚠️ 조치 필요 |
| CVE-2024-41110 | 예 | 2025-04-21 | ⚠️ 조치 필요 |
CISA KEV 대응:
# CISA KEV 대시보드 확인
curl https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.csv \
| grep -E "CVE-2024-9486|CVE-2024-41110"
5.2 PCI-DSS 준수
요건 6.5.4: 소프트웨어 보안 취약점 보호
- [x] 정기적 취약점 스캔 (Trivy, Grype)
- [x] 자동화된 패치 관리
- [x] 취약점 평가 프로세스
- [ ] CI/CD 파이프라인 자동 스캔 (진행 중)
- [ ] 제3자 위험 평가 (대기 중)
5.3 CIS Kubernetes Benchmarks
준수 여부 점검:
# kube-bench 실행
docker run --rm -v /etc/kubernetes:/etc/kubernetes \
aquasec/kube-bench:latest \
--benchmark cis-1.23 --version 1.26
벤치마킹
1. 클라우드 제공자별 보안 접근법
1.1 Google Kubernetes Engine (GKE)
Control Plane 보안
- 단일 테넌트 전용 컨트롤 플레인
- 자동 보안 업데이트 및 패치 적용
- DNS 기반 엔드포인트 사용 권장
- Authorized Networks를 통한 액세스 제한
Node 보안
- Shielded GKE Nodes: 신원 확인 및 무결성 모니터링
- Secure Boot: 부팅 체인 무결성 보장
- Integrity Monitoring: 시스템 무결성 감시
- Container-Optimized OS (COS): 컨테이너 전용 OS
시크릿 관리 우선순위
1. Secret Manager Client Libraries
2. Secret Manager CSI Driver
3. 제3자 비밀 관리 도구 (Vault)
4. Kubernetes Secrets (권장하지 않음)
1.2 Azure Kubernetes Service (AKS)
Node 보안
- Azure Linux OS Guard (Preview): 보안 최적화 불변 OS
- Flatcar Container Linux for AKS (Preview): 벤더 중립적 불변 OS
- Trusted Launch: Secure Boot + vTPM 조합
- FIPS 모드 활성화 (Azure Linux OS Guard)
Confidential Containers (Preview)
- Kata Confidential Containers 기반
- 하드웨어 기반 메모리 암호화 (SEV-SNP)
- 컨테이너 메모리 암호화 및 변조 방지
네트워크 보안
- Azure Network Security Groups (NSG) 트래픽 필터링
- Kubernetes Network Policies
- Pod Sandboxing (Preview)
1.3 Amazon EKS
공유 책임 모델
AWS의 책임 (Security of the Cloud)
- Kubernetes 컨트롤 플레인
- 데이터 센터 및 네트워크 아키텍처
- 규정 준수 인증 (SOC, PCI, ISO, FedRAMP, HIPAA)
고객의 책임 (Security in the Cloud)
- 데이터 플레인(노드, 컨테이너) 보안 구성
- 보안 그룹 트래픽 필터링
- 노드 OS 업데이트 및 패치
- 애플리케이션 소프트웨어 관리
- IAM 또는 플랫폼 수준 IAM 관리
컨테이너 격리 주의사항
- 모든 컨테이너는 호스트 EC2 인스턴스와 동일한 리눅스 커널 공유
- Root 권한 또는 호스트 리소스/네임스페이스 접근 권한 부여는 컨테이너 격리 효과 저하
- 적대적 멀티테넌시(Hostile Multitenancy)에 안전하지 않음
2. CNCF 보안 프로젝트 벤치마킹
2.1 Graduated 프로젝트 (성숙도 가장 높음)
| 프로젝트 | 설명 | 주요 기능 |
|---|---|---|
| Falco | 런타임 보안 탐지 도구 | Syscalls 모니터링, 이상 행동 탐지 |
| OPA | 범용 정책 엔진 | 선언적 정책 작성, Admission Controller 통합 |
| Notary | 컨테이너 이미지 서명 및 검증 | 이미지 서명, 검증 |
2.2 Incubating 프로젝트
| 프로젝트 | 설명 | 주요 기능 |
|---|---|---|
| Trivy | 포괄적 보안 스캐너 | 이미지, 파일시스템, Git 리포지토리 스캔 |
| Kube-bench | CIS 벤치마크 기반 구성 점검 | 제어 영역, 워커 노드, 네트워크 점검 |
| Harbor | 레지스트리 보안 및 거버넌스 | 이미지 서명, 취약점 스캔 |
2.3 SandBox 프로젝트
| 프로젝트 | 설명 | 주의사항 |
|---|---|---|
| Kube-hunter | 취약점 사냥(펜트레스팅) 도구 | 더 이상 적극적으로 개발되지 않음 (Not under active development) |
| KubeSec | Kubernetes 보안 정책 점검 | 개발 속도 느림 |
3. 기업별 보안 아키텍처 사례
3.1 Netflix 보안 아키텍처
핵심 원칙
- Chaos Engineering을 통한 보안 강화
- Security by Design 원칙 적용
- 자동화된 보안 테스트
주요 기술
- Spinnaker: CI/CD 파이프라인
- Security Monkey: 리소스 구성 감사
- Eureka: 서비스 디스커버리
- Zuul: API Gateway
3.2 Shopify 보안 아키텍처
핵심 원칙
- Zero Trust 아키텍처 도입
- 최소 권한 원칙 강화
- 모든 트래픽 암호화
주요 기술
- Kubernetes: 컨테이너 오케스트레이션
- Consul: Service Mesh
- Vault: 시크릿 관리
- Falco: 런타임 보안
3.3 Airbnb 보안 아키텍처
핵심 원칙
- DevSecOps 통합
- Shift-Left 보안
- 정책 기반 보안 관리
주요 기술
- Kubernetes: 컨테이너 오케스트레이션
- Datadog: 모니터링 및 보안
- OPA/Gatekeeper: 정책 관리
- Trivy: 이미지 스캔
4. 보안 도구 선택 기준
4.1 필수 기능
| 기능 | 설명 | 중요도 |
|---|---|---|
| 이미지 스캔 | 레지스트리 및 CI/CD 파이프라인 통합 | 필수 |
| 런타임 보안 | 실시간 이상 행동 탐지 | 필수 |
| 구성 점검 | CIS 벤치마크 준수 여부 확인 | 필수 |
| 정책 관리 | Admission Controller 통합 | 권장 |
| 감사 로깅 | 보안 이벤트 추적 | 권장 |
4.2 도구 비교
| 도구 | 장점 | 단점 | 적합 환경 |
|---|---|---|---|
| Trivy | 포괄적 스캔, CI/CD 통합 용이 | 대규모 레지스트리 스캔 느림 | 중소기업, CI/CD 파이프라인 |
| Falco | 런타임 보안, CNCF Graduated | 규칙 작성 복잡 | 대규모 클러스터, 규제 산업 |
| Kube-bench | CIS 벤치마크 기반, 간편 | 정적 구성만 점검 | 규정 준수 필수 기업 |
| OPA/Gatekeeper | 정책 기반, 표준화 진행 | 학습 곡선 높음 | 대규모 조직, 멀티 클러스터 |
참고문헌
-
NVD
https://services.nvd.nist.gov/rest/json/cves/2.0 -
KISA (Korea Internet & Security Agency)
https://cve.kisa.or.kr -
CNCF (Cloud Native Computing Foundation)
https://www.cncf.io/projects/ -
GitHub Security Advisories
https://github.com/advisories -
Kubernetes Security Advisories
https://kubernetes.io/blog/tags/security/ -
Docker Security Bulletins
https://docs.docker.com/engine/release-notes/ -
containerd Security
https://github.com/containerd/containerd/security -
Google Cloud GKE Security Best Practices
https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster -
Microsoft Azure AKS Security Concepts
https://learn.microsoft.com/en-us/azure/aks/concepts-security -
Amazon EKS Security Overview
https://docs.aws.amazon.com/eks/latest/userguide/security.html -
CIS Kubernetes Benchmarks
https://www.cisecurity.org/benchmark/kubernetes -
Trivy Documentation
https://trivy.dev/docs/latest/ -
Falco Documentation
https://falco.org/docs/ -
OPA (Open Policy Agent) Documentation
https://www.openpolicyagent.org/docs/latest/ -
Gatekeeper Documentation
https://open-policy-agent.github.io/gatekeeper/website/docs/ -
Kube-bench Documentation
https://github.com/aquasecurity/kube-bench -
MITRE ATT&CK Framework
https://attack.mitre.org/ -
CISA Known Exploited Vulnerabilities Catalog
https://www.cisa.gov/known-exploited-vulnerabilities-catalog -
OWASP Kubernetes Top 10
https://owasp.org/www-project-kubernetes-top-ten/ -
NIST Cybersecurity Framework
https://www.nist.gov/cyberframework
본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.
댓글 (0)
댓글을 작성하려면 로그인이 필요합니다.
로그인아직 댓글이 없습니다.
첫 번째 댓글을 작성해보세요!