아직 Kubernetes 클러스터의 보안을 크게 신경 못쓰고 있지만 Kuberentes의 보안 기능도 계속 추가되고 있어서 참고용으로 조금씩 파악해 두고 있습니다. (몰랐지만) 이전에는 PodSe

아직 Kubernetes 클러스터의 보안을 크게 신경 못쓰고 있지만 Kuberentes의 보안 기능도 계속 추가되고 있어서 참고용으로 조금씩 파악해 두고 있습니다. (몰랐지만) 이전에는 PodSecurityPolicy라는 게 있었던 거 같지만 v1.21에서 deprecated되고 v1.25에서는 완전히 제거되었다고 합니다. 현재 Kubernetes의 최신 버전이 1.27이므로 아직 1.21 정도의 버전은 업계에서도 많이 쓰이고 있을테지만 Kuberentes 버전을 빠르게 올라가고 있고 현 시점에서 PodSecurityPolicy를 자세히 알 필요는 없어 보입니다. 대신 이제는 Pod Security Standards가 보안 요구사항을 지원한다고 합니다. Pod Security Standards에는 Privileged, Baseline, Restricted 세가지 보안 프로파일이 있어서 이 프로파일을 사용하면 상황에 맞는 보안 권장 사항을 적용할 수 있습니다. 문서에 따르면 Privileged는 권한 상승이 필요하므로 중요한 워크로드에서만 제한적으로만 사용해야 하고 복잡하게 설정하지 않고 보안을 유지하려고 할 때는 Baseline 프로파일이 유용하고 Restricted가 가장 안전한 프로파일이라고 합니다. 이 보안 정책은 Pod Security admission controller에 의해 제어되고 정책을 위반했을 때 거부하려면 Enforce로, 허용은 하지만 로그 이벤트에 기록하려면 Audit을, 허용하면서 사용자에게 경고를 보여주려면 Warn 모드를 사용할 수 있다고 합니다. https://snyk.io/blog/understanding-kubernetes-pod-security-standards/