OWASP(Open Web Application Security Project)은
인터넷 세상에서 발생가능한 가장 중요한 보안 취약점을 정리한 문서입니다.
Overview
K8s에 대한 OWASP TOP 10 보안 위협 중 4번째인 정책 시행(Policy Enforcement)에 대해서 다루고자 합니다.
K04: Policy Enforcement
차단 허용 제어 정책(Blocking Admission Control Policy)을 통해서
클러스터에서 악성 이미지 실행을 방지하는 K8sAllowedRepos를 사용 가능합니다.
# Allowed repos
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sAllowedRepos
metadata:
name: allowed-repos
spec:
match:
kinds:
- apiGroups: [""]
kinds: ["Pod"]
namespaces:
- "sbx"
- "prd"
parameters:
repos:
- "open-policy-agent"
- "ubuntu"
추가적으로 잘못 구성된 오브젝트가 허용될 때, Admission Controller[T1], Pod Security Admission Controller[T2]로 차단할 수 있습니다.
이런 도구에서는 오픈 소스인 OPA[T3], Kyverno[T4], Kubewarden[T5]과 같은 OSS 프로젝트를 활용할 수 있습니다.
회사에서 최근에 FileSystem, Application Code CVE, IaC Config 등을 확인[P1]하고자 Trivy를 도입[P2]하고 적용 중에 있는데, 관련해서 Kyverno를 통해서 클러스터 환경을 더욱 견고하게 만들 수 있으면 좋을 것 같습니다.
Post. Ref.
Tech. Ref.
OWASP. Ref.
Share article