1. etcd 보안 개요
- etcd는 Kubernetes의 핵심 구성 요소로, 클러스터의 구성과 상태 데이터를 저장하는 키-값 저장소이다.
- etcd의 보안이 취약하면 민감한 정보가 유출되거나 공격에 노출될 수 있으므로 철저한 보호가 필요하다.
2. etcd 보안 강화방법
1) 데이터 암호화 (정지 상태 데이터 보호)
-
데이터 암호화 활성화
EncryptionConfiguration객체를 생성하여 Kubneretes Secrets 등의 민감한 데이터를 암호화함.- AES-CBC 암호화 알고리즘을 사용하여 데이터를 암호화하고, 키를 Base64로 인코딩하여 저장.
- OpenSSL을 사용하여 암호화 키를 생성 후 적용
kubectl apply명령어를 사용하여 암호화 설정을 활성화.
-
etcd 설정 업데이트
- etcd 매니페스트 파일(
etcd.yaml)을 수정하여 암호화 구성을 적용하도록 설정.
- etcd 매니페스트 파일(
apiVersion: apiserver.config.k8s.io/v1
kind: EncryptionConfiguration
resources:
- resources:
- secrets
providers:
- aescbc:
keys:
- name: key1
secret: <BASE 64 ENCODED SECRET>
- identity: {} # REMOVE THIS LINE2) 전송 중 데이터 보호 (TLS 활성화)
- TLS 인증서를 사용한 보안 통신 설정
- etcd와 다른 Kubernetes 컴포넌트 간의 통신을 보호하기 위해 TLS 암호화를 활성화.
- etcd 구성 파일에서 인증서 관련 설정 추가:
cert-file: 서버 인증서 경로key-file: 서버 키 파일 경로client-cert-auth: 클라이언트 인증 활성화trusted-ca-file: 신뢰할 수 있는 CA 인증서 경로peer-cert-file,peer-key-file: etcd 노드 간 안전한 통신을 위한 peer 인증서 및 키 파일 경로
- Kubernetes의 TLS 인증서 관리 방법과 함께 구성 요소 간 인증을 이해하는 것이 중요함.
3) 정기적인 백업 설정 (데이터 손실 대비)
- etcd 스냅샷 기능을 이용한 정기적인 백업 수행
etcdctl을 사용하여 스냅샷 생성:ETCDCTL_API=3 etcdctl snapshot save /path/to/backup.db \ --endpoints=<etcd-server-endpoint> \ --cert=<path-to-cert> \ --key=<path-to-key> \ --cacert=<path-to-ca-cert>- API 버전을 3으로 설정해야 최신 기능을 사용할 수 있음.
- 백업 파일을 안전한 위치에 보관하여 장애 발생 시 신속한 복구 가능.
3. 요약
- 데이터 암호화: AES-CBC 방식으로 민감한 데이터를 보호.
- 전송 중 보안 강화: TLS 인증서를 사용하여 안전한 통신 설정.
- 정기적인 백업: etcd 스냅샷 기능을 활용하여 데이터 손실 방지.
