Kubernetes 클러스터의 안전한 운영을 위한 접근 제어

이후 API 요청 종류에 따라 여러가지 부가 기능을 제공하는데요. 예를 들어 만약 Pod exec 처럼 컨테이너 안에 들어가는 요청 이라면 사용자가 컨테이너 안에서 입력하는 명령들과 출력들을 레코딩하여 나중에 재생해 볼 수 있도록 했습니다. 만약 Pod 리스트를 조회하는 경우라면 Kubernetes API 서버 응답을 필터링하여, 실제 사용자가 권한이 있는 Pod 들만 볼 수 있도록 하는 기능도 제공합니다. 물론 이러한 기능들을 제공함에 있어서, 기존에 사용하던 Kubernetes 클라이언트 툴들은 기존처럼 그대로 사용할 수 있어야 하는데요. 이를 위해 KAC Proxy 서버는 transparent 하게 설계하여, 사용자 클라이언트 툴 입장에서는 KAC Proxy 서버가 존재하는지 모르도록 하였습니다.

기술적 설명

KAC 접근제어 기능이 어떻게 동작하는지 기술적 관점에서 단계별로 설명하겠습니다. 기본적으로 클러스터 내의 리소스 접근에 대한 허용과 차단은 KAC Proxy 서버에서 이루어집니다.

클라이언트가 요청을 보내면 KAC Proxy 서버에서는 해당 요청에 대한 권한이 있는지를 체크하는데요. 정책 체크 결과에 따라서 권한이 있으면 Kubernetes API 서버로 사용자의 요청을 전송하고, 권한이 없으면 클라이언트에 요청 권한이 없다는 에러 메세지를 전달합니다.

KAC Proxy 서버에서 정책에 따라 접근을 차단하거나 허용하려면 먼저, 누가 접근하려고 하는지를 식별해야 합니다. 즉 인증 기능이 필요한데요. Kubernetes 에는 클라이언트의 인증 정보를 kubeconfig 파일을 통해 관리 하고 있습니다. 그리고 대부분의 Kubernetes 클라이언트 툴들 역시 이 kubeconfig 를 사용합니다. 따라서 KAC 는 호환성을 위해 kubeconfig 를 사용한 클러스터 접근 방식은 그대로 유지하였습니다.

그리고 kubeconfig 파일은 사용자가 번거롭게 괸리하지 않아도 되겠끔 사용자 로컬에 KAC Agent 를 두고 Agent 가 kubeconfig 파일을 관리하는 방식을 채택하였습니다. 이를 통해 관리자의 운영부담을 덜어주었습니다.

KAC proxy 는 클라이언트의 다양한 요청들을 프로토콜별로 분석을 합니다. kubectl create pod, kubectl get pod, kubectl delete pod 명령어 처럼 리소스 생성이나 조회, 삭제 등에서 사용하는 API 뿐만 아니라 kubectl exec 명령어로 pod 내의 컨테이너에 접속하는 경우 그리고 kubectl 명령어에 –watch 옵션을 주어 사용하는 경우에도 이벤트를 분석합니다.

특히 kubectl exec 명령어로 pod 내의 컨테이너에 접속하는 경우 KAC proxy 서버는 stream 을 분석하여 컨테이너 안에서 사용자가 어떤 입력을 했고 어떤 출력을 받았는지를 확인할 수 있습니다. 그리고 이를 플레이어를 통해 재생할 수 있도록 기능을 구현하였습니다.

사용자가 kubectl 명령어에 –watch 옵션을 주어 조회하는 경우, 리소스에 상태변화가 생길때마다 스트림으로 응답을 받는데요. KAC proxy 서버는 이 과정에서 이벤트 스트림 내용을 분석해서, 사용자에게 권한이 있는 리소스 정보들만 볼 수 있도록 기능을 구현하였습니다. 예를 들어 kubectl –watch 옵션으로 리소스 상태를 감시하면, 리소스 상태가 변경되었을때 각 이벤트에는 추가, 삭제, 수정 정보뿐만 아니라 pod, deployment 등의 실제 리소스 정보도 같이 전달되는데요. KAC proxy 서버에서는 이러한 이벤트 스트림을 실시간으로 decode 하여, 접근 제어 정책에 위반하는 리소스가 없는지를 체크하고 필터링하였습니다.

다음으로 사용자가 kubectl get pod –all-namespaces 명령어처럼 클러스터내의 전체 pod 리스트를 조회하는 경우도 있습니다. KAC는 이 경우에도 전체 Pod 리스트 응답 중에, 각 Pod 마다 사용자 권한을 체크해서 권한이 없는 리소스는 필터링 후 사용자에게 보여주도록 기능을 제공합니다. 즉 전체 Pod 리스트를 조회하더라도 실제 접근 권한이 있는 Pod 들만 볼 수 있게 되는 것이죠.

KAC proxy 서버는 사용자가 Kubernetes 리소스에 접근할 때 세밀한 권한 제어를 수행하는 핵심 구성 요소입니다. 이 서버는 Kubernetes API와 리소스에 대한 깊은 이해를 바탕으로, 들어오는 요청을 면밀히 분석하여 정확한 대상 리소스와 작업 유형을 식별합니다. 특히 주목할 만한 점은 기존 Kubernetes의 사용성을 그대로 유지하면서도, 모든 클라이언트 요청에 대해 철저한 접근 권한 검증을 수행한다는 것입니다.

RBAC 명세 개선

서두에서 말씀드린 것처럼 Kubernetes RBAC 명세에는 몇가지 한계가 존재합니다. 그렇다면 KAC 에서는 이를 어떻게 개선했는지 설명드리겠습니다.

Kubernetes RBAC 명세로는 표현하지 못하는 것들을 지원하기 위하여 KAC는 자체 Policy 명세를 제공합니다. 위 그림이 KAC Policy 명세 예제 인데요. 내용을 보시면, 크게 resources, subjects, actions, conditions 4가지 항목으로 나뉩니다. 먼저 resources 항목에는 어떤 클러스터를 대상으로 할 것인지 클러스터 이름을 지정할 수 있습니다. 다음으로 subjects 항목에는 어떤 kubernetes group이나 user 권한으로 리소스에 접근할 것인지를 지정합니다. 그리고 actions 항목에는 pod나 deployment 같은 리소스에 어떤 action을 할 수 있는지를 지정하고, 마지막으로 conditions 항목에는 태그나 사용자 속성으로도 접근제어 조건을 걸 수 있도록 명세를 제공합니다.

resources 항목에는 접근 제어할 클러스터 이름을 넣습니다. 위 그림처럼 여러개를 지정할 수 있기에, 멀티 클러스터를 운영하더라도 하나의 명세로 통합적으로 접근제어 policy 를 관리할 수 있습니다. subject 항목에는 KAC proxy 서버가 Kubernetes API 서버를 호출할때에 어떤 kubernetes group 이나 user 권한으로 호출할지를 지정할 수 있는데요. 이는 kubernetes 의 impersonation 기능을 사용하는 것으로 KAC proxy 서버가 Kubernetes API 서버를 호출할때에 여기에 지정된 Kubernetes group 의 권한으로 Kubernetes API 서버를 호출하게 됩니다. 다음으로 actions 항목에는 실제 접근 제어할 Kubernetes 리소스 타입와 namespace, 그리고 이름, verb 등을 지정하는데요. wild card 나 pattern matching 표현을 지원하기 때문에, 기존 Kubernetes Role 명세처럼 하나씩 리소스 이름을 지정할 필요가 없어졌습니다.

Deny rule도 지원합니다. 서두에서 말씀드린 것처럼 현재 Kubernetes RBAC의 Role 명세는 allow rule만 지원하는데요. deny rule을 지원함으로서 black list 기반으로도 접근제어를 할 수 있게 되었습니다. 이어서 conditions 항목에 이 policy가 적용될 조건을 넣을 수 있는데요. 여기서는 클러스터의 태그나 사용자의 속성값을 기반으로 policy를 언제 적용할지를 지정할 수 있습니다. 사용자 속성의 경우 예를 들어 팀을 지정할 수 있는데요. 팀별로 속성을 지정할 수 있게 함으로서, 정책 적용이 좀 더 편해집니다. 마지막으로 클러스터 태그는 클러스터의 속성인데요. 태그는 멀티 클러스터 환경에서 정책관리를 할때 유용하게 사용할 수 있습니다.

KAC는 QueryPie의 다른 DAC, SAC 제품과 마찬가지로 클러스터 동기화 기능을 제공합니다. 몇번의 클릭만으로 cloud provider 마다 managed Kubernetes 목록을 불러와서 접근 제어 서버에 쉽게 등록할 수 있는데요. Kubernetes 클러스터 목록이 등록이 되고나면, 관리자가 각 클러스터마다 태그를 부여할 수 있습니다. 그리고 이 태그는 KAC Policy 명세에서 참고하여 접근 제어 설정에 활용 할 수 있는데요.

예를 들어서 클러스터 타입이 개발 클러스터 인것들만, 별도의 접근 제어 정책을 적용하고 싶다고 가정하겠습니다. 자동으로 불러와진 클러스터 목록에서 개발 클러스터들에 Clutertype은 dev 라고 태그를 입력하고요. Policy 명세의 conditions 항목에 입력한 태그 내용을 넣어주면, 해당 Policy 명세는 모든 dev 클러스터들에 일괄 적용되게 됩니다. 정리하면 kubernetes 클러스터 목록 자동 동기화 기능과, 클러스터 tag 기능을 활용하여, 수많은 클러스터들도 접근 제어 정책을 쉽게 관리할 수 있습니다.

결론

KAC는 기존 Kubernetes RBAC의 한계를 보완하여 더욱 강화된 접근 제어 기능과 효율적인 관리 경험을 제공합니다. 기술적으로는 투명한 Proxy 아키텍처와 다양한 요청 타입별 분석을 통해 기존 Kubernetes 도구들과의 완벽한 호환성을 보장하면서도, 컨테이너 접근에 대한 상세한 감사 추적이 가능합니다. 정책 관리 측면에서도 중앙 집중형 관리 방식을 통해 관리자가 수많은 클러스터에 대한 접근 통제를 일관성 있게 설정하고 관리할 수 있도록 지원합니다.

SaaS 환경의 확산으로 증가하는 Kubernetes 클러스터를 보다 안전하고 효율적으로 운영하기 위해 QueryPie KAC 는 필수 도구로 자리잡고 있습니다. 이제 QueryPie KAC를 활용해 기업의 클러스터 자산을 보호하고 운영 효율성을 극대화해보세요.