기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
규정 준수
규정 준수는 AWS와 서비스 소비자 간의 공동 책임입니다. 일반적으로 AWS는 "클라우드 보안"에 대한 책임이 있는 반면, AWS의 사용자는 "클라우드 보안"에 대한 책임이 있습니다. AWS와 해당 사용자가 어떤 책임이 있는지를 설명하는 줄은 서비스에 따라 달라집니다. 예를 들어 Fargate를 사용하면 AWS는 데이터 센터, 하드웨어, 가상 인프라(Amazon EC2) 및 컨테이너 런타임(Docker)의 물리적 보안을 관리할 책임이 있습니다. Fargate 사용자는 컨테이너 이미지와 해당 애플리케이션을 보호할 책임이 있습니다. 규정 준수 표준을 준수해야 하는 워크로드를 실행할 때 중요한 고려 사항이 무엇인지 누가 담당하는지 파악합니다.
다음 표에는 다양한 컨테이너 서비스가 준수하는 규정 준수 프로그램이 나와 있습니다.
| 규정 준수 프로그램 | Amazon ECS 오케스트레이터 | Amazon EKS 오케스트레이터 | ECS Fargate | Amazon ECR |
|---|---|---|---|---|
|
PCI DSS 레벨 1 |
1 |
1 |
1 |
1 |
|
HIPAA 적격 |
1 |
1 |
1 |
1 |
|
SOC I |
1 |
1 |
1 |
1 |
|
SOC II |
1 |
1 |
1 |
1 |
|
SOC III |
1 |
1 |
1 |
1 |
|
ISO 27001:2013 |
1 |
1 |
1 |
1 |
|
ISO 9001:2015 |
1 |
1 |
1 |
1 |
|
ISO 27017:2015 |
1 |
1 |
1 |
1 |
|
ISO 27018:2019 |
1 |
1 |
1 |
1 |
|
IRAP |
1 |
1 |
1 |
1 |
|
FedRAMP Moderate(동부/서부) |
1 |
1 |
0 |
1 |
|
FedRAMP High(GovCloud) |
1 |
1 |
0 |
1 |
|
DOD CC SRG |
1 |
DISA 검토(IL5) |
0 |
1 |
|
HIPAA BAA |
1 |
1 |
1 |
1 |
|
MTCS |
1 |
1 |
0 |
1 |
|
C5 |
1 |
1 |
0 |
1 |
|
K-ISMS |
1 |
1 |
0 |
1 |
|
ENS High |
1 |
1 |
0 |
1 |
|
OSPAR |
1 |
1 |
0 |
1 |
|
HITRUST CSF |
1 |
1 |
1 |
1 |
규정 준수 상태는 시간이 지남에 따라 변경됩니다. 최신 상태는 항상 https://aws.amazon.com/compliance/services-in-scope/
클라우드 인증 모델 및 모범 사례에 대한 자세한 내용은 AWS 백서, 보안 클라우드 채택을 위한 인증 모델을 참조하세요
왼쪽으로 이동
왼쪽으로 이동하는 개념에는 소프트웨어 개발 수명 주기 초기에 정책 위반 및 오류를 포착하는 것이 포함됩니다. 보안 관점에서 이는 매우 유용할 수 있습니다. 예를 들어 개발자는 애플리케이션이 클러스터에 배포되기 전에 구성 관련 문제를 해결할 수 있습니다. 앞서 설명한 것과 같은 실수를 포착하면 정책을 위반하는 구성이 배포되는 것을 방지하는 데 도움이 됩니다.
코드형 정책
정책은 허용된 동작 또는 금지된 동작과 같은 동작을 관리하기 위한 규칙 세트로 생각할 수 있습니다. 예를 들어 모든 Dockerfile에 컨테이너가 루트가 아닌 사용자로 실행되도록 하는 사용자 지시문이 포함되어야 한다는 정책이 있을 수 있습니다. 문서로서 이와 같은 정책은 검색하고 적용하기 어려울 수 있습니다. 요구 사항이 변경되면 오래된 것일 수도 있습니다. 코드형 정책(PaC) 솔루션을 사용하면 알려진 위협과 지속적인 위협을 탐지, 방지, 감소 및 대응하는 보안, 규정 준수 및 개인 정보 보호 제어를 자동화할 수 있습니다. 또한 다른 코드 아티팩트와 마찬가지로 정책을 코드화하고 관리하는 메커니즘을 제공합니다. 이 접근 방식의 이점은 DevOps 및 GitOps 전략을 재사용하여 Kubernetes 클러스터 플릿에서 정책을 관리하고 일관되게 적용할 수 있다는 것입니다. PaC 옵션과 PSP의 미래에 대한 자세한 내용은 포드 보안을
파이프라인에서 policy-as-code 도구를 사용하여 배포 전에 위반 탐지
-
OPA
는 CNCF의 일부인 오픈 소스 정책 엔진입니다. 정책 결정을 내리는 데 사용되며 언어 라이브러리 또는 서비스와 같은 다양한 방법으로 실행할 수 있습니다. OPA 정책은 Rego라는 도메인별 언어(DSL)로 작성됩니다. Kubernetes Dynamic Admission Controller의 일부로 Gatekeeper 프로젝트로 실행되는 경우가 많지만 OPA를 CI/CD 파이프라인에 통합할 수도 있습니다. 이를 통해 개발자는 릴리스 주기 초기에 구성에 대한 피드백을 받을 수 있으므로 나중에 프로덕션에 도달하기 전에 문제를 해결하는 데 도움이 될 수 있습니다. 이 프로젝트의 GitHub 리포지토리 에서 일반적인 OPA 정책 모음을 찾을 수 있습니다. -
Conftest
는 OPA를 기반으로 구축되었으며 Kubernetes 구성을 테스트하기 위한 개발자 중심 환경을 제공합니다. -
Kyverno
는 Kubernetes용으로 설계된 정책 엔진입니다. Kyverno를 사용하면 정책이 Kubernetes 리소스로 관리되며 정책을 작성하는 데 새로운 언어가 필요하지 않습니다. 이를 통해 kubectl, git, kustomize와 같은 익숙한 도구를 사용하여 정책을 관리할 수 있습니다. Kyverno 정책은 Kubernetes 리소스를 검증, 변경 및 생성하고 OCI 이미지 공급망 보안을 보장할 수 있습니다. Kyverno CLI 를 사용하여 정책을 테스트하고 CI/CD 파이프라인의 일부로 리소스를 검증할 수 있습니다. 모든 Kyverno 커뮤니티 정책은 Kyverno 웹 사이트에서 확인할 수 있으며, Kyverno CLI를 사용하여 파이프라인에서 테스트를 작성하는 예제는 정책 리포지토리 를 참조하세요.
도구 및 리소스
-
Kubernetes 보안 검토
Kubernetes 1.13.4(2019)의 타사 보안 평가 -
SUSE 오픈 소스의 NeuVector
, 제로 트러스트 컨테이너 보안 플랫폼, 규정 준수 보고 및 사용자 지정 규정 준수 검사 제공
