시스템 보안 및 네트워크 강화 정책 (Infrastructure Hardening & Security)
2025-10-27
요약
- 인프라 보안은 한 번 설정하면 끝나는 작업이 아니다.
- 본 문서는 시스템 보안 강화를 위한 계정 관리, 네트워크 정책, 접근 제어 표준을 정의한다.
- 목표: 제로 트러스트(Zero-Trust) 기반 운영 보안체계 구축
| 항목 | 내용 |
|---|
| 시스템 보안 | 최소 권한 + SSH Key 기반 |
| 네트워크 | Subnet / Policy 기반 분리 |
| 쿠버네티스 | RBAC + Notary + NetworkPolicy |
| 접근 제어 | IAM 승인 프로세스 필수 |
1. 시스템 보안 원칙
| 항목 | 설명 |
|---|
| 최소 권한 원칙 | Root 접근 차단, Role 기반 권한 분리 |
| 패키지 업데이트 | 정기 보안 패치 자동화 |
| SSH 보안 | Key 기반 접근, 암호 로그인 금지 |
| 감사 로그 | 모든 접근 기록 중앙 수집 |
2. 네트워크 보안 정책
| 영역 | 정책 |
|---|
| 인바운드 | 80/443 외 포트 제한 |
| 아웃바운드 | 외부 IP 화이트리스트 관리 |
| 방화벽 | UFW / Security Group 구성 |
| 세그먼트 분리 | Front / Backend / DB Subnet 구분 |
3. Kubernetes 보안 설정
| 항목 | 방법 |
|---|
| Pod 보안 | SecurityContext (readOnlyRootFilesystem) |
| 네임스페이스 | Team별 RBAC 정책 |
| 네트워크 | NetworkPolicy로 서비스 격리 |
| 이미지 | 서명된 이미지 사용 (Harbor Notary) |
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: deny-all
spec:
podSelector: {}
policyTypes:
- Ingress
- Egress
4. 접근 제어 (IAM / RBAC)
| 구분 | 권한 | 적용 대상 |
|---|
| admin | 전체 제어 | SRE / PO |
| dev | 네임스페이스 한정 | FE/BE |
| viewer | 읽기 전용 | QA / Planner |
IAM 변경은 Git Merge Request 기반으로만 수행.