계: Environment
이 섹션에는 소스 코드 외부에 있지만 제작 중인 제품의 보안에는 여전히 중요한 내용이 모두 포함되어 있습니다. 이 섹션에서 다루는 문제들은 소스 코드와 직접적으로 관련이 없기 때문에 나머지 섹션과 분리했습니다.
GCP Terraform Misconfiguration: GKE Cluster Node Auto-Repair Disabled
Abstract
Terraform 구성이 GKE 노드 풀의 노드 자동 복구를 비활성화합니다.
Explanation
모든 클라우드 서비스 보안 기능은 알려진 위협을 방지하거나 완화합니다. 의도적으로 또는 부주의로 인해 비활성화된 기능은 보호 기능을 제공하지 않습니다.
기본적으로 지정된 기간 동안 GKE 노드에서 비정상 상태가 반복적으로 보고되면 GKE는 해당 노드의 복구 프로세스를 시작합니다. 노드 자동 복구를 비활성화하면 업무상 중요한 워크로드가 실행될 수도 있는 비정상 상태의 노드를 제때 자동으로 교체할 수 없습니다.
예제 1: 다음 Terraform 구성은
기본적으로 지정된 기간 동안 GKE 노드에서 비정상 상태가 반복적으로 보고되면 GKE는 해당 노드의 복구 프로세스를 시작합니다. 노드 자동 복구를 비활성화하면 업무상 중요한 워크로드가 실행될 수도 있는 비정상 상태의 노드를 제때 자동으로 교체할 수 없습니다.
예제 1: 다음 Terraform 구성은
management 블록에서 auto_repair를 false로 설정하여 노드 풀의 노드 자동 복구를 비활성화합니다.
resource "google_container_node_pool" "node-pool-demo" {
...
management {
auto_repair = false
...
}
...
}
References
[1] HashiCorp google_container_node_pool
[2] Google Cloud Auto-repairing nodes
[3] Standards Mapping - CIS Google Kubernetes Engine Benchmark Recommendation 5.5.2
[4] Standards Mapping - FIPS200 CM
[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-2 Flaw Remediation (P1)
[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-2 Flaw Remediation
[7] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[8] Standards Mapping - OWASP Top 10 2017 A9 Using Components with Known Vulnerabilities
[9] Standards Mapping - OWASP Top 10 2021 A06 Vulnerable and Outdated Components
[10] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.2
[11] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.3.3
[12] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.3.3
[13] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 10.2 - Threat and Vulnerability Management
[14] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 10.2 - Threat and Vulnerability Management
[15] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 10.2 - Threat and Vulnerability Management, Control Objective C.1.6 - Web Software Components & Services
desc.structural.hcl.gcp_terraform_misconfiguration_gke_cluster_node_auto_repair_disabled