클러스터의 중앙 관리 엔터티인 Kubernetes API 서버가 HTTP 기본 인증을 수락하여 사용자를 인증합니다. HTTP 기본 인증은 더 이상 사용되지 않으며 무차별 대입 공격에 취약하고 잘못 구성된 환경에서 공격자에게 사용자 자격 증명이 노출됩니다.

예제 1: 다음 예제는 master_auth 블록에서 username과 password를 비어 있지 않은 값으로 설정하여 GKE 클러스터에서 HTTP 기본 인증을 활성화하는 Terraform 구성을 보여줍니다.

resource "google_container_cluster" "container_cluster_demo" {
...
  master_auth {
    username = "foo"
    password = "bar"
  }
...
}

기본적으로 ABAC(속성 기반 액세스 제어)는 GKE 버전 1.8 이상을 실행하는 새 클러스터에서는 비활성화됩니다. ABAC는 RBAC(역할 기반 액세스 제어) 또는 Identity and Access Management(IAM)에서 제공하는 것 외에 리소스에 대한 액세스 권한을 특정 사용자 또는 그룹에 정적으로 부여할 수 있습니다. 이는 권한 부여 관리를 복잡하게 만들고 중앙 집중식 액세스 제어를 약화시킵니다.

예제 1: 다음 예제는 enable_legacy_abac를 true로 설정하여 GKE 클러스터의 기존 ABAC 인증을 활성화하는 Terraform 구성을 보여줍니다.

resource "google_container_cluster" "container_cluster_demo" {
...
  enable_legacy_abac = true
...
}

모든 클라우드 서비스 보안 기능은 알려진 위협을 방지하거나 완화합니다. 의도적으로 또는 부주의로 인해 비활성화된 기능은 보호 기능을 제공하지 않습니다.

기본적으로 지정된 기간 동안 GKE 노드에서 비정상 상태가 반복적으로 보고되면 GKE는 해당 노드의 복구 프로세스를 시작합니다. 노드 자동 복구를 비활성화하면 업무상 중요한 워크로드가 실행될 수도 있는 비정상 상태의 노드를 제때 자동으로 교체할 수 없습니다.

예제 1: 다음 Terraform 구성은 management 블록에서 auto_repair를 false로 설정하여 노드 풀의 노드 자동 복구를 비활성화합니다.

resource "google_container_node_pool" "node-pool-demo" {
...
  management {
    auto_repair = false
    ...
  }
...
}

불필요한 네트워크 트래픽을 차단하지 않으면 클라우드 서비스의 공격 표면이 확장됩니다. 공개 상호 작용이 가능한 서비스는 악의적인 엔터티의 거의 지속적인 검색 및 조사에 노출됩니다.

비공개 GKE 노드에는 외부 IP 주소가 없습니다. 이러한 노드에서 실행되는 Pod는 클러스터 경계 내에서만 통신할 수 있습니다. 공개 끝점을 비활성화하면 관리 대상을 내부 개인 IP 주소로 제한하여 GKE 클러스터를 보호할 수 있습니다. 비공개 끝점과 비공개 노드를 적용하지 않으면 클러스터를 누구나 사용할 수 있게 됩니다.

예제 1: 다음 Terraform 구성은 모든 공개 IP 주소의 클러스터 노드 및 제어 영역 액세스를 허용합니다. enable_private_nodes 및 enable_private_endpoint가 false로 설정되어 있기 때문입니다.

resource "google_container_cluster" "cluster-demo" {
...
  private_cluster_config {
    enable_private_endpoint = false
    enable_private_nodes = false
  }
...
}

기본적으로 GKE 노드는 Container-Optimized OS(COS)를 사용하여 실행됩니다. COS는 Google Compute Engine 인스턴스에서 GKE 노드를 실행하는 데 최적화된 운영 체제 이미지입니다. 기본값을 선택 해제하면 향상된 보안 및 효율성의 이점이 사라집니다.

예제 1: 다음 예제 Terraform 구성은 node_config 블록에서 image_type이 COS 외의 이미지로 설정되어 있기 때문에 COS를 실행하지 않는 GKE 노드 풀을 설정합니다.

resource "google_container_node_pool" "node_pool_demo" {
  ...
  node_config {
    image_type = "UBUNTU"
    ...
  }
  ...
}

기본적으로 GKE는 Kubernetes 노드를 안정적인 최신 버전으로 자동 업그레이드합니다. 알려진 소프트웨어 취약점에 적시에 패치를 적용하는 자동 업그레이드는 비활성화됩니다.

예제 1: 다음 예제 Terraform 구성은 management 블록에서 auto_upgrade를 false로 설정하여 Kubernetes 노드의 자동 업그레이드를 비활성화합니다.

resource "google_container_node_pool" "node_pool_demo" {
...
  management {
    auto_upgrade = false
    ...
  }
...
}

기본적으로 새 Google Cloud 프로젝트는 프로젝트 전체 네트워크에서 시작됩니다. 기본 네트워크는 동일한 프로젝트의 Compute Engine 인스턴스 간에 무제한 통신을 허용하고 모든 인스턴스의 보안에 민감한 포트를 공개적으로 노출하는 방화벽 규칙으로 미리 채워져 있습니다. 영향을 받는 포트에는 TCP 22(SSH) 및 TCP 3389(RDP)가 있습니다. 충분히 보호되지 않은 인스턴스는 무단 액세스에 취약합니다.

예제 1: 다음 예제 Terraform 구성은 auto_create_network를 true로 설정하여 프로젝트 전체 네트워크의 자동 생성을 활성화합니다.

resource "google_project" "project-demo" {
...
  auto_create_network = true
...
}

이 Terraform 구성은 서비스 계정의 액세스 범위를 대부분의 Google Cloud API에 대한 액세스를 허용하는 cloud-platform으로 설정합니다. 이로 인해 손상된 Compute Engine 인스턴스에 액세스할 수 있는 공격 표면이 대폭 확장되고 최소 권한 원칙에 위반됩니다.

예제 1: 다음 예제는 서비스 계정의 액세스 범위(scopes)를 cloud-platform으로 설정하는 Terraform 구성을 보여줍니다.

resource "google_compute_instance" "compute-instance-demo" {
    name         = "name-demo"
    machine_type = "e2-micro"
    ...
    service_account {
        email  = "foobar.service.account@example.com"
        scopes = ["cloud-platform"]
    }
}

기본적으로 App Engine 응용 프로그램용 도메인은 암호화되지 않은 연결과 보안되지 않은 연결을 허용합니다. 이러한 연결로 인해 데이터가 무단 액세스, 도난 및 변조 위험에 노출됩니다.

예제 1: 다음 예제에는 example.com 도메인용 ssl_settings 블록이 포함되지 않은 Terraform 구성이 나와 있습니다. 따라서 App Engine 응용 프로그램용 사용자 지정 도메인이 HTTPS를 지원하지 않습니다.

resource "google_app_engine_domain_mapping" "domain_mapping" {
  domain_name = "example.com"
}

기본적으로 App Engine 응용 프로그램은 암호화되지 않은 연결과 보안되지 않은 연결을 허용합니다. 이러한 연결로 인해 데이터가 무단 액세스, 도난 및 변조 위험에 노출됩니다.

기본적으로 HTTP 트리거는 Cloud 함수가 HTTPS 요청에 대한 응답으로만 실행되도록 합니다. 비보안 HTTP 요청을 허용하면 데이터 무단 액세스, 도용, 변조가 발생할 수 있습니다.

예제 1: 다음 예제에는 HTTP 트리거를 정의하는 Terraform 구성이 나와 있습니다. 이 구성에서는 https_trigger_security_level이 SECURE_OPTIONAL로 설정되어 있으므로 HTTPS 끝점이 적용되지 않습니다.

resource "google_cloudfunctions_function" "demo_function" {
...
  trigger_http = true
  https_trigger_security_level = "SECURE_OPTIONAL"
...
}

기본적으로 Cloud SQL 인스턴스는 암호화되지 않은 연결과 보안되지 않은 연결을 허용합니다. 이러한 연결로 인해 데이터가 무단 액세스, 도난 및 변조 위험에 노출됩니다.

예제 1: 다음 예제는 require_ssl을 false로 설정하여 데이터베이스 인스턴스가 모든 연결에 대해 SSL을 적용하도록 요구하지 않는 Terraform 구성을 보여줍니다.

resource "google_sql_database_instance" "database_instance_demo" {
  ...
  settings {
    ip_configuration {
      require_ssl = false
      ...
    }
    ...
  }
}

기본적으로 Edge Cache 서비스는 암호화되지 않은 연결과 보안되지 않은 연결을 허용합니다. 이러한 연결로 인해 데이터가 무단 액세스, 도난 및 변조 위험에 노출됩니다.

예제 1: 다음 예제에는 Edge Cache 서비스를 정의하는 Terraform 구성이 나와 있습니다. 이 구성에서는 require_tls를 false로 설정하여 클라이언트가 통신에 TLS를 사용하지 않아도 되도록 지정합니다.

resource "google_network_services_edge_cache_service" "srv_demo" {
...
  require_tls = false
...
}

TLS(Transport Layer Security) 프로토콜과 SSL(Secure Sockets Layer) 프로토콜은 클라이언트와 웹 서버 사이에 전송되는 데이터의 신뢰성, 기밀성, 무결성을 보장하는 보호 메커니즘을 제공합니다. TLS와 SSL 모두 정기적인 버전 업데이트에 따라 여러 번 개정되었습니다. 새로운 개정 버전 각각은 이전 버전에서 발견된 보안 취약점을 해결합니다. TLS/SSL의 안전하지 않은 버전을 사용하면 데이터 보호가 약화되고 공격자가 민감한 정보를 손상시키거나 도용하거나 수정할 수 있습니다.

안전하지 않은 버전의 TLS/SSL에는 다음과 같은 속성이 하나 이상 나타날 수 있습니다.

- MITM(Man-In-The-Middle) 공격에 무방비
- 인증과 암호화에 동일한 키 사용
- 약한 메시지 인증 제어
- TCP 연결 차단에 무방비

이러한 속성이 있으면 공격자가 민감한 데이터를 가로채거나 수정하거나 조작할 수 있습니다.

예제 1: 다음 예제 Terraform 구성은 프록시 로드 밸런서가 profile을 COMPATIBLE로 설정하여 약한 SSL 암호화 알고리즘을 사용하는 것을 허용하는 SSL 정책을 정의합니다.

resource "google_compute_ssl_policy" "policy-demo" {
...
  profile = "COMPATIBLE"
...
}

예제 2: 다음 예제 Terraform 구성은 프록시 로드 밸런서가 TLS_RSA_WITH_AES_128_CBC_SHA라는 약한 SSL 암호화 알고리즘을 사용하는 것을 허용하는 것을 허용하는 SSL 정책을 정의합니다.

resource "google_compute_ssl_policy" "policy-demo" {
...
  profile = "CUSTOM"
  min_tls_version = "TLS_1_2"
  custom_features = ["TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_RSA_WITH_AES_128_CBC_SHA"]
...
}

감사 기록이 없으면 보안 관련 사고를 감지하고 대응하는 능력이 제한되고 포렌식 조사가 불가능해집니다.

로깅 기능의 효율성을 떨어뜨리는 구성 설정에는 다음을 비롯한 여러 가지가 포함됩니다.
- 의도적인 감사 로깅 비활성화
- 특정 사용자, 그룹, 프로세스의 작업을 로깅 대상에서 제외
- 부적절한 방식으로 로그 무결성 보호
- 선택적 감사 로깅 미활성화
- 로그 샘플링 비율 하향 조정

감사 기록이 없으면 보안 관련 사고를 감지하고 대응하는 능력이 제한되고 포렌식 조사가 불가능해집니다.

로깅 기능의 효율성을 떨어뜨리는 구성 설정에는 다음을 비롯한 여러 가지가 포함됩니다.
- 의도적인 감사 로깅 비활성화
- 특정 사용자, 그룹, 프로세스의 작업을 로깅 대상에서 제외
- 부적절한 방식으로 로그 무결성 보호
- 선택적 감사 로깅 미활성화
- 로그 샘플링 비율 하향 조정

이 Terraform 구성은 사용량 로그 및 스토리지 로그를 활성화하지 않고 Cloud Storage 버킷을 만듭니다. 이러한 로그에는 네트워크 모니터링, 포렌식, 실시간 보안 분석 및 비용 최적화를 위한 귀중한 데이터가 포함되어 있습니다.

예제 1: 다음 예제는 log_bucket 인수가 없기 때문에 사용량 로깅 및 스토리지 로깅을 활성화하지 않고 Cloud Storage 버킷을 만드는 Terraform 구성을 보여줍니다.

resource "google_storage_bucket" "bucket-demo" {
    name     = "name-demo"
    location = "US"
}

기본적으로 Google Kubernetes Engine(GKE) 클러스터는 Stackdriver Kubernetes Engine 로깅 서비스에 로그를 씁니다. 이 Terraform 구성은 GKE 클러스터를 설정하고 로깅 서비스를 명시적으로 비활성화합니다. 로그에는 보안 사고를 식별하고 정책 위반을 모니터링하며 거부 없음 제어를 지원하는 데 사용되는 중요한 데이터가 포함됩니다.

예제 1: 다음 예제는 logging_service를 none으로 설정하여 GKE 클러스터의 로깅 서비스를 비활성화하는 Terraform 구성을 보여줍니다.

resource "google_container_cluster" "cluster-demo" {
    name            = "name-demo"
    location        = "us-central1-a"
    logging_service = "none"
    ...
}

기본적으로 Google Kubernetes Engine(GKE) 클러스터는 Pod에서 Stackdriver Kubernetes Engine Monitoring Service로 메트릭을 보냅니다. 이 Terraform 스크립트는 GKE 클러스터를 설정하고 모니터링 서비스를 명시적으로 비활성화합니다. 메트릭이 없으면 보안 이벤트의 적절한 감지 및 신속한 대응에 저해됩니다.

예제 1: 다음 예제는 monitoring_service를 none으로 설정하여 GKE 클러스터의 모니터링 서비스를 비활성화하는 Terraform 구성을 보여줍니다.

resource "google_container_cluster" "cluster-demo" {
    name               = "name-demo"
    location           = "us-central1-a"
    monitoring_service = "none"
    ...
}

감사 기록이 없으면 보안 관련 사고를 감지하고 대응하는 능력이 제한되고 포렌식 조사가 불가능해집니다.

로깅 기능의 효율성을 떨어뜨리는 구성 설정에는 다음을 비롯한 여러 가지가 포함됩니다.
- 의도적인 감사 로깅 비활성화
- 특정 사용자, 그룹, 프로세스의 작업을 로깅 대상에서 제외
- 부적절한 방식으로 로그 무결성 보호
- 선택적 감사 로깅 미활성화
- 로그 샘플링 비율 하향 조정