N° 01 — 목록

'networkpolicy' (2)

  1. Tech Artifacts/K8s Security

    K8s Security - 09. network security

    "내부라서 안전하다"를 부정하는 모델 — zero-trust와 네트워크 보안한 조직이 클러스터 네트워크를 "내부는 믿을 수 있다"는 가정 위에 세웠다. Pod는 서로 자유롭게 통신했고, NetworkPolicy는 없었다(이게 Kubernetes의 기본값이다 ). 그러다 한 Pod가 취약점으로 뚫렸다. 공격자는 그 Pod에서 출발해 클러스터 전체를 횡단했다. 다른 Pod로의 연결을 막는 벽이 아예 없었으니까. zero-trust는 바로 이 가정을 부정한다 — "내부도 불신한다. 누가 누구와 통신하나를 명시적으로 허용한다." 이 글은 네트워크 보안이 이 원칙을 어떻게 실현하고, 이미 본 NetworkPolicy와 Calico/Cilium 정책·메시 정책이 어떻게 함께 한 벽이 되는지를 따진다.zero-tru..

    · 댓글
  2. Tech Artifacts/K8s Networking

    K8s Networking - 06. network-policy

    NetworkPolicy 하나 넣었더니 모든 트래픽이 막혔다 — "기본 허용" 함정한 팀이 보안 점검을 앞두고 NetworkPolicy를 도입했다. "웹 Pod는 DB Pod로만 가게 하자"며 정책을 하나 넣었다. 그랬더니 갑자기 다른 트래픽 — 웹 Pod가 외부 API를 부르던 것, 모니터링이 메트릭을 수집하던 것 — 이 전부 멈췄다. "정책을 하나만 넣었는데 왜 다 막혔지?" 이 팀이 부딪힌 것이 NetworkPolicy의 "기본 허용, 정책 시 화이트리스트" 모델이다.이 글이 푸는 것은: NetworkPolicy가 기본으로 모든 트래픽을 허용하는 이유, 하나의 정책이 왜 전체를 막는가, 그리고 L3/L4 격리의 한계다.왜 Kubernetes 네트워크 기본이 "전부 허용"인가대부분의 방화벽은 기본이 ..

    · 댓글