EKS 클러스터 보안 모범 사례

1. 클러스터 접근 제어

API 서버 엔드포인트 보안

• 프라이빗 엔드포인트 사용: 클러스터 API 서버를 프라이빗 서브넷에만 노출
• 퍼블릭 액세스 제한: 필요한 경우에만 특정 IP 범위로 제한
• VPC 엔드포인트 활용: AWS 서비스와의 통신을 위한 VPC 엔드포인트 구성

인증 및 권한 부여

• IAM 역할 기반 접근 제어: AWS IAM과 Kubernetes RBAC 통합
• 최소 권한 원칙: 필요한 최소한의 권한만 부여
• 서비스 계정 토큰 자동 마운트 비활성화: 불필요한 경우 automountServiceAccountToken: false 설정

2. 네트워크 보안

네트워크 정책

• Calico 또는 AWS VPC CNI: 네트워크 정책을 통한 파드 간 통신 제어
• 네임스페이스 격리: 네임스페이스별 네트워크 분리
• 인그레스/이그레스 규칙: 세밀한 트래픽 제어

보안 그룹 및 NACLs

• 노드 그룹 보안 그룹: 워커 노드에 대한 최소한의 포트만 개방
• 로드 밸런서 보안: ALB/NLB 보안 그룹 적절히 구성
• 데이터베이스 접근: RDS 등 백엔드 서비스에 대한 제한적 접근

3. 파드 보안