Skip to content
EKS 보안 성숙도 모델
Search
Ctrl
K
Cancel
GitHub
Select theme
Dark
Light
Auto
Introduction
Maturity Model
Quick Wins
Quick Wins
Default ServiceAccount 사용을 제한하고 불필요한 토큰 마운트를 비활성화한다
Ingress와 Load Balancer에서 TLS를 강제한다
Pod 연계 external Secret storage를 사용한다
Cluster Resource 사용을 제한한다
Container Image Scan 및 차단을 한다
컨테이너를 non-root 사용자로 실행하고 루트 파일시스템 쓰기를 제한한다
Prometheus로 클러스터 메트릭 수집 기반을 구성한다
Foundational
Foundational
네임스페이스 내 리소스 접근 제어를 위한 RBAC 정의 및 검증을 수행한다
EKS 클러스터에 접속할 IAM 신분을 EKS Access Entries 방식으로 관리한다
Pod별 IAM Role 부여를 통해 워크로드별 AWS 권한을 분리한다
Kubernetes API endpoint를 private-only로 전환한다
Worker node와 Pod를 private subnet에 배치한다
EBS 기반 Workload Storage data를 보호한다
Workload 내 Hardcoded Secret을 탐지하고 Secrets Manager 참조로 제거한다
Container Image 취약점을 관리한다
Grafana로 클러스터 메트릭을 시각화한다
네임스페이스에 PSS Baseline을 적용하고 비준수 Pod 실행을 차단한다
Efficient
Efficient
기본 deny NetworkPolicy를 적용한다
CoreDNS와 DNS egress 경로를 내부 DNS 경계에 맞게 제한한다
kubelet API 접근을 노드 보안 그룹 경계로 제한한다
Secret 접근을 감사하고 추적한다
AlertManager 및 보안 알림 규칙을 추가한다
Cluster 감사 추적 및 Event Logging 체계를 구축한다
Security Metric 수집 및 Runtime 시각화를 구축한다
Optimized
Optimized
Break-glass 감사 자동화를 통해 긴급 관리자 접근을 JIT로 부여하고 추적한다
서비스 간 mTLS를 적용한다
eBPF 기반 네트워크 이상 행위 탐지를 활성화한다
Falco 기반 Secret 접근 감사를 보완한다
K8s 인증서 수명주기를 자동화한다
Container System Call 제어
Runtime 위협탐지
GitHub
Select theme
Dark
Light
Auto
Maturity Model
EKS 보안 성숙도 매트릭스
Section titled “EKS 보안 성숙도 매트릭스”
행은 보안 영역, 열은 성숙도 단계를 의미합니다.
보안 영역
Quick Wins
Foundational
Efficient
Optimized
접근 제어
Default ServiceAccount 사용을 제한하고 불필요한 토큰 마운트를 비활성화한다
단계: Quick Wins
항목: 접근 제어
네임스페이스 내 리소스 접근 제어를 위한 RBAC 정의 및 검증을 수행한다
단계: Foundational
항목: 접근 제어
EKS 클러스터에 접속할 IAM 신분을 EKS Access Entries 방식으로 관리한다
단계: Foundational
항목: 접근 제어
Pod별 IAM Role 부여를 통해 워크로드별 AWS 권한을 분리한다
단계: Foundational
항목: 접근 제어
준비 중
Break-glass 감사 자동화를 통해 긴급 관리자 접근을 JIT로 부여하고 추적한다
단계: Optimized
항목: 접근 제어
네트워크 보안
Ingress와 Load Balancer에서 TLS를 강제한다
단계: Quick Wins
항목: 네트워크 보안
Kubernetes API endpoint를 private-only로 전환한다
단계: Foundational
항목: 네트워크 보안
Worker node와 Pod를 private subnet에 배치한다
단계: Foundational
항목: 네트워크 보안
기본 deny NetworkPolicy를 적용한다
단계: Efficient
항목: 네트워크 보안
CoreDNS와 DNS egress 경로를 내부 DNS 경계에 맞게 제한한다
단계: Efficient
항목: 네트워크 보안
kubelet API 접근을 노드 보안 그룹 경계로 제한한다
단계: Efficient
항목: 네트워크 보안
서비스 간 mTLS를 적용한다
단계: Optimized
항목: 네트워크 보안
eBPF 기반 네트워크 이상 행위 탐지를 활성화한다
단계: Optimized
항목: 네트워크 보안
데이터 보호
Pod 연계 external Secret storage를 사용한다
단계: Quick Wins
항목: 데이터 보호
EBS 기반 Workload Storage data를 보호한다
단계: Foundational
항목: 데이터 보호
Workload 내 Hardcoded Secret을 탐지하고 Secrets Manager 참조로 제거한다
단계: Foundational
항목: 데이터 보호
Secret 접근을 감사하고 추적한다
단계: Efficient
항목: 데이터 보호
Falco 기반 Secret 접근 감사를 보완한다
단계: Optimized
항목: 데이터 보호
K8s 인증서 수명주기를 자동화한다
단계: Optimized
항목: 데이터 보호
Pod 보안
Cluster Resource 사용을 제한한다
단계: Quick Wins
항목: Pod 보안
Container Image Scan 및 차단을 한다
단계: Quick Wins
항목: Pod 보안
컨테이너를 non-root 사용자로 실행하고 루트 파일시스템 쓰기를 제한한다
단계: Quick Wins
항목: Pod 보안
Prometheus로 클러스터 메트릭 수집 기반을 구성한다
단계: Quick Wins
항목: Pod 보안
Container Image 취약점을 관리한다
단계: Foundational
항목: Pod 보안
Grafana로 클러스터 메트릭을 시각화한다
단계: Foundational
항목: Pod 보안
네임스페이스에 PSS Baseline을 적용하고 비준수 Pod 실행을 차단한다
단계: Foundational
항목: Pod 보안
AlertManager 및 보안 알림 규칙을 추가한다
단계: Efficient
항목: Pod 보안
Cluster 감사 추적 및 Event Logging 체계를 구축한다
단계: Efficient
항목: Pod 보안
Security Metric 수집 및 Runtime 시각화를 구축한다
단계: Efficient
항목: Pod 보안
Container System Call 제어
단계: Optimized
항목: Pod 보안
Runtime 위협탐지
단계: Optimized
항목: Pod 보안