Kyverno Policy-as-Code

개요

Kyverno는 쿠버네티스(Kubernetes) 클러스터 내 리소스에 대한 정책을 코드 형태로 선언하고 실행할 수 있는 Policy-as-Code 프레임워크이다. YAML 기반 선언형 정책 정의를 통해 보안, 컴플라이언스, 운영 규칙을 자동화하며, Gatekeeper와 달리 학습 곡선이 낮고 쿠버네티스 네이티브에 가까운 사용성을 제공한다.

---

1. 개념 및 정의

Kyverno는 쿠버네티스의 CRD(Custom Resource Definition)와 Admission Controller 메커니즘을 활용하여 클러스터 리소스의 생성/수정 요청에 대해 정책 적용, 검증, 변형을 수행한다. 이를 통해 Pod, Deployment, Namespace 등 모든 리소스를 제어 가능하다.

목적 및 필요성

• 클러스터 내 보안 및 운영 규칙 자동화
• DevSecOps 환경에서 정책 일관성 확보
• GitOps 기반 인프라 거버넌스 강화

---

2. 특징

항목	Kyverno	OPA Gatekeeper	PodSecurityPolicy(폐지됨)
정책 작성 방식	YAML	Rego	제한된 구조
쿠버네티스 통합	CRD 기반 네이티브	별도 구성 필요	내장 기능이나 비유연적
실행 방식	Mutate + Validate + Generate	Validate 중심	Validate 중심

Kubernetes-native YAML 정책 중심 프레임워크

---

3. 구성 요소

구성 요소	설명	예시
ClusterPolicy	전체 클러스터 적용 정책	모든 네임스페이스의 Pod 제한
Policy	특정 네임스페이스 적용 정책	dev-ns에만 적용되는 제한
Rules	정책 내 조건과 동작 정의	image registry 제한, label 존재 검사 등

CRD 기반이므로 kubectl로 관리 및 GitOps 연동 가능

---

4. 기술 요소

기술 요소	설명	활용 방식
Admission Controller	리소스 생성/변경 시 정책 적용 트리거	Validating/Mutating Webhook
Generate Rule	리소스 자동 생성 기능	네임스페이스 생성 시 기본 네트워크 정책 생성
kyverno CLI	정책 테스트 및 검증 도구	CI/CD 파이프라인에서 정책 검증

CLI + CRD + 웹훅 기반으로 운영환경과 통합 용이

---

5. 장점 및 이점

항목	내용	기대 효과
보안성 강화	정책 위반 리소스 차단	CVE 사전 방지 가능
운영 표준화	조직 규칙을 코드로 정의	수작업 오류 감소, 감시 용이
자동화	리소스 자동 생성 및 변경	DevOps 민첩성 향상

정책 관리의 DevSecOps 기반 자동화를 실현함

---

6. 주요 활용 사례 및 고려사항

사례	내용	참고사항
이미지 서명 검증	Cosign으로 서명된 이미지만 허용	verifyImages 사용
네트워크 정책 자동 생성	신규 네임스페이스마다 기본 정책 생성	generate + match 조건 활용
감사 모드 운영	정책 위반 감지만 수행	enforcementAction: audit 설정

도입 시 고려사항

• 정책 수 증가 시 관리 체계 필요 (디렉토리 구조, GitOps 적용 등)
• Mutate 규칙은 Side Effect 분석 필요
• Kyverno 버전 및 쿠버네티스 버전 호환성 확인

---

7. 결론

Kyverno는 쿠버네티스 환경에서 보안과 정책 관리를 자동화할 수 있는 강력한 Policy-as-Code 솔루션이다. YAML 기반의 간결한 문법과 강력한 기능성으로 DevSecOps 및 클라우드 네이티브 거버넌스 전략의 중심 도구로 자리잡고 있으며, GitOps와 함께 사용 시 정책 일관성과 감사 가능성을 극대화할 수 있다.