Pod Security Standards (PSS)

개요

Pod Security Standards(PSS)는 Kubernetes에서 파드(Pod) 수준의 보안을 보장하기 위한 정책 집합으로, Kubernetes 클러스터 내에서 실행되는 워크로드의 보안 위험을 줄이기 위해 제안되었습니다. PodSecurity Admission 컨트롤러를 통해 적용되며, 기본적으로 세 가지 수준(Baseline, Restricted, Privileged)의 정책으로 구성됩니다.

---

1. 개념 및 정의

항목	설명
정의	Kubernetes 파드에 적용할 수 있는 표준 보안 정책 세트
목적	파드 보안 강화 및 클러스터 무결성 유지
필요성	잘못 구성된 파드로 인한 보안 위협 차단

보안 표준을 적용함으로써 운영 환경에서의 일관된 보안 수준 확보가 가능합니다.

---

2. 특징

특징	설명	비교
수준별 보안 정책	Privileged, Baseline, Restricted로 구분	점진적 보안 강화 가능
정책 중심 접근	명시적인 정책에 따라 행동 제한	RBAC은 사용자, PSS는 파드 기준
Admission 통제 기반	Pod 생성 시점에 검사	실행 중 변경 불가, 예방적 통제

RBAC과 조합 시 클러스터 전반 보안 통제가 가능해집니다.

---

3. 구성 요소

구성 요소	설명	예시
PodSecurity Admission	파드 보안 표준 적용을 위한 컨트롤러	Kubernetes 1.25부터 기본 포함
보안 수준(Levels)	파드 보안 적용 강도	privileged, baseline, restricted
Namespace 설정	네임스페이스별로 보안 수준 정의 가능	pod-security.kubernetes.io/enforce: restricted

정책은 네임스페이스 단위로 적용되며 클러스터 정책과 연동됩니다.

---

4. 기술 요소

기술	설명	사용 예
PodSecurity Admission	보안 수준 검사 및 정책 위반 차단	enforce, audit, warn 모드 지원
정책 라벨	네임스페이스에 보안 수준 부여	kubectl label 명령어로 설정
정책 문서	공식 PSS 정책 가이드라인	kubernetes.io/docs 참조

정책 적용은 선언적이며 DevOps 파이프라인에 통합이 용이합니다.

---

5. 장점 및 이점

장점	설명	효과
표준화된 보안 적용	클러스터 전반에 일관된 정책 적용	보안 관리 단순화
DevSecOps 통합	코드형 보안 정책 구현 가능	CI/CD 파이프라인 연동 강화
리스크 감소	잘못된 파드 설정 사전 차단	공격 벡터 최소화

운영 중단 없이 보안을 강화할 수 있는 구조입니다.

---

6. 주요 활용 사례 및 고려사항

사례	설명	참고사항
개발-운영 환경 분리	개발에는 baseline, 운영에는 restricted 적용	점진적 보안 적용 가능
감사 및 경고 모드 활용	정책 위반 시 로그로만 남기고 생성 허용	적용 전 영향도 분석 가능
정책 커스터마이징	기본 정책 외 추가 조건 설정 가능	OPA/Gatekeeper와 연동 시 확장 가능

보안 강화뿐만 아니라 규정 준수를 위한 감사 체계에도 유리합니다.

---

7. 결론

Pod Security Standards(PSS)는 Kubernetes 환경에서 필수적인 보안 표준으로 자리잡고 있으며, 클러스터 내 워크로드의 보안을 일관되게 유지할 수 있도록 지원합니다. 선언적 정책과 모드별 적용 방식은 DevOps 및 SRE 관점에서도 유연성을 제공합니다.