[Istio 가이드 ep.23] 3부 보안 및 인증 #7 | Istio에서 네트워크 정책(NetworkPolicy) 활용하기

Kubernetes Tools/Istio

[Istio 가이드 ep.23] 3부 보안 및 인증 #7 | Istio에서 네트워크 정책(NetworkPolicy) 활용하기

ygtoken 2025. 3. 18. 12:09

728x90

🔹 개요

이번 글에서는 Istio에서 네트워크 정책(NetworkPolicy)을 활용하여 서비스 간의 네트워크 트래픽을 제어하는 방법을 살펴보겠습니다.
Kubernetes의 NetworkPolicy는 기본적으로 L3/L4(Network Layer)에서 트래픽을 제한하지만,
Istio를 활용하면 L7(Application Layer)까지 정책을 세밀하게 적용할 수 있습니다.

이 글에서는 기본적인 Kubernetes 네트워크 정책과 Istio의 AuthorizationPolicy를 활용한 네트워크 보안 강화 방법을 설명하겠습니다.

🔹 1. Kubernetes 네트워크 정책(NetworkPolicy) 개요

✅ 1.1 NetworkPolicy란?

NetworkPolicy는 Kubernetes에서 Pod 간 트래픽을 제어하는 보안 정책입니다.
기본적으로 Kubernetes는 모든 Pod 간의 트래픽을 허용하지만,
NetworkPolicy를 적용하면 특정 네트워크 트래픽만 허용할 수 있습니다.

NetworkPolicy의 주요 기능

특정 네임스페이스 또는 라벨 기반으로 트래픽 제어
L3/L4(Network Layer) 수준에서 네트워크 접근 제한
Ingress(들어오는 트래픽) 및 Egress(나가는 트래픽) 정책 설정 가능

✅ 1.2 기본적인 Kubernetes NetworkPolicy 예제

아래 NetworkPolicy는 특정 네임스페이스에서 라벨이 role: backend인 Pod만 role: frontend에서 접근 가능하도록 설정합니다.

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-frontend-to-backend
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: backend  # backend 서비스에 대한 정책 적용
  policyTypes:
    - Ingress
  ingress:
    - from:
        - podSelector:
            matchLabels:
              role: frontend  # frontend에서 들어오는 트래픽만 허용
      ports:
        - protocol: TCP
          port: 8080

설명:

podSelector.matchLabels.role: backend → backend 서비스에 대한 정책 적용
policyTypes: Ingress → 들어오는 트래픽을 제어
from.podSelector.matchLabels.role: frontend → frontend 서비스에서 오는 트래픽만 허용
ports.protocol: TCP, port: 8080 → TCP 8080 포트로의 요청만 허용

💡 NetworkPolicy는 네트워크 계층(L3/L4)에서 트래픽을 제한하는 역할을 합니다.

🔹 2. Istio의 네트워크 보안 및 트래픽 제어

✅ 2.1 Istio의 네트워크 보안 개념

Istio에서는 Kubernetes의 NetworkPolicy 대신 AuthorizationPolicy를 활용하여 네트워크 보안을 강화할 수 있습니다.
Istio의 보안 정책은 L7(Application Layer)까지 제어 가능하여, HTTP 요청 수준에서 트래픽을 제한할 수 있습니다.

Istio의 네트워크 보안 기능

L7 기반의 트래픽 필터링 (HTTP 메서드, 헤더, JWT 인증 등)
서비스 간 mTLS를 활용하여 네트워크 암호화 가능
AuthorizationPolicy를 활용하여 API 엔드포인트별 접근 제어 가능

💡 Istio의 AuthorizationPolicy는 L3, L4, L7 레벨에서 네트워크 트래픽을 세밀하게 제어할 수 있습니다.

✅ 2.2 Istio의 AuthorizationPolicy를 활용한 네트워크 정책 적용

아래 AuthorizationPolicy는 role: frontend가 설정된 Pod만 backend 서비스에 접근할 수 있도록 제한합니다.

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-frontend-to-backend
  namespace: default
spec:
  action: ALLOW
  rules:
    - from:
        - source:
            principals: ["cluster.local/ns/default/sa/frontend"]  # frontend 서비스만 허용
      to:
        - operation:
            methods: ["GET"]  # GET 요청만 허용
            paths: ["/api/data"]  # 특정 경로만 허용

설명:

action: ALLOW → 특정 조건을 만족하는 요청만 허용
source.principals: ["cluster.local/ns/default/sa/frontend"] → frontend 서비스에서 오는 요청만 허용
operation.methods: ["GET"] → GET 요청만 허용
operation.paths: ["/api/data"] → 특정 API 엔드포인트만 접근 가능

💡 Istio는 네트워크 계층(L3/L4)뿐만 아니라, 애플리케이션 계층(L7)까지 세밀한 보안 정책을 적용할 수 있습니다.

🔹 3. Istio의 네트워크 정책 활용 사례

✅ 3.1 특정 네임스페이스 간 트래픽 차단

아래 AuthorizationPolicy는 namespace: production의 서비스는 namespace: staging의 서비스와 통신할 수 없도록 제한합니다.

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-staging-to-production
  namespace: production
spec:
  action: DENY
  rules:
    - from:
        - source:
            namespaces: ["staging"]  # staging 네임스페이스에서 오는 트래픽 차단

💡 운영(Production) 환경의 서비스에 대한 불필요한 접근을 차단할 때 유용합니다.

✅ 3.2 내부 서비스 간 트래픽 제한 및 특정 IP 허용

아래 AuthorizationPolicy는 외부 IP(예: 로컬 VPN IP)에서만 특정 API에 접근할 수 있도록 제한합니다.

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-vpn-access
  namespace: default
spec:
  action: ALLOW
  rules:
    - from:
        - source:
            ipBlocks: ["192.168.1.0/24"]  # VPN IP 대역에서만 접근 허용
      to:
        - operation:
            paths: ["/secure-api"]

💡 내부 VPN 사용자만 API를 호출할 수 있도록 보안 정책을 적용할 수 있습니다.

🔹 4. Istio 네트워크 정책 적용 후 확인 방법

✅ 4.1 적용된 AuthorizationPolicy 확인

현재 적용된 AuthorizationPolicy를 확인하려면 다음 명령어를 실행합니다.

kubectl get authorizationpolicy -n default

✅ 4.2 특정 서비스의 접근 테스트

curl -H "Authorization: Bearer " https://api.example.com/secure-api

💡 유효한 JWT가 포함되지 않거나, 정책에 의해 차단된 요청이면 403 Forbidden 응답이 반환됩니다.

📌 결론

Kubernetes의 NetworkPolicy는 L3/L4(Network Layer)에서 네트워크 트래픽을 제한하는 기능을 제공합니다.
Istio의 AuthorizationPolicy는 L7(Application Layer)까지 제어 가능하여, HTTP 요청 수준의 보안 정책을 적용할 수 있습니다.
서비스 간 통신을 제한하고, 특정 네임스페이스 또는 IP 기반으로 접근을 허용하거나 차단할 수 있습니다.
Istio의 보안 정책을 활용하면 내부 및 외부 트래픽을 안전하게 제어하여 보안성을 강화할 수 있습니다.

728x90

저작자표시 비영리 변경금지

'Kubernetes Tools > Istio' 카테고리의 다른 글

[Istio 가이드 ep.25] 4부 모니터링 #1 \| Prometheus & Grafana로 Istio 메트릭 수집 및 모니터링 구축 (0)	2025.03.18
[Istio 가이드 ep.24] 3부 보안 및 인증 #8 \| Istio에서 Zero Trust 보안 모델 구축하기 (0)	2025.03.18
[Istio 가이드 ep.22] 3부 보안 및 인증 #6 \| Ingress Gateway에서 TLS 적용 및 외부 인증 연동 (0)	2025.03.18
[Istio 가이드 ep.21] 3부 보안 및 인증 #5 \| Istio의 Identity 및 인증 체계 이해 (0)	2025.03.18
[Istio 가이드 ep.20] 3부 보안 및 인증 #4 \| JWT 기반 인증 적용하기: OAuth & OIDC 연동 가이드 (0)	2025.03.18

현재글[Istio 가이드 ep.23] 3부 보안 및 인증 #7 | Istio에서 네트워크 정책(NetworkPolicy) 활용하기

YG Tech Blog

A blog about IT, covering topics from cloud computing and DevOps to Kubernetes and system architecture. Sharing insights, solutions, and best practices for modern IT professionals

서비스_운영, Cilium, kubernetes, Istio, YAML, 서비스메시, 파이썬, CI/CD, Minio, RAG, statefulset, argocd, langchain, Python, Security, 쿠버네티스, gitops, DaemonSet, k8s, DevOps,

Today :
Yesterday :

일	월	화	수	목	금	토
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

YG Tech Blog