쿠버네티스 v1.35: kubeconfig를 통해 호출되는 실행 파일에 대한 exec 플러그인 허용 목록이 kuberc에 추가됨

kubectl은 인증을 위해 kubeconfig 파일에 지정된 실행 파일인 자격 증명 플러그인을 사용합니다. 이 기능은 유용하지만, 이러한 플러그인이 사용자 권한으로 실행되기 때문에 보안 문제를 야기합니다. 공격자는 손상된 kubeconfig 생성 파이프라인을 악용하여 악성 코드를 실행할 수 있습니다. Kubernetes 1.35는 이러한 플러그인을 자격 증명 플러그인 정책을 통해 관리하는 베타 기능을 도입합니다. 사용자는 실행 가능한 플러그인을 제어하기 위해 kuberc 구성 파일에 정책을 설정할 수 있습니다. `credentialPluginPolicy`는 `AllowAll`, `DenyAll`, 또는 `Allowlist`로 설정할 수 있습니다. `Allowlist` 옵션은 전체 경로 또는 기본 이름으로 특정 플러그인을 허용합니다. 보안 강화를 위해 와일드카드 및 globbing 사용을 제외하고 전체 경로를 사용하는 것이 좋습니다. 향후 개선 사항으로는 보안 강화를 위한 체크섬 검증 및 디지털 서명 확인이 포함될 예정입니다. Kubernetes 커뮤니티는 이 보안 기능을 더욱 개선하기 위한 피드백과 기여를 환영합니다. 사용자는 sig-cli 및 sig-auth 채널 내에서 토론에 참여하도록 권장됩니다. 이 보안 추가 기능은 사용자가 환경 내에서 자격 증명 플러그인의 실행을 제한하고 제어할 수 있는 방법을 제공합니다.