보안 개요
이 섹션은 lumie-infra/security/** 아래에 선언된 보안 control-plane 애플리케이션을 다룹니다. 이 워크로드는 운영자 �접근, SSO, admission 정책, 런타임 탐지, 클러스터 스캐닝을 제공합니다. 운영자 대상 애플리케이션이 있는 lumie-infra/applications/**와는 별도의 ArgoCD app-of-apps로 관리됩니다.
범위와 소유권
소스 경로
| 경로 | 역할 |
|---|---|
lumie-infra/security/application.yaml | security 슬라이스용 ArgoCD app-of-apps 진입점 |
lumie-infra/security/kustomization.yaml | 보안 애플리케이션 나열 |
lumie-infra/security/teleport/** | 접근 plane과 Teleport 앱 프록시 |
lumie-infra/security/keycloak/** | identity provider와 realm sync |
lumie-infra/security/kyverno/** | admission 및 audit 정책 |
lumie-infra/security/falco/** | 런타임 위협 탐지 |
lumie-infra/security/trivy/** | 취약점 및 구성 스캔 |
경계
- 이 슬라이스는 보안 애플리케이션만 소유합니다. Vault와 cert-manager는
security/kustomization.yaml에서 다른 곳으로 이동한 것으로 명시됩니다. - External Secrets는 더 이상 이 슬라이스의 일부가 아니며, 저장소는 대신 Vault Secrets Operator를 사용합니다.
- Teleport 앱 접근은 Operations Applications나 다른 플랫폼 영역의 도구를 노출하더라도 여전히 보안 슬라이스의 일부입니다.
런타임 맵
플랫폼에서의 보안 역할
Teleport는 브라우저 앱과 Kubernetes 접근을 위한 운영자 접근 plane입니다.Keycloak은 인프라 대상 클라이언트를 위한 OIDC provider입니다.Kyverno는 admission 시점 변형과 audit 시점 정책 검사를 적용합니다.Falco는 노드와 컨테이너 런타임 동작을 탐지하고 이벤트를 Loki로 전달합니다.Trivy는 배포된 워크로드에 대한 취약점 및 구성 audit 스캔을 수행합니다.
공통 운영 패턴
- 모든 보안
Application은 automated sync, pruning, self-healing을 활성화합니다. - 네임스페이스에는 ArgoCD 네임스페이스 메타데이터를 통해 Goldilocks/VPA 추��천용 라벨이 붙습니다.
- 여러 컴포넌트가 외부 업스트림 차트에 의존하며, Lumie 전용 계약은 로컬 values와 매니페스트 overlay에서만 표현됩니다.
- 가장 중요한 교차 슬라이스 의존성은 Vault Static Secrets, 공유
infra-db클러스터, 비보안 앱을 위해 선언된 Teleport 접근 경로입니다.
공통 장애 지점
- Vault 시크릿 누락이나 잘못된 데이터베이스 자격 증명 같은 교차 슬라이스 의존성이 깨져도 ArgoCD 앱은 healthy로 남을 수 있습니다.
- 업스트림 차트 업그레이드는 로컬 매니페스트에 눈에 띄는 diff 없이도 보안 기본값이나 생성 오브젝트 이름을 바꿀 수 있습니다.
- 일부 보안 제어는 의도적으로 audit 전용이므로 control plane이 건강해도 정책 위반은 여전히 허용될 수 있습니다.
- 체크인된 매니페스트의 주석은 라이브 오브젝트나 현재 데이터 파일과 어긋날 수 있으며, 이 슬라이스에는 Keycloak에 문서화된 실제 예시가 있습니다.
검증
kubectl get applications.argoproj.io -n argocd keycloak teleport teleport-agent kyverno falco trivy
kubectl get pods -n keycloak
kubectl get pods -n teleport
kubectl get pods -n kyverno
kubectl get pods -n falco
kubectl get pods -n trivy-system