1.2.2.4. 보안 고려 사항
OpenShift Container Platform 3.11에서 OpenShift Container Platform 4.6으로 전환할 때 고려할 다음 보안 변경 사항을 검토하십시오.
검색 끝점에 인증되지 않은 액세스
OpenShift Container Platform 3.11에서 인증되지 않은 사용자는 검색 끝점(예: /api/* 및 /apis/* )에 액세스할 수 있습니다. 보안상의 이유로 검색 끝점에 대해 인증되지 않은 액세스는 더 이상 OpenShift Container Platform 4.6에서 허용되지 않습니다. 인증되지 않은 액세스를 허용해야 하는 경우 필요에 따라 RBAC 설정을 구성할 수 있습니다. 그러나 내부 클러스터 구성 요소가 외부 네트워크에 노출될 수 있으므로 보안 관련 사항을 고려해야 합니다.
ID 공급자
다음과 같이 눈에 띄는 변경 사항을 포함하여 OpenShift Container Platform 4의 ID 공급자 구성이 변경되었습니다.
- OpenShift Container Platform 4.6의 요청 헤더 ID 공급자에는 상호 TLS가 필요하지만 OpenShift Container Platform 3.11에서는 그렇지 않습니다.
-
OpenShift Container Platform 4.6에서는 OpenID Connect ID 공급자의 구성이 간소화되었습니다. 이제 공급자의
/.well-known/openid-configuration끝점에서 이전에 OpenShift Container Platform 3.11에 지정했던 데이터를 가져옵니다.
자세한 내용은 ID 공급자 구성 이해를 참조하십시오.
OAuth 토큰 스토리지 형식
새로 생성된 OAuth HTTP 전달자 토큰이 더 이상 OAuth 액세스 토큰 오브젝트의 이름과 일치하지 않습니다. 이제 오브젝트 이름은 전달자 토큰의 해시이며 더 이상 민감하지 않습니다. 이렇게 하면 민감한 정보가 유출될 위험이 줄어 듭니다.
