경험 기반 구체화
Cloud Native 환경에서 보안 가이드라인을 수립한 경험은 없습니다. DevSecOps 수업에서 Cloud Native 보안의 핵심은 "이미지·컨테이너·오케스트레이터 각 계층에 보안 기준을 적용하는 것"이라고 배웠습니다.
컨테이너 환경에서는 베이스 이미지 취약점·런타임 권한 최소화·네트워크 정책이 세 축이라고 배웠습니다. 특히 컨테이너가 root로 실행되는 경우가 많아, "필요한 권한만 부여한다"는 최소 권한 원칙을 컨테이너 수준에도 적용하는 것이 중요하다고 이해하고 있습니다.
직접 수립 경험은 없지만, Cloud Native 보안 가이드라인은 "기존 서버 보안 정책을 컨테이너·클라우드 맥락에 맞게 재해석하는 작업"이라고 봅니다. 원칙은 동일하고, 적용 방법이 달라지는 것이라고 생각합니다.