[ ] CSRF 에러는 나고 있는가? 해결되었는가?

• CSRF는 어떤 상황에서 해결되어야 하는이슈인가? → 서버와 다른 도메인에서 접근했을때
• kubeflow 웹 대시보드에서 Kserve가 생성한 모델의 엔드포인트로 모델 사용을 요청하면, 이 요청은 kubeflow 내부의 istio와 dex인증서버를 거친다. 이 과정에서 CSRF정책과 관련된 정보(쿠키 등)가 누락되면 프리플라이트 요청부터 끊어버림.
• CSRF 인증 정보는 쿠키 형태로 전달 → https가 있다면 쿠키가 헤더에 담겨서 전달됨. 지금은 자체 서명 인증서긴 하지만, 어쨌은 https로 요청을 진행하고 있어서 CSRF에러는 나지 않는 것으로 보임.

[ ] RBAC 에러는 나고 있는가? 해결되었는가?

• RBAC는 Role-Based Access Control의 약자. 시스템 리소스에 대한 접근권 한을 Role에 따라 차등적으로 사용자에게 부여하는 보안 시스템임.
• k8s + kubeflow 환경에서 관련 에러는 대부분 istio의 인가 프로세스에서 일어남. istioGateway는 먼저 jwt쿠키 기반으로 요청자 인증 진행. 이때 쿠키 없으면 401반환하고, 그 이후에 인가 프로세스 진행. 이는 istio AuthorizationPolicy에 따라서 일어남.

현재 외부에서 모델 엔드포인트로 접근하면 RBAC에러가 나고 있음.

k8s내에서 사용중인 authorization policy를 조회해보면 다음과 같다.

kubctl get authoraztionpolicy -A

여기서 allowlist-by-paths 정책을 보면 다음과 같은 path가 설정되어 있음. 예전에 path를 추가한 적이 있음.

• [ ] OIDC 에러는 나고 있는가? 해결되었는가?