728x90 IT Tech/Cloud Native53 Trivy를 활용한 도커 컨테이너 취약점 진단 1. Trivy Aqua Security에서 제작한 취약점 스캐너로, 사용법이 간단하고, CI/CD와 통합해서 사용이 가능하며 컨테이너 이미지, 파일 시스템 등에 대한 취약점 스캔을 할 수 있다. 2. 관련 영상 https://youtu.be/Y7eeYFezcLs 참고 : [출처] (쿠버네티스 보안)Trivy를 활용한 도커 컨테이너 취약점 진단|작성자 일선스 (쿠버네티스 보안)Trivy를 활용한 도커 컨테이너 취약점 진단 Trivy 소개 Trivy(트리비)는 취약점을 간단히 스캔할 수 있는 도구다. 컨테이너 이미지, 파일 시스템 및 ... blog.naver.com 2023. 1. 13. 쿠버네티스 Audit 기능 1. Audit 기능 클러스터의 작업 순서를 문서화하는 보안 관련 시간별 레코드 세트를 제공 2. 기록 단계 RequestReceived - 감사 핸들러가 요청을 수신한 직후, 그리고 핸들러 체인으로 위임되기 전에 생성되는 이벤트에 대한 단계이다. ResponseStarted - 응답 헤더는 전송되었지만, 응답 본문(body)은 전송되기 전인 단계이다. 이 단계는 오래 실행되는 요청(예: watch)에 대해서만 생성된다. ResponseComplete - 응답 내용이 완료되었으며, 더 이상 바이트가 전송되지 않을 때의 단계이다. Panic - 패닉이 발생했을 때 생성되는 이벤트이다. 3. 감사수준 None - 이 규칙에 해당되는 이벤트는 로깅하지 않는다. Metadata - 요청 메타데이터(요청하는 사용.. 2023. 1. 13. 네트워크 정책 (Network Policy) 1. NetworkPolicy 이름 그대로 Pod 내부로 들어오거나(Ingress) 외부로 나가는(Egress) 트래픽을 허용하고 거부하는 정책을 설정할 수 있는 오브젝트 2. 특징 : - NetworkPolicy는 기본적으로 Whitelist 형식이다. 설정되는 순간 명시해놓은 목록에 있는 Pod나 Host 외에는 이 Pod에 트래픽을 보낼 수가 없다. - NetworkPolicy는 namespace 단위 자원이다. kubectl get networkpolicy 명령을 치면 Namespace별로 자원이 출력되고, 적용도 Namespace 내에 있는 Pod에만 된다. - 여러 개가 존재하면 중복 적용된다. 따라서 NetworkPolicy는 항상 최소한의 Pod 혹은 Host 만 트래픽을 흘릴 수 있도록 .. 2023. 1. 13. 시큐리티 컨텍스트 (Security Context) 1. 개념 : 컨테이너에 대한 권한, 접근제어, 환경설정 기능 기원 2. 사례: Pod에 SecurityContext를 설정하여 모든 컨테이너에서 권한상승 제한 apiVersion: v1 kind: Pod metadata: name: security-context-demo spec: securityContext: runAsUser: 1000 runAsGroup: 3000 fsGroup: 2000 volumes: - name: sec-ctx-vol emptyDir: {} containers: - name: sec-ctx-demo image: busybox:1.28 command: [ "sh", "-c", "sleep 1h" ] volumeMounts: - name: sec-ctx-vol mountPath:.. 2023. 1. 13. Future of Linux Container https://youtu.be/wW9CAH9nSLs 2022. 12. 27. 이전 1 2 3 4 5 ··· 11 다음 반응형
