본문 바로가기

k8s security4

trivy를 활용한 Container Image 취약점 스캔하기 trivy는 Aqua Security에서 개발한 Container Image 취약점 스캐너이다. Scan 대상으로는 아래와 같다. scan target - Container Image - Filesystem - Git Repository(remote) - Kubernetes cluster or Resource Scanners - 사용중인 OS패키지 및 소프트웨어 종속성이 있는 패키지들(SBOM) - 표준 취약점들(Vulnerabilities)(CVE) - IaC 코드 관련 구성오류 위와 같은 Scan 대상들을 Scanner에 대한 취약점 진단을 하게 되면 Low, Medium, High, Critical과 같은 Level로 나타내어 취약점을 Report해준다. Trivy Install 및 활용 방법 Tr.. 2024. 3. 27.
Kubernetes에서 App Armor를 활용하여 Container 내부 디렉토리 Write 제한하기 App Armor는 무엇이고, 왜 쓰는걸까 App Armor(Application Armor)는 특정 어플리케이션의 동작 또는 특정 File, Directory에 대한 Read, Write, 을 제한하여 사용자의 무분별한 어플리케이션, 파일 및 디렉토리에 대한 접근을 통제할 수 있다. 예를들면, / 이하 디렉토리는 쓰기가 불가능하도록 설정 한다던가, curl을 사용하지 못하도록 한다던가, a.txt파일에 대해 cat명령어를 쓰지 못하도록 한다던가 이러한 것들이 가능하다. 요약. - AppArmor는 리눅스 커널 보안모듈로서 MAC(Mandatory Access Control)기반 Security Mondule이다. - Node에서도 사용가능하고, Container에서도 사용 가능하다. - 커널단의 Sys.. 2024. 3. 23.
kube-bench 사용법 및 Install kube-bench란? CIS(Center for Internet Security)에서 채택한 보안권장수준이 있다. 해당 보안권장 수준을 Kubernetes에도 적용시켜 보안 감사를 통해 취약점을 사용자에게 알려주는 솔루션이 kube-bench이며, 해당 솔루션을 통해 사용자는 클러스터 내 해당 취약점을 보완하여 한층 강화된 클러스터를 운용할 수 있다. CIS: https://www.cisecurity.org/cis-benchmarks 설치하기 설치방법은 매우 간단하다 git clone https://github.com/aquasecurity/kube-bench.git cd kube-bench/ root@k8s-m:~/kube-bench# ls CONTRIBUTING.md Dockerfile.ubi OW.. 2024. 3. 20.
kubesec install 및 사용법 kubesec이란? kubesec은 kubernetes manifest 파일과 kubernetes내 오브젝트들의 보안 이슈사항들을 점검 및 분석하고 보완까지 도와주는 도구이다. 설치하기 ## 설치경로: https://github.com/controlplaneio/kubesec/releases/tag/v2.14.0 root@k8s-m:/build# wget https://github.com/controlplaneio/kubesec/releases/download/v2.14.0/kubesec_linux_amd64.tar.gz root@k8s-m:/build# tar -xvf kubesec_linux_amd64.tar.gz CHANGELOG.md LICENSE README.md kubesec root@k8s-.. 2024. 3. 19.

티스토리툴바