본문 바로가기

kubernetes security7

Kubernetes Networkpolicy로 Pod간 트래픽 제어하기 NetworkPolicy는 어느한쪽 종단 Pod인 경우에만 적용되는 네트워크트래픽제어 Kubernetes Resource중 하나이다. Type에는 Ingress, Egress가 있으며 아래와 같은 정책을 적용할 수 있다. - 허용되는 다른 Pod(자기 자신 Pod를 제어할 수는 없음) - Namespace - IP Block Pod, Namespace는 Selector / Label설정을 통해 지정할 수 있으며, IP Block은 말그대로 IP에 대한 Ingress, Egress를 통제할 수 있다. 참고로 NetworkPolicy는 CNI가 구성되어 있어야하며, CNI가 없다면 NetworkPolicy가 적용되지 않는다. NetworkPolicy적용 시나리오: sj-pod(namespace: be-ns).. 2024. 3. 31.
Kubernetes ServiceAccount 관리 일단 쿠버네티스는 Account에 대한 기준이 두가지로 나뉜다. 1. UserAccount - 실제 사용자에게 필요한 Account이다 - 특정 Namespace에 종속적이지 않고 Global하다. 2. ServiceAccount - Container(Pod 내)안의 어플리케이션 및 프로세스가 kube-apiserver와 통신하기 위해 필요한 Account이다 - 특정 Namespace에 종속적이다. 따라서 foo라는 namespace에서 생성한 ServiceAccount는 foo namespace에서 동작하는 Pod와만 연결 가능하다. - 때에 따라서, ServiceAccount와, Token을 별도로 생성하여 해당 Token을 기반으로 Kubeconfig파일을 만들어 RBAC기반 사용자 권한 제어 관.. 2024. 3. 30.
trivy를 활용한 Container Image 취약점 스캔하기 trivy는 Aqua Security에서 개발한 Container Image 취약점 스캐너이다. Scan 대상으로는 아래와 같다. scan target - Container Image - Filesystem - Git Repository(remote) - Kubernetes cluster or Resource Scanners - 사용중인 OS패키지 및 소프트웨어 종속성이 있는 패키지들(SBOM) - 표준 취약점들(Vulnerabilities)(CVE) - IaC 코드 관련 구성오류 위와 같은 Scan 대상들을 Scanner에 대한 취약점 진단을 하게 되면 Low, Medium, High, Critical과 같은 Level로 나타내어 취약점을 Report해준다. Trivy Install 및 활용 방법 Tr.. 2024. 3. 27.
Kubernetes에서 App Armor를 활용하여 Container 내부 디렉토리 Write 제한하기 App Armor는 무엇이고, 왜 쓰는걸까 App Armor(Application Armor)는 특정 어플리케이션의 동작 또는 특정 File, Directory에 대한 Read, Write, 을 제한하여 사용자의 무분별한 어플리케이션, 파일 및 디렉토리에 대한 접근을 통제할 수 있다. 예를들면, / 이하 디렉토리는 쓰기가 불가능하도록 설정 한다던가, curl을 사용하지 못하도록 한다던가, a.txt파일에 대해 cat명령어를 쓰지 못하도록 한다던가 이러한 것들이 가능하다. 요약. - AppArmor는 리눅스 커널 보안모듈로서 MAC(Mandatory Access Control)기반 Security Mondule이다. - Node에서도 사용가능하고, Container에서도 사용 가능하다. - 커널단의 Sys.. 2024. 3. 23.

티스토리툴바