kubernetes security7 gVisor 및 runsc를 활용한 Host와의 컨테이너 커널 격리 컨테이너가 가진 장점이자 단점으로 host의 커널을 사용한다는 것이다. 이는 Host가 만약 해킹으로 인해 커널의 파라미터가 수정되는 등 이러한일이 발생하게 된다면 해당 Host에 속한 모든 Container들은 동일하게 적용되어 매우 심각한 상황이 초래될 수 있다. 이러한 문제점을 해결하기 위해 Google은 gVisor라는 도구를 만들었다. gVisor는 Sandbox환경을 만들어 Host와 완전하게 격리된, 가상화된 환경을 제공해준다. 그리고 gVisor를 사용하게 된다면 기존 Container Runtime인 runc에서 runsc으로 변경해주어야 한다. gVisor설치 및 활용방법 설치 참고 사이트: https://gvisor.dev/docs/user_guide/install/ gVisor 설치.. 2024. 3. 21. kube-bench 사용법 및 Install kube-bench란? CIS(Center for Internet Security)에서 채택한 보안권장수준이 있다. 해당 보안권장 수준을 Kubernetes에도 적용시켜 보안 감사를 통해 취약점을 사용자에게 알려주는 솔루션이 kube-bench이며, 해당 솔루션을 통해 사용자는 클러스터 내 해당 취약점을 보완하여 한층 강화된 클러스터를 운용할 수 있다. CIS: https://www.cisecurity.org/cis-benchmarks 설치하기 설치방법은 매우 간단하다 git clone https://github.com/aquasecurity/kube-bench.git cd kube-bench/ root@k8s-m:~/kube-bench# ls CONTRIBUTING.md Dockerfile.ubi OW.. 2024. 3. 20. kubesec install 및 사용법 kubesec이란? kubesec은 kubernetes manifest 파일과 kubernetes내 오브젝트들의 보안 이슈사항들을 점검 및 분석하고 보완까지 도와주는 도구이다. 설치하기 ## 설치경로: https://github.com/controlplaneio/kubesec/releases/tag/v2.14.0 root@k8s-m:/build# wget https://github.com/controlplaneio/kubesec/releases/download/v2.14.0/kubesec_linux_amd64.tar.gz root@k8s-m:/build# tar -xvf kubesec_linux_amd64.tar.gz CHANGELOG.md LICENSE README.md kubesec root@k8s-.. 2024. 3. 19. 이전 1 2 다음