[5주차] CHAPTER-21 쿠버네티스 보안 도구

Notice

Recent Posts

Recent Comments

Link

« 2025/01 »
일	월	화	수	목	금	토
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

Archives

Today

Total

관리 메뉴

Ssoon

[5주차] CHAPTER-21 쿠버네티스 보안 도구 본문

Production Kubernetes Online Study

[5주차] CHAPTER-21 쿠버네티스 보안 도구

구구달스 2023. 4. 4. 01:56

이정훈님이 집필하신 "24단계 실습으로 정복하는 쿠버네티스" 로 진행하는 CloudNet@ 팀의 PKOS 5주차 정리입니다.

🧿 쿠버네티스 취약점

✔ 컨테이너 호스트 Node와 kernel을 공유 -> 부적절한 컨테이너릐 root 권한은 호스트 Node에 영향

✔ 클러스터 내에서 실행 중인 Pod는 Node간 이동이 자유로워 -> 전체 Node로 문제가 확산 가능

✔ 온프레미스 쿠버네티스 또는 매니지드 클라우드 등 다양한 환경 구성 -> 통일된 보안 구성의 어려움

🧿 쿠버네티스 보안적용 대상

4C = Cloud, Cluster, Container, Code

🧿 Kubescape

✔ 쿠버네티스(Kubernetes) 환경에서 보안 취약점을 검사하는 오픈소스 보안 도구

✔ 쿠버네티스 클러스터 내에서 발견된 취약점을 식별하고, 이를 해결하기 위한 지침을 제공

✔ 다양한 보안 취약점 검사를 지원하며, 예를 들어, 컨테이너 이미지의 취약성 검사, RBAC(Role-Based Access Control) 설정 검사, 민감한 정보 노출 검사 등이 있습니다. 또한, Kubescape는 취약점을 검사하는 것뿐만 아니라, 이를 해결하기 위한 권장 사항을 제공

https://github.com/kubescape/kubescape

GitHub - kubescape/kubescape: Kubescape is an open-source Kubernetes security platform for your IDE, CI/CD pipelines, and cluste

Kubescape is an open-source Kubernetes security platform for your IDE, CI/CD pipelines, and clusters. It includes risk analysis, security, compliance, and misconfiguration scanning, saving Kubernet...

github.com

🧿 Polaris

✔ 쿠버네티스(Kubernetes) 환경에서 클러스터의 구성을 분석하고 검사하여 쿠버네티스 클러스터의 성능 및 안전성을 최적화하기 위한 오픈소스 도구

✔ 클러스터 내에서 리소스 부족, 사용하지 않는 설정, 권한 부여 등과 같은 문제를 찾아내고 해결 방법을 안내해 줍니다. 이를 통해 클러스터의 안정성과 보안성을 높일 수 있습니다.

✔ 간단한 YAML 파일로 설정이 가능하며, CLI(Command Line Interface)를 제공하여 쉽게 사용할 수 있습니다. 또한, 다양한 플러그인을 제공하여 쿠버네티스 클러스터의 다양한 측면을 분석할 수 있습니다.

https://www.fairwinds.com/polaris

Polaris | Open Source Policy Engine for Kubernetes

Polaris is an open source policy engine for Kubernetes that validates and remediates Kubernetes resources.

www.fairwinds.com

✅ kubescape

🧿 kubescape을 설치합니다.

curl -s https://raw.githubusercontent.com/armosec/kubescape/master/install.sh | /bin/bash

🧿 bashrc 환경 변수를 설정합니다.

export PATH=$PATH:/home/ssoon/.kubescape/bin

✔ download : 보안취약점을 확인

✔ scan : 현재 클러스터 또는 yaml 파일의 보안 취약점을 확인

✔ submit : 온라에서 현재 취약점의 개선 방안, 점검내역등을 확인

🧿 kubescape 를 이용해 보안 취약점을 확인합니다.

🧿 ARMO 웹페이지게 가입하고 접속합니다.

🧿 첫페이지에서 helm 차트를 cluster에 설치합니다.

🧿 cluster와의 연결이 성공합니다.

🧿 Dashboard에 cluster에 대한 보안 점검 내용을 확인할 수 있습니다.

✅ Polaris

🧿 Redis Helm 차트를 설치합니다.

helm repo add bitnami https://charts.bitnami.com/bitnami
helm repo list

helm repo update
helm pull bitnami/redis

tar xvzf redis-17.9.3.tgz
cp values.yaml my-values.yaml

🧿 value.yaml 의 storageClass 를 "openebs-hostpath" 변경합니다.

helm install redis -f my-values.yaml .

🧿 Polaris Helm 차트를 설치합니다.

🧿 my-value.yaml 파일은 수정합니다.

🧿 NodePort 로 웹접속합니다.

🧿 Fairwinds 사의 공식문서를 확인할 수 있습니다.

🧿 redis 의 value.yaml 파일을 수정합니다.

🧿 수정된 Helm 차트를 업그레이드 합니다.

🧿 해당 취약점이 해결되었습니다.

저작자표시

'Production Kubernetes Online Study' 카테고리의 다른 글

[5주차] CHAPTER-22 역활 기반 제어(RBAC) (0)	2023.04.04
[4주차] 프로메테우스 & 그라파나 & 로키 (0)	2023.03.31
[4주차] CHAPTER-20 로키(Loki) (0)	2023.03.31
[4주차] CHAPTER-19 얼럿매니저(alertmanager) (0)	2023.03.30
[4주차] CHAPTER-18 그라파나(Grafana) (0)	2023.03.29