일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- eBPF
- Kopf
- Kubeflow
- blue/green
- xdp
- opentelemetry
- 오퍼레이터
- 카오스 엔지니어링
- mlops
- Model Serving
- Argo
- CI/CD
- operator
- argocd
- knative
- tekton
- Kubernetes
- MLflow
- Kubernetes 인증
- Pulumi
- gitops
- opensearch
- serving
- kubernetes operator
- keda
- Litmus
- nginx ingress
- seldon core
- Continuous Deployment
- CANARY
- Today
- Total
목록Kubernetes/보안 (15)
Kubernetes 이야기
OWASP Foundation 은 Kubernetes를 채택할 때 애플리케이션과 인프라에 위협이 될 수 있는 10개 위험을 소개하였다. K01:2022 안전하지 않은 워크로드 구성 K02:2022 공급망 취약성 K03:2022 지나치게 허용적인 RBAC 구성 K04:2022 중앙 집중식 정책 집행 부족 K05:2022 부적절한 로깅 및 모니터링 K06:2022 손상된 인증 메커니즘 K07:2022 누락된 네트워크 세분화 제어 K08:2022 비밀 관리 실패 K09:2022 잘못 구성된 클러스터 구성 요소 K10:2022 오래되고 취약한 Kubernetes 구성 요소 이 10가지에 대해 알아보자. 안전하지 않은 워크로드 구성 Kubernetes에서 워크로드의 보안 컨텍스트는 고도로 구성 가능하므로 조직의 ..
ModSecurity는 Trustwave의 SpiderLabs에서 개발한 Apache, IIS 및 Nginx용 오픈 소스 크로스 플랫폼 WAF(웹 애플리케이션 방화벽) 엔진이다. 웹 애플리케이션에 대한 다양한 공격으로부터 보호하고 HTTP 트래픽 모니터링, 로깅 및 실시간 분석을 허용하는 강력한 이벤트 기반 프로그래밍 언어가 있다. ModSecurity-nginx 커넥터 는 NGINX와 libmodsecurity(ModSecurity v3) 간의 연결 지점이다. OWASP ModSecurity CRS(핵심 규칙 집합)는 ModSecurity 또는 호환 가능한 웹 응용 프로그램 방화벽과 함께 사용하기 위한 일반 공격 탐지 규칙 집합이다. 개방형 웹 애플리케이션 보안 프로젝트(OWASP) OWASP ModS..
Kubernetes v1.22에는 Pod 보안 승인 (PSA)이라는 새로운 승인 컨트롤러가 내장되어 있다. ( 기존 Pod Security Policy ( PSP ) 는 Kubernetes 1.21부터 더 이상 사용되지 않으며 1.25버전부터 제거될 예정이다. ) PSA 컨트롤러의 목적은 Pod 보안 정책 (PSP)을 효과적으로 대체하지만 PSS( Pod 보안 표준 ) 라고 하는 공식 제어를 사용하는 것이다. PSS는 이름에서 알 수 있듯이 기술이 아니고 표준에 불과하다. 표준은 어떤 일이 일어나야 하는지를 지시하는 반면 기술(예: PSP)은 표준을 방법으로 구현한 것이다.. PSA는 PSS를 구현하는 기술로, 이 모든 것이 Kubernetes API 서버에 직접 내장되어 있다. Kubernetes v1..
KubeClarity는 K8 런타임의 세분화된 보안 스캔은 물론 컨테이너 이미지 스캔 및 사전 배포 CI/CD 스캔 기능을 수행할 수 있는 차세대 보안 스캔 도구 중 하나이다. KubeClarity는 SBOM(Software Bill Of Materials)과 컨테이너 이미지 및 파일 시스템의 취약점을 감지하고 관리하기 위한 도구이다. 향상된 소프트웨어 공급망 보안을 위해 런타임 K8 클러스터와 CI/CD 파이프라인을 모두 스캔한다. SBOM은 소프트웨어 자재 명세셔라는 뜻으로 발송물의 포장 목록과 유사하다. 소프트웨어를 구성하거나 소프트웨어를 구축하는 데 사용된 모든 구성 요소가 나열된다. . 컨테이너 이미지의 경우 여기에는 소프트웨어가 의존하는 언어별 패키지(예: Log4j)와 함께 설치된 운영 체제..
Container Compliance란 무엇인가? 많은 Application들이 컨테이너와 Kubernetes로 개발되어 배포되고 있다. 이 추세는 앞으로 더욱 더 많아 질 것으로 예상된다. 이렇게 사용하는 Container와 Kubernetes가 규정을 준수하는지 확인하고 이 새로운 유형의 인프라에 규정 준수 제어를 적용하는데는 어느 정도 학습 곡선이 필요하다. 컨테이너 규정을 준수하는지 확인할 때 조직이 직면하는 몇 가지 주요 과제는 아래와 같다. 취약성 관리 —컨테이너는 종종 취약성을 포함할 수 있는 오픈 소스 이미지를 사용합니다. 프로덕션에서 사용하기 전에 이러한 이미지를 모니터링하고 취약점을 수정해야 합니다. 네트워크 보안 —컨테이너가 실행되는 위치를 추적하고 컨테이너 간의 네트워크 트래픽을 모..
Popeye는 Kubernetes 클러스터를 스캔하고 배포된 리소스 및 구성과 관련된 잠재적인 문제를 보고하는 유틸리티이다. 또한 Kubernetes Cluster에 Metric-Server를 사용하고 있다면 할당 초과/미달 가능성이 있는 리소스를 보고하고 클러스터의 용량 부족에 대해 경고한다. Popeye를 사용하면 죽은 리소스와 사용되지 않는 리소스, 포트 불일치, RBAC 규칙, 메트릭 사용률 등을 쉽게 식별할 수 Popeyes는 읽기 전용 도구이며 클러스터를 보호하고 정리하는 데 도움이 되는 정보만 검색하며 Kubernetes 클러스터의 리소스를 수정하거나 삭제하지 않는다. 자세한 정보는 https://github.com/derailed/popeye 를 참고한다. 설치 # wget https://..