| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- kubernetes operator
- 오퍼레이터
- blue/green
- operator
- CANARY
- opensearch
- Litmus
- eBPF
- argocd
- Model Serving
- opentelemetry
- nginx ingress
- CI/CD
- Kopf
- xdp
- gitops
- Kubeflow
- MLflow
- seldon core
- 카오스 엔지니어링
- Kubernetes 인증
- Pulumi
- Continuous Deployment
- mlops
- Kubernetes
- Argo
- serving
- knative
- tekton
- keda
- Today
- Total
목록Kubernetes/보안 (15)
Kubernetes 이야기
Network Policy
Kubernetes에서는 다양한 Resource들 ( Deployment, Service, Secret, Configmap, PVC ... ) 존재한다. 이러한 Resource들은 Namespace에 속하고, RBAC 권한에 따라 다른 Namespace의 Resource들을 참조하지 못하도록 엄격하게 통제할 수 있다. 하지만, 네트워크의 경우 동일한 Cluster에서는 기본적으로 Network 격리가 안되고 모든 소스에서 트래픽을 받아들이도록 구성된다. 즉, 아래와 같이 Namespace 별로 배포된 앱에서 다른 Namespace의 앱을 직접 호출할 수 있다. Kubernetes에서는 사용자 애플리케이션이 작동하는 컨테이너를 보호하기 위해 네트워크 폴리시 ( NetworkPolicy ) 를 이용해 네트워..
Kubescape
Kubescape는 위험 분석, 보안 규정 준수, RBAC 시각화 도우미 및 이미지 취약성 스캔을 포함하여 다중 클라우드 K8의 단일 창을 제공하는 K8의 오픈 소스 도구이다. Kubescape는 K8s 클러스터, YAML 파일 및 HELM 차트를 스캔하여 여러 프레임워크(예: NSA-CISA , MITRE ATT&CK®), CI/CD 파이프라인 초기 단계의 소프트웨어 취약성 및 RBAC(역할 기반 액세스 제어) 위반은 위험 점수를 즉시 계산하고 시간 경과에 따른 위험 추세를 보여준다. Kubescape는 Jenkins, CircleCI, Github 워크플로, Prometheus 및 Slack을 비롯한 다른 DevOps 도구와 기본적으로 통합되며 EKS, GKE 및 AKS와 같은 다중 클라우드 K8 배..
Falco로 Kubernetes 위협 탐지 모니터링
Container 가 개발/운영에 많이 적용되면서 Container 보안 관련된 사항이 많이 발생한다. 특히 예상치 못한 애플리케이션 동작을 감지하고 이에 대한 경고를 발생할 수 있는 방법이 필요하다. Falco는 이러한 요구사항에 적합한 도구라고 할 수 있다. Falco는 구성 변경, 침입 또는 데이터 도난과 같은 예기치 않은 동작을 실시간으로 관찰하고 경고하기 위해 각 노드(마스터 및 작업자)에 배포된 에이전트로 볼 수 있다. 주요 규칙은 아래와 같다. 특권을 가진(Privileged)컨테이너를 이용한 권한 에스컬레이션(Privilege escalation) 컨테이너에 패키지 설치 쉘, bash, zsh 등과 같은 컨테이너에서 특정 명령 실행 잘 알려진 디렉토리( /etc , /usr/bin , /u..
Kubernetes 에서 Vault 활용
Vault Valut는 HashiCorp 사에서 만든 오픈소스로 비밀 및 기타 민감한 데이터를 보호하기 위해 토큰, 암호, 인증서, 암호화 키에 대한 액세스를 보호, 저장 및 제어할 수 있는 기능을 가지고 있다. 이러한 Valut를 Kubernetes와 통합 하기 위해 크게 2가지 방법을 지원한다. 1. Valut Agent Injector 2. Valut Container Storage Interface (CSI) 두 가지 방식의 비교 1. Valut Agent Injector Vault 설치 # helm repo add hashicorp https://helm.releases.hashicorp.com # helm repo update # kubectl create namespace vault # he..
Kubernetes에서 Secret 암호화
Kubernetes에서는 Secret이라는 Ojbect가 있다. 시크릿은 암호, 토큰 또는 키와 같은 소량의 중요한 데이터를 포함하는 오브젝트이다. 만약 Secret을 사용하지 않으면 Pod 생성 시 이러한 중요한 정보가 Pod 명세에 포함되어 배포해야 한다. 그래서 Secret에 중요 정보를 저장하고 Secret Mount를 통한 연동을 Pod 명세에 포함한다. 아래와 같이 사용한다. apiVersion: v1 kind: Pod metadata: name: secret-test-pod labels: name: secret-test spec: volumes: - name: secret-volume secret: secretName: ssh-key-secret containers: - name: ssh-t..
trivy를 활용한 Container Image 취약성 검사
Trivy Trivy는 컨테이너 및 아티팩트에 대한 취약성 및 잘못된 구성정보에 대한 검사 도구이다. 소프트웨어 취약점은 소프트웨어나 운영 체제에 존재하는 결함, 또는 약점이다. OS 패키지 (Alpine, RHEL, CentOS 등) 및 언어별 패키지 (Bundler, Composer, npm, yarn 등) 의 취약점을 감지한다 . 또한 Terraform 및 Kubernetes와 같은 IaC(Infrastructure as Code) 파일을 스캔 하여 배포를 공격 위험에 노출시키는 잠재적 구성 문제를 감지한다. 설치 trivy는 설치나 사용법이 매우 간단하다. 또한 trivy를 client/server 모드로 사용할 수 있는데 이번에는 trivy를 Kubernetes위에 Server와 Client로 ..