Supply Chain Security (20%)
- Minimize base image footprint
- Secure your supply chain: whitelist allowed registries, sign and validate images
- Use static analysis of user workloads (e.g.Kubernetes resources, Docker files)
- Scan images for known vulnerabilities
Image Scanning
컨테이너가 취약한 소프트웨워를 포함하고 있는지 점검하는 것
Trivy
- 컨테이너 이미지 취약점을 스캔하는 오픈소스 보안 스캐너
- 컨테이너 이미지 내의 패키지 및 라이브러리에 대한 취약점을 탐지
- OCI호환 컨테이너 이미지와 함께 사용
- CVE 데이터베이스를 기반으로 취약점 식별
- 식별된 위협에 대한 조치방법을 안내
- 명령어
# trivy <image-name>
Admission Controllers
- Admission Controllers는 Kubernetes API 호출을 가로채서 요청에 대한 승인, 거부, 수정등을 수행
ImagePolicyWebhook
- 컨테이너 이미지 사용을 제어하기 위한 정책 검증 메커니즘
- 클러스터 관리자가 이미지 정책을 정의하고, 이미지 허용 여부를 동적으로 결정 가능
- 작동방식
- ImagePolicy 생성
- ImagePolicyWebhook 설정 : Webhook설정을 통해 API서버 엔드포인트로 전달, 정책 검증 수행
- Admission Controller 활성화 : 클러스터에 들어오는 API요청을 사전에 검증, 허용/거부
- Pod생성 및 이미지 검증 : 정책에 따라 이미지 허용되거나 거부됨.
'CKS' 카테고리의 다른 글
| [CKS] Monitoring, Logging and Runtime Security - Falco (0) | 2024.02.20 |
|---|---|
| [CKS] SupplyChain - Admission Controller (1) | 2024.02.19 |
| [CKS] Supply Chain Security - Analyzing Dockerfile (0) | 2024.02.19 |
| [CKS] MMV - mTLS (0) | 2024.02.02 |
| [CKS] MMV - Container runtime sandboxes (gvisor, kata) (0) | 2024.02.02 |
