최고의 보안 전문가? 그거 나잖아

1을 이미 포스팅해서 순서가 조금 이상하지만 ...  일단 쿠버네티스 보안 단계 ( 도서 '쿠버네티스 교과서' 참조) 단계에 맞춰서 간단하게 포스팅을 하고자 한다.  1. 보안 컨텍스트 (securitycontext) 적용 2. 네트워크 폴리시 적용  3. 어드미션 컨트롤 설정 4. 역할기반 제어 설정 5. 컨테이너 이미지 취약점 탐색 6. 골든이미지만 운영리포지토리로 푸시되도록 파이프라인 구성 7. 보안 모니터링

1. 컨테이너로 리눅스 가동시 root 실행을 최소화 해야한다. - 커널을 공유하기 때문에, 컨테이너에서의 root 권한이 호스트에서도 root 권한으로 이어져, 컨테이너가 운영중인 서버 침탈이 가능하다.-security context 필드를 추가해서 실행 권한을 바꾸면되는데, 이때 root 계정이 무조건 필요한 설정의 경우 해당 설정들 까지 전부 변경해야하는 번거로움이 있다.  2. 그럼에도 불구하고 user 권한도 쿠버네티스 api 에 접속이 가능한데,,,,  - 쿠버네티스 api 토큰의 경우 누구든지 읽을 수 있는 상태로 마운트 된다.   (쿠버네티스 api로 무엇을 할 수 있는지는 클러스터의 설정에 따라 다르다)- 따라서, api를 사용하지 않는 경우 파드정의를 이용해 컨테이너에 토큰 마운트를 금..

도커에서 우분투 실행할 때 예전에 docker run ubuntu 가 안돼서 서치결과 무작정 -it 로 터미널을 연결시켜주면 된다는 해결책을 보고 줄곧 그렇게 사용했었다. 그 이유에 대해서 깊게 생각해 보지 않았는데쿠버네티스 강의 듣다가 이유를 알게되서 기쁜마음에 작성하는 글   1. 컨테이너는 위에서 동작하는 애플리케이션이 없으면 종료된다.2. 컨테이너 이미지에는 CMD[] 부분이 있는데 컨테이너를 만들어 동작시키면 해당 CMD 부분의 명령이 실행된다. -> 애플리케이션 동작3. ubuntu 의  CMD[] 는 bash 이다. 4. bash 는 혼자 작동하는 프로세스가 아니다. (비교, nginx 의 경우 nginx 커맨드가 실행되서 nginx 프로세스가 실행됨)5. bash 는 터미널과 연결시켜줘야 ..