최고의 보안 전문가? 그거 나잖아

1을 이미 포스팅해서 순서가 조금 이상하지만 ...  일단 쿠버네티스 보안 단계 ( 도서 '쿠버네티스 교과서' 참조) 단계에 맞춰서 간단하게 포스팅을 하고자 한다.  1. 보안 컨텍스트 (securitycontext) 적용 2. 네트워크 폴리시 적용  3. 어드미션 컨트롤 설정 4. 역할기반 제어 설정 5. 컨테이너 이미지 취약점 탐색 6. 골든이미지만 운영리포지토리로 푸시되도록 파이프라인 구성 7. 보안 모니터링

1. 컨테이너로 리눅스 가동시 root 실행을 최소화 해야한다. - 커널을 공유하기 때문에, 컨테이너에서의 root 권한이 호스트에서도 root 권한으로 이어져, 컨테이너가 운영중인 서버 침탈이 가능하다.-security context 필드를 추가해서 실행 권한을 바꾸면되는데, 이때 root 계정이 무조건 필요한 설정의 경우 해당 설정들 까지 전부 변경해야하는 번거로움이 있다.  2. 그럼에도 불구하고 user 권한도 쿠버네티스 api 에 접속이 가능한데,,,,  - 쿠버네티스 api 토큰의 경우 누구든지 읽을 수 있는 상태로 마운트 된다.   (쿠버네티스 api로 무엇을 할 수 있는지는 클러스터의 설정에 따라 다르다)- 따라서, api를 사용하지 않는 경우 파드정의를 이용해 컨테이너에 토큰 마운트를 금..

쿠버네티스랑 처음 만난지 일주일정도 되었다.  학교도가고 알바도 하고 대자연의 호르몬 때문에 많은 시간을 투자하진 못했지만 일주일이라는 시간은 쿠버네티스의 매력을 탐구하기에  충분한 시간이었던 것같다. 여기서 말하는 매력포인트는 [ 쿠버네티스 교과서 ] 책을 200페이지 까지 보고 나서 뭔가 나의 마음을 이끈 부분들을 정리한 것이다... 쿠버네티스의 정말 응애 기능들 밖에 익히지 못했지만 그것만으로 두근대잖아.. 두근두근      쿠버네티스의 매력포인트 1번 - 첫 충격 디플로이먼트  처음에 책 앞부분을 봤을 때 처음으로 받은 충격은 디플로이먼트였다. 파드가 오류나거나 하면 알아서 다시 복구해서 똑같은 파드를 생성한대... 충격.... 그냥 뭔가 너무 신기했다. 그냥 신기했다... 이런 파드의 짧은 생명..