보안 및 컴플라이언스
1. OpenShift Container Platform 보안 및 컴플라이언스
Expand section "1. OpenShift Container Platform 보안 및 컴플라이언스" Collapse section "1. OpenShift Container Platform 보안 및 컴플라이언스"
2. 컨테이너 보안
Expand section "2. 컨테이너 보안" Collapse section "2. 컨테이너 보안"
1. 2.1. 컨테이너 보안 이해
  Expand section "2.1. 컨테이너 보안 이해" Collapse section "2.1. 컨테이너 보안 이해"
  1. 2.1.1. 컨테이너 정의
  2. 2.1.2. OpenShift Container Platform의 정의
2. 2.2. 호스트 및 VM 보안 이해
  Expand section "2.2. 호스트 및 VM 보안 이해" Collapse section "2.2. 호스트 및 VM 보안 이해"
3. 2.3. RHCOS 강화
  Expand section "2.3. RHCOS 강화" Collapse section "2.3. RHCOS 강화"
  1. 2.3.1. RHCOS에서 강화할 대상 선택
  2. 2.3.2. RHCOS 강화 방법 선택
    
    Expand section "2.3.2. RHCOS 강화 방법 선택" Collapse section "2.3.2. RHCOS 강화 방법 선택"
    
    2.3.2.1. 설치 전 강화
    
    2.3.2.2. 설치 중 강화
    
    2.3.2.3. 클러스터가 실행된 후 강화
4. 2.4. 컨테이너 이미지 서명
  Expand section "2.4. 컨테이너 이미지 서명" Collapse section "2.4. 컨테이너 이미지 서명"
5. 2.5. 컴플라이언스 이해
  Expand section "2.5. 컴플라이언스 이해" Collapse section "2.5. 컴플라이언스 이해"
  1. 2.5.1. 컴플라이언스 및 위험 관리 이해
6. 2.6. 컨테이너 콘텐츠 보안
  Expand section "2.6. 컨테이너 콘텐츠 보안" Collapse section "2.6. 컨테이너 콘텐츠 보안"
  1. 2.6.1. 컨테이너 내부 보안
  2. 2.6.2. UBI를 사용하여 재배포 가능한 이미지 생성
  3. 2.6.3. RHEL의 보안 스캔
    
    Expand section "2.6.3. RHEL의 보안 스캔" Collapse section "2.6.3. RHEL의 보안 스캔"
    
    2.6.3.1. OpenShift 이미지 스캔
  4. 2.6.4. 외부 스캔 통합
    
    Expand section "2.6.4. 외부 스캔 통합" Collapse section "2.6.4. 외부 스캔 통합"
    
    2.6.4.1. 이미지 메타데이터
    
    Expand section "2.6.4.1. 이미지 메타데이터" Collapse section "2.6.4.1. 이미지 메타데이터"
    
    2.6.4.1.1. 주석 키 예
    
    2.6.4.1.2. 주석 값 예
    
    2.6.4.2. 이미지 오브젝트에 주석 달기
    
    Expand section "2.6.4.2. 이미지 오브젝트에 주석 달기" Collapse section "2.6.4.2. 이미지 오브젝트에 주석 달기"
    
    2.6.4.2.1. 주석 CLI 명령 예
    
    2.6.4.3. Pod 실행 제어
    
    Expand section "2.6.4.3. Pod 실행 제어" Collapse section "2.6.4.3. Pod 실행 제어"
    
    2.6.4.3.1. 주석 예
    
    2.6.4.4. 통합 참조
    
    Expand section "2.6.4.4. 통합 참조" Collapse section "2.6.4.4. 통합 참조"
    
    2.6.4.4.1. REST API 호출 예
7. 2.7. 안전하게 컨테이너 레지스트리 사용
  Expand section "2.7. 안전하게 컨테이너 레지스트리 사용" Collapse section "2.7. 안전하게 컨테이너 레지스트리 사용"
8. 2.8. 빌드 프로세스 보안
  Expand section "2.8. 빌드 프로세스 보안" Collapse section "2.8. 빌드 프로세스 보안"
9. 2.9. 컨테이너 배포
  Expand section "2.9. 컨테이너 배포" Collapse section "2.9. 컨테이너 배포"
10. 2.10. 컨테이너 플랫폼 보안
  Expand section "2.10. 컨테이너 플랫폼 보안" Collapse section "2.10. 컨테이너 플랫폼 보안"
  1. 2.10.1. 멀티 테넌시로 컨테이너 격리
  2. 2.10.2. 승인 플러그인으로 컨트롤 플레인 보호
    
    Expand section "2.10.2. 승인 플러그인으로 컨트롤 플레인 보호" Collapse section "2.10.2. 승인 플러그인으로 컨트롤 플레인 보호"
    
    2.10.2.1. SCC(보안 컨텍스트 제약 조건)
    
    2.10.2.2. 서비스 계정에 역할 부여
  3. 2.10.3. 인증 및 권한 부여
    
    Expand section "2.10.3. 인증 및 권한 부여" Collapse section "2.10.3. 인증 및 권한 부여"
    
    2.10.3.1. OAuth를 사용하여 액세스 제어
    
    2.10.3.2. API 액세스 제어 및 관리
    
    2.10.3.3. Red Hat Single Sign-On
    
    2.10.3.4. 보안 셀프 서비스 웹 콘솔
  4. 2.10.4. 플랫폼의 인증서 관리
    
    Expand section "2.10.4. 플랫폼의 인증서 관리" Collapse section "2.10.4. 플랫폼의 인증서 관리"
    
    2.10.4.1. 사용자 정의 인증서 구성
11. 2.11. 네트워크 보안
  Expand section "2.11. 네트워크 보안" Collapse section "2.11. 네트워크 보안"
12. 2.12. 연결된 스토리지 보안
  Expand section "2.12. 연결된 스토리지 보안" Collapse section "2.12. 연결된 스토리지 보안"
13. 2.13. 클러스터 이벤트 및 로그 모니터링
  Expand section "2.13. 클러스터 이벤트 및 로그 모니터링" Collapse section "2.13. 클러스터 이벤트 및 로그 모니터링"
3. 인증서 구성
Expand section "3. 인증서 구성" Collapse section "3. 인증서 구성"
1. 3.1. 기본 수신 인증서 교체
  Expand section "3.1. 기본 수신 인증서 교체" Collapse section "3.1. 기본 수신 인증서 교체"
  1. 3.1.1. 기본 수신 인증서 이해
  2. 3.1.2. 기본 수신 인증서 교체
2. 3.2. API 서버 인증서 추가
  Expand section "3.2. API 서버 인증서 추가" Collapse section "3.2. API 서버 인증서 추가"
  1. 3.2.1. certificate이라는 API 서버 추가
3. 3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안
  Expand section "3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안" Collapse section "3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안"
4. 인증서 유형 및 설명
Expand section "4. 인증서 유형 및 설명" Collapse section "4. 인증서 유형 및 설명"
1. 4.1. API 서버의 사용자 제공 인증서
  Expand section "4.1. API 서버의 사용자 제공 인증서" Collapse section "4.1. API 서버의 사용자 제공 인증서"
2. 4.2. 프록시 인증서
  Expand section "4.2. 프록시 인증서" Collapse section "4.2. 프록시 인증서"
3. 4.3. 서비스 CA 인증서
  Expand section "4.3. 서비스 CA 인증서" Collapse section "4.3. 서비스 CA 인증서"
4. 4.4. 노드 인증서
  Expand section "4.4. 노드 인증서" Collapse section "4.4. 노드 인증서"
  1. 4.4.1. 목적
  2. 4.4.2. 관리
5. 4.5. 부트스트랩 인증서
  Expand section "4.5. 부트스트랩 인증서" Collapse section "4.5. 부트스트랩 인증서"
6. 4.6. etcd 인증서
  Expand section "4.6. etcd 인증서" Collapse section "4.6. etcd 인증서"
7. 4.7. OLM 인증서
  Expand section "4.7. OLM 인증서" Collapse section "4.7. OLM 인증서"
  1. 4.7.1. 관리
8. 4.8. 기본 수신을 위한 사용자 제공 인증서
  Expand section "4.8. 기본 수신을 위한 사용자 제공 인증서" Collapse section "4.8. 기본 수신을 위한 사용자 제공 인증서"
9. 4.9. 수신 인증서
  Expand section "4.9. 수신 인증서" Collapse section "4.9. 수신 인증서"
10. 4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서
  Expand section "4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서" Collapse section "4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서"
  1. 4.10.1. 만료
  2. 4.10.2. 관리
11. 4.11. 컨트롤 플레인 인증서
  Expand section "4.11. 컨트롤 플레인 인증서" Collapse section "4.11. 컨트롤 플레인 인증서"
  1. 4.11.1. 위치
  2. 4.11.2. 관리
5. Compliance Operator
Expand section "5. Compliance Operator" Collapse section "5. Compliance Operator"
1. 5.1. Compliance Operator 릴리스 정보
  Expand section "5.1. Compliance Operator 릴리스 정보" Collapse section "5.1. Compliance Operator 릴리스 정보"
  1. 5.1.1. OpenShift Compliance Operator 0.1.47
    
    Expand section "5.1.1. OpenShift Compliance Operator 0.1.47" Collapse section "5.1.1. OpenShift Compliance Operator 0.1.47"
    
    5.1.1.1. 새로운 기능 및 개선 사항
    
    5.1.1.2. 버그 수정
  2. 5.1.2. OpenShift Compliance Operator 0.1.44
    
    Expand section "5.1.2. OpenShift Compliance Operator 0.1.44" Collapse section "5.1.2. OpenShift Compliance Operator 0.1.44"
    
    5.1.2.1. 새로운 기능 및 개선 사항
    
    5.1.2.2. 템플릿 및 변수 사용
    
    5.1.2.3. 버그 수정
  3. 5.1.3. Compliance Operator 0.1.39의 릴리스 정보
    
    Expand section "5.1.3. Compliance Operator 0.1.39의 릴리스 정보" Collapse section "5.1.3. Compliance Operator 0.1.39의 릴리스 정보"
    
    5.1.3.1. 새로운 기능 및 개선 사항
  4. 5.1.4. 추가 리소스
2. 5.2. 지원되는 규정 준수 프로필
  Expand section "5.2. 지원되는 규정 준수 프로필" Collapse section "5.2. 지원되는 규정 준수 프로필"
  1. 5.2.1. 규정 준수 프로필
  2. 5.2.2. 추가 리소스
3. 5.3. Compliance Operator 설치
  Expand section "5.3. Compliance Operator 설치" Collapse section "5.3. Compliance Operator 설치"
4. 5.4. Compliance Operator 검사
  Expand section "5.4. Compliance Operator 검사" Collapse section "5.4. Compliance Operator 검사"
  1. 5.4.1. 규정 준수 검사 실행
  2. 5.4.2. 작업자 노드에 결과 서버 Pod 예약
5. 5.5. Compliance Operator 이해
  Expand section "5.5. Compliance Operator 이해" Collapse section "5.5. Compliance Operator 이해"
  1. 5.5.1. Compliance Operator 프로필
6. 5.6. Compliance Operator 관리
  Expand section "5.6. Compliance Operator 관리" Collapse section "5.6. Compliance Operator 관리"
7. 5.7. Compliance Operator 조정
  Expand section "5.7. Compliance Operator 조정" Collapse section "5.7. Compliance Operator 조정"
  1. 5.7.1. 맞춤형 프로필 사용
8. 5.8. Compliance Operator 원시 결과 검색
  Expand section "5.8. Compliance Operator 원시 결과 검색" Collapse section "5.8. Compliance Operator 원시 결과 검색"
  1. 5.8.1. 영구 볼륨에서 Compliance Operator 원시 결과 가져오기
9. 5.9. Compliance Operator 수정 관리
  Expand section "5.9. Compliance Operator 수정 관리" Collapse section "5.9. Compliance Operator 수정 관리"
10. 5.10. 고급 Compliance Operator 작업 수행
  Expand section "5.10. 고급 Compliance Operator 작업 수행" Collapse section "5.10. 고급 Compliance Operator 작업 수행"
  1. 5.10.1. ComplianceSuite 및 ComplianceScan 오브젝트 직접 사용
  2. 5.10.2. 원시 맞춤형 프로필 사용
  3. 5.10.3. 재검사 수행
  4. 5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정
    
    Expand section "5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정" Collapse section "5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정"
    
    5.10.4.1. 사용자 정의 결과 스토리지 값 사용
  5. 5.10.5. 제품군 검사에서 생성된 수정 사항 적용
  6. 5.10.6. 수정 사항 자동 업데이트
11. 5.11. Compliance Operator 문제 해결
  Expand section "5.11. Compliance Operator 문제 해결" Collapse section "5.11. Compliance Operator 문제 해결"
  1. 5.11.1. 검사 구조
    
    Expand section "5.11.1. 검사 구조" Collapse section "5.11.1. 검사 구조"
    
    5.11.1.1. 규정 준수 소스
    
    5.11.1.2. ScanSetting 및 ScanSettingBinding 오브젝트 라이프사이클 및 디버깅
    
    5.11.1.3. ComplianceSuite 사용자 정의 리소스 라이프사이클 및 디버깅
    
    5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅
    
    Expand section "5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅" Collapse section "5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅"
    
    5.11.1.4.1. 보류 단계
    
    5.11.1.4.2. 시작 단계
    
    5.11.1.4.3. 실행 단계
    
    5.11.1.4.4. 집계 단계
    
    5.11.1.4.5. 완료 단계
    
    5.11.1.5. ComplianceRemediation 컨트롤러 라이프사이클 및 디버깅
    
    5.11.1.6. 유용한 레이블
  2. 5.11.2. 지원 요청
12. 5.12. Compliance Operator 설치 제거
  Expand section "5.12. Compliance Operator 설치 제거" Collapse section "5.12. Compliance Operator 설치 제거"
  1. 5.12.1. OpenShift Container Platform에서 OpenShift Compliance Operator 설치 제거
13. 5.13. oc-compliance 플러그인 사용
  Expand section "5.13. oc-compliance 플러그인 사용" Collapse section "5.13. oc-compliance 플러그인 사용"
6. File Integrity Operator
Expand section "6. File Integrity Operator" Collapse section "6. File Integrity Operator"
1. 6.1. File Integrity Operator 릴리스 노트
  Expand section "6.1. File Integrity Operator 릴리스 노트" Collapse section "6.1. File Integrity Operator 릴리스 노트"
  1. 6.1.1. OpenShift File Integrity Operator 0.1.21
    
    Expand section "6.1.1. OpenShift File Integrity Operator 0.1.21" Collapse section "6.1.1. OpenShift File Integrity Operator 0.1.21"
    
    6.1.1.1. 새로운 기능 및 개선 사항
    
    6.1.1.2. 버그 수정
  2. 6.1.2. 추가 리소스
2. 6.2. File Integrity Operator 설치
  Expand section "6.2. File Integrity Operator 설치" Collapse section "6.2. File Integrity Operator 설치"
3. 6.3. File Integrity Operator 이해
  Expand section "6.3. File Integrity Operator 이해" Collapse section "6.3. File Integrity Operator 이해"
  1. 6.3.1. FileIntegrity 사용자 정의 리소스 이해
  2. 6.3.2. FileIntegrity 사용자 정의 리소스 상태 확인
  3. 6.3.3. FileIntegrity 사용자 정의 리소스 단계
  4. 6.3.4. FileIntegrityNodeStatuses 오브젝트 이해
  5. 6.3.5. FileIntegrityNodeStatus CR 상태 유형
    
    Expand section "6.3.5. FileIntegrityNodeStatus CR 상태 유형" Collapse section "6.3.5. FileIntegrityNodeStatus CR 상태 유형"
    
    6.3.5.1. FileIntegrityNodeStatus CR 성공 상태의 예
    
    6.3.5.2. FileIntegrityNodeStatus CR 실패 상태의 예
  6. 6.3.6. 이벤트 이해
4. 6.4. Custom File Integrity Operator 구성
  Expand section "6.4. Custom File Integrity Operator 구성" Collapse section "6.4. Custom File Integrity Operator 구성"
5. 6.5. 고급 Custom File Integrity Operator 작업 수행
  Expand section "6.5. 고급 Custom File Integrity Operator 작업 수행" Collapse section "6.5. 고급 Custom File Integrity Operator 작업 수행"
6. 6.6. File Integrity Operator 문제 해결
  Expand section "6.6. File Integrity Operator 문제 해결" Collapse section "6.6. File Integrity Operator 문제 해결"
7. 감사 로그 보기
Expand section "7. 감사 로그 보기" Collapse section "7. 감사 로그 보기"
8. 감사 로그 정책 구성
Expand section "8. 감사 로그 정책 구성" Collapse section "8. 감사 로그 정책 구성"
1. 8.1. 감사 로그 정책 프로필 정보
2. 8.2. 감사 로그 정책 구성
9. TLS 보안 프로필 설정
Expand section "9. TLS 보안 프로필 설정" Collapse section "9. TLS 보안 프로필 설정"
10. seccomp 프로필 구성
Expand section "10. seccomp 프로필 구성" Collapse section "10. seccomp 프로필 구성"
1. 10.1. 기본 seccomp 프로필 구성
2. 10.2. 사용자 정의 seccomp 프로필 구성
  Expand section "10.2. 사용자 정의 seccomp 프로필 구성" Collapse section "10.2. 사용자 정의 seccomp 프로필 구성"
  1. 10.2.1. 사용자 정의 seccomp 프로필 설정
  2. 10.2.2. 워크로드에 사용자 정의 seccomp 프로필 적용
3. 10.3. 추가 리소스
11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용
Expand section "11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용" Collapse section "11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용"
1. 11.1. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용
12. etcd 데이터 암호화
Expand section "12. etcd 데이터 암호화" Collapse section "12. etcd 데이터 암호화"
13. Pod에서 취약점 스캔
Expand section "13. Pod에서 취약점 스캔" Collapse section "13. Pod에서 취약점 스캔"
1. 13.1. Container Security Operator 실행
2. 13.2. CLI에서 이미지 취약점 쿼리

5.13.6. 컴플라이언스 수정 세부 정보 가져오기

Compliance Operator는 클러스터를 준수하는 데 필요한 변경 사항을 자동화하는 데 사용되는 수정 오브젝트를 제공합니다. fetch-fixes 하위 명령은 어떤 구성 수정이 사용되는지 정확하게 이해하는 데 도움이 될 수 있습니다. fetch-fixes 하위 명령을 사용하여 프로필, 규칙 또는 ComplianceRemediation 오브젝트에서 검사할 디렉터리로 수정 오브젝트를 추출합니다.

절차

프로필의 수정을 확인합니다.

$ oc compliance fetch-fixes profile ocp4-cis -o /tmp

출력 예

No fixes to persist for rule 'ocp4-api-server-api-priority-flowschema-catch-all' 1
No fixes to persist for rule 'ocp4-api-server-api-priority-gate-enabled'
No fixes to persist for rule 'ocp4-api-server-audit-log-maxbackup'
Persisted rule fix to /tmp/ocp4-api-server-audit-log-maxsize.yaml
No fixes to persist for rule 'ocp4-api-server-audit-log-path'
No fixes to persist for rule 'ocp4-api-server-auth-mode-no-aa'
No fixes to persist for rule 'ocp4-api-server-auth-mode-node'
No fixes to persist for rule 'ocp4-api-server-auth-mode-rbac'
No fixes to persist for rule 'ocp4-api-server-basic-auth'
No fixes to persist for rule 'ocp4-api-server-bind-address'
No fixes to persist for rule 'ocp4-api-server-client-ca'
Persisted rule fix to /tmp/ocp4-api-server-encryption-provider-cipher.yaml
Persisted rule fix to /tmp/ocp4-api-server-encryption-provider-config.yaml

1: 규칙을 자동으로 수정할 수 없거나 수정이 제공되지 않았기 때문에 프로필에 해당 수정 조치가 없는 규칙이 있을 때마다 No fixes to persist 경고가 예상됩니다.

YAML 파일의 샘플을 볼 수 있습니다. head 명령은 처음 10행을 표시합니다.

$ head /tmp/ocp4-api-server-audit-log-maxsize.yaml

출력 예

apiVersion: config.openshift.io/v1
kind: APIServer
metadata:
  name: cluster
spec:
  maximumFileSizeMegabytes: 100

검사 후 생성된 ComplianceRemediation 오브젝트에서 수정을 확인합니다.

$ oc get complianceremediations -n openshift-compliance

출력 예

NAME                                             STATE
ocp4-cis-api-server-encryption-provider-cipher   NotApplied
ocp4-cis-api-server-encryption-provider-config   NotApplied

$ oc compliance fetch-fixes complianceremediations ocp4-cis-api-server-encryption-provider-cipher -o /tmp

출력 예

Persisted compliance remediation fix to /tmp/ocp4-cis-api-server-encryption-provider-cipher.yaml

YAML 파일의 샘플을 볼 수 있습니다. head 명령은 처음 10행을 표시합니다.

$ head /tmp/ocp4-cis-api-server-encryption-provider-cipher.yaml

출력 예

apiVersion: config.openshift.io/v1
kind: APIServer
metadata:
  name: cluster
spec:
  encryption:
    type: aescbc

주의

수정을 직접 적용하기 전에 주의하십시오. 중간 프로파일의 usbguard 규칙과 같은 일부 수정 사항은 일괄적으로 적용되지 않을 수 있습니다. 이 경우 종속성을 해결하고 클러스터가 정상 상태로 유지되도록 Compliance Operator가 규칙을 적용하도록 허용합니다.

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

5.13.6. 컴플라이언스 수정 세부 정보 가져오기