보안 및 컴플라이언스
1. OpenShift Container Platform 보안 및 컴플라이언스
Expand section "1. OpenShift Container Platform 보안 및 컴플라이언스" Collapse section "1. OpenShift Container Platform 보안 및 컴플라이언스"
2. 컨테이너 보안
Expand section "2. 컨테이너 보안" Collapse section "2. 컨테이너 보안"
1. 2.1. 컨테이너 보안 이해
  Expand section "2.1. 컨테이너 보안 이해" Collapse section "2.1. 컨테이너 보안 이해"
  1. 2.1.1. 컨테이너 정의
  2. 2.1.2. OpenShift Container Platform의 정의
2. 2.2. 호스트 및 VM 보안 이해
  Expand section "2.2. 호스트 및 VM 보안 이해" Collapse section "2.2. 호스트 및 VM 보안 이해"
3. 2.3. RHCOS 강화
  Expand section "2.3. RHCOS 강화" Collapse section "2.3. RHCOS 강화"
  1. 2.3.1. RHCOS에서 강화할 대상 선택
  2. 2.3.2. RHCOS 강화 방법 선택
    
    Expand section "2.3.2. RHCOS 강화 방법 선택" Collapse section "2.3.2. RHCOS 강화 방법 선택"
    
    2.3.2.1. 설치 전 강화
    
    2.3.2.2. 설치 중 강화
    
    2.3.2.3. 클러스터가 실행된 후 강화
4. 2.4. 컨테이너 이미지 서명
  Expand section "2.4. 컨테이너 이미지 서명" Collapse section "2.4. 컨테이너 이미지 서명"
5. 2.5. 컴플라이언스 이해
  Expand section "2.5. 컴플라이언스 이해" Collapse section "2.5. 컴플라이언스 이해"
  1. 2.5.1. 컴플라이언스 및 위험 관리 이해
6. 2.6. 컨테이너 콘텐츠 보안
  Expand section "2.6. 컨테이너 콘텐츠 보안" Collapse section "2.6. 컨테이너 콘텐츠 보안"
  1. 2.6.1. 컨테이너 내부 보안
  2. 2.6.2. UBI를 사용하여 재배포 가능한 이미지 생성
  3. 2.6.3. RHEL의 보안 스캔
    
    Expand section "2.6.3. RHEL의 보안 스캔" Collapse section "2.6.3. RHEL의 보안 스캔"
    
    2.6.3.1. OpenShift 이미지 스캔
  4. 2.6.4. 외부 스캔 통합
    
    Expand section "2.6.4. 외부 스캔 통합" Collapse section "2.6.4. 외부 스캔 통합"
    
    2.6.4.1. 이미지 메타데이터
    
    Expand section "2.6.4.1. 이미지 메타데이터" Collapse section "2.6.4.1. 이미지 메타데이터"
    
    2.6.4.1.1. 주석 키 예
    
    2.6.4.1.2. 주석 값 예
    
    2.6.4.2. 이미지 오브젝트에 주석 달기
    
    Expand section "2.6.4.2. 이미지 오브젝트에 주석 달기" Collapse section "2.6.4.2. 이미지 오브젝트에 주석 달기"
    
    2.6.4.2.1. 주석 CLI 명령 예
    
    2.6.4.3. Pod 실행 제어
    
    Expand section "2.6.4.3. Pod 실행 제어" Collapse section "2.6.4.3. Pod 실행 제어"
    
    2.6.4.3.1. 주석 예
    
    2.6.4.4. 통합 참조
    
    Expand section "2.6.4.4. 통합 참조" Collapse section "2.6.4.4. 통합 참조"
    
    2.6.4.4.1. REST API 호출 예
7. 2.7. 안전하게 컨테이너 레지스트리 사용
  Expand section "2.7. 안전하게 컨테이너 레지스트리 사용" Collapse section "2.7. 안전하게 컨테이너 레지스트리 사용"
8. 2.8. 빌드 프로세스 보안
  Expand section "2.8. 빌드 프로세스 보안" Collapse section "2.8. 빌드 프로세스 보안"
9. 2.9. 컨테이너 배포
  Expand section "2.9. 컨테이너 배포" Collapse section "2.9. 컨테이너 배포"
10. 2.10. 컨테이너 플랫폼 보안
  Expand section "2.10. 컨테이너 플랫폼 보안" Collapse section "2.10. 컨테이너 플랫폼 보안"
  1. 2.10.1. 멀티 테넌시로 컨테이너 격리
  2. 2.10.2. 승인 플러그인으로 컨트롤 플레인 보호
    
    Expand section "2.10.2. 승인 플러그인으로 컨트롤 플레인 보호" Collapse section "2.10.2. 승인 플러그인으로 컨트롤 플레인 보호"
    
    2.10.2.1. SCC(보안 컨텍스트 제약 조건)
    
    2.10.2.2. 서비스 계정에 역할 부여
  3. 2.10.3. 인증 및 권한 부여
    
    Expand section "2.10.3. 인증 및 권한 부여" Collapse section "2.10.3. 인증 및 권한 부여"
    
    2.10.3.1. OAuth를 사용하여 액세스 제어
    
    2.10.3.2. API 액세스 제어 및 관리
    
    2.10.3.3. Red Hat Single Sign-On
    
    2.10.3.4. 보안 셀프 서비스 웹 콘솔
  4. 2.10.4. 플랫폼의 인증서 관리
    
    Expand section "2.10.4. 플랫폼의 인증서 관리" Collapse section "2.10.4. 플랫폼의 인증서 관리"
    
    2.10.4.1. 사용자 정의 인증서 구성
11. 2.11. 네트워크 보안
  Expand section "2.11. 네트워크 보안" Collapse section "2.11. 네트워크 보안"
12. 2.12. 연결된 스토리지 보안
  Expand section "2.12. 연결된 스토리지 보안" Collapse section "2.12. 연결된 스토리지 보안"
13. 2.13. 클러스터 이벤트 및 로그 모니터링
  Expand section "2.13. 클러스터 이벤트 및 로그 모니터링" Collapse section "2.13. 클러스터 이벤트 및 로그 모니터링"
3. 인증서 구성
Expand section "3. 인증서 구성" Collapse section "3. 인증서 구성"
1. 3.1. 기본 수신 인증서 교체
  Expand section "3.1. 기본 수신 인증서 교체" Collapse section "3.1. 기본 수신 인증서 교체"
  1. 3.1.1. 기본 수신 인증서 이해
  2. 3.1.2. 기본 수신 인증서 교체
2. 3.2. API 서버 인증서 추가
  Expand section "3.2. API 서버 인증서 추가" Collapse section "3.2. API 서버 인증서 추가"
  1. 3.2.1. certificate이라는 API 서버 추가
3. 3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안
  Expand section "3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안" Collapse section "3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안"
4. 인증서 유형 및 설명
Expand section "4. 인증서 유형 및 설명" Collapse section "4. 인증서 유형 및 설명"
1. 4.1. API 서버의 사용자 제공 인증서
  Expand section "4.1. API 서버의 사용자 제공 인증서" Collapse section "4.1. API 서버의 사용자 제공 인증서"
2. 4.2. 프록시 인증서
  Expand section "4.2. 프록시 인증서" Collapse section "4.2. 프록시 인증서"
3. 4.3. 서비스 CA 인증서
  Expand section "4.3. 서비스 CA 인증서" Collapse section "4.3. 서비스 CA 인증서"
4. 4.4. 노드 인증서
  Expand section "4.4. 노드 인증서" Collapse section "4.4. 노드 인증서"
  1. 4.4.1. 목적
  2. 4.4.2. 관리
5. 4.5. 부트스트랩 인증서
  Expand section "4.5. 부트스트랩 인증서" Collapse section "4.5. 부트스트랩 인증서"
6. 4.6. etcd 인증서
  Expand section "4.6. etcd 인증서" Collapse section "4.6. etcd 인증서"
7. 4.7. OLM 인증서
  Expand section "4.7. OLM 인증서" Collapse section "4.7. OLM 인증서"
  1. 4.7.1. 관리
8. 4.8. 기본 수신을 위한 사용자 제공 인증서
  Expand section "4.8. 기본 수신을 위한 사용자 제공 인증서" Collapse section "4.8. 기본 수신을 위한 사용자 제공 인증서"
9. 4.9. 수신 인증서
  Expand section "4.9. 수신 인증서" Collapse section "4.9. 수신 인증서"
10. 4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서
  Expand section "4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서" Collapse section "4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서"
  1. 4.10.1. 만료
  2. 4.10.2. 관리
11. 4.11. 컨트롤 플레인 인증서
  Expand section "4.11. 컨트롤 플레인 인증서" Collapse section "4.11. 컨트롤 플레인 인증서"
  1. 4.11.1. 위치
  2. 4.11.2. 관리
5. Compliance Operator
Expand section "5. Compliance Operator" Collapse section "5. Compliance Operator"
1. 5.1. Compliance Operator 릴리스 정보
  Expand section "5.1. Compliance Operator 릴리스 정보" Collapse section "5.1. Compliance Operator 릴리스 정보"
  1. 5.1.1. OpenShift Compliance Operator 0.1.47
    
    Expand section "5.1.1. OpenShift Compliance Operator 0.1.47" Collapse section "5.1.1. OpenShift Compliance Operator 0.1.47"
    
    5.1.1.1. 새로운 기능 및 개선 사항
    
    5.1.1.2. 버그 수정
  2. 5.1.2. OpenShift Compliance Operator 0.1.44
    
    Expand section "5.1.2. OpenShift Compliance Operator 0.1.44" Collapse section "5.1.2. OpenShift Compliance Operator 0.1.44"
    
    5.1.2.1. 새로운 기능 및 개선 사항
    
    5.1.2.2. 템플릿 및 변수 사용
    
    5.1.2.3. 버그 수정
  3. 5.1.3. Compliance Operator 0.1.39의 릴리스 정보
    
    Expand section "5.1.3. Compliance Operator 0.1.39의 릴리스 정보" Collapse section "5.1.3. Compliance Operator 0.1.39의 릴리스 정보"
    
    5.1.3.1. 새로운 기능 및 개선 사항
  4. 5.1.4. 추가 리소스
2. 5.2. 지원되는 규정 준수 프로필
  Expand section "5.2. 지원되는 규정 준수 프로필" Collapse section "5.2. 지원되는 규정 준수 프로필"
  1. 5.2.1. 규정 준수 프로필
  2. 5.2.2. 추가 리소스
3. 5.3. Compliance Operator 설치
  Expand section "5.3. Compliance Operator 설치" Collapse section "5.3. Compliance Operator 설치"
4. 5.4. Compliance Operator 검사
  Expand section "5.4. Compliance Operator 검사" Collapse section "5.4. Compliance Operator 검사"
  1. 5.4.1. 규정 준수 검사 실행
  2. 5.4.2. 작업자 노드에 결과 서버 Pod 예약
5. 5.5. Compliance Operator 이해
  Expand section "5.5. Compliance Operator 이해" Collapse section "5.5. Compliance Operator 이해"
  1. 5.5.1. Compliance Operator 프로필
6. 5.6. Compliance Operator 관리
  Expand section "5.6. Compliance Operator 관리" Collapse section "5.6. Compliance Operator 관리"
7. 5.7. Compliance Operator 조정
  Expand section "5.7. Compliance Operator 조정" Collapse section "5.7. Compliance Operator 조정"
  1. 5.7.1. 맞춤형 프로필 사용
8. 5.8. Compliance Operator 원시 결과 검색
  Expand section "5.8. Compliance Operator 원시 결과 검색" Collapse section "5.8. Compliance Operator 원시 결과 검색"
  1. 5.8.1. 영구 볼륨에서 Compliance Operator 원시 결과 가져오기
9. 5.9. Compliance Operator 수정 관리
  Expand section "5.9. Compliance Operator 수정 관리" Collapse section "5.9. Compliance Operator 수정 관리"
10. 5.10. 고급 Compliance Operator 작업 수행
  Expand section "5.10. 고급 Compliance Operator 작업 수행" Collapse section "5.10. 고급 Compliance Operator 작업 수행"
  1. 5.10.1. ComplianceSuite 및 ComplianceScan 오브젝트 직접 사용
  2. 5.10.2. 원시 맞춤형 프로필 사용
  3. 5.10.3. 재검사 수행
  4. 5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정
    
    Expand section "5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정" Collapse section "5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정"
    
    5.10.4.1. 사용자 정의 결과 스토리지 값 사용
  5. 5.10.5. 제품군 검사에서 생성된 수정 사항 적용
  6. 5.10.6. 수정 사항 자동 업데이트
11. 5.11. Compliance Operator 문제 해결
  Expand section "5.11. Compliance Operator 문제 해결" Collapse section "5.11. Compliance Operator 문제 해결"
  1. 5.11.1. 검사 구조
    
    Expand section "5.11.1. 검사 구조" Collapse section "5.11.1. 검사 구조"
    
    5.11.1.1. 규정 준수 소스
    
    5.11.1.2. ScanSetting 및 ScanSettingBinding 오브젝트 라이프사이클 및 디버깅
    
    5.11.1.3. ComplianceSuite 사용자 정의 리소스 라이프사이클 및 디버깅
    
    5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅
    
    Expand section "5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅" Collapse section "5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅"
    
    5.11.1.4.1. 보류 단계
    
    5.11.1.4.2. 시작 단계
    
    5.11.1.4.3. 실행 단계
    
    5.11.1.4.4. 집계 단계
    
    5.11.1.4.5. 완료 단계
    
    5.11.1.5. ComplianceRemediation 컨트롤러 라이프사이클 및 디버깅
    
    5.11.1.6. 유용한 레이블
  2. 5.11.2. 지원 요청
12. 5.12. Compliance Operator 설치 제거
  Expand section "5.12. Compliance Operator 설치 제거" Collapse section "5.12. Compliance Operator 설치 제거"
  1. 5.12.1. OpenShift Container Platform에서 OpenShift Compliance Operator 설치 제거
13. 5.13. oc-compliance 플러그인 사용
  Expand section "5.13. oc-compliance 플러그인 사용" Collapse section "5.13. oc-compliance 플러그인 사용"
6. File Integrity Operator
Expand section "6. File Integrity Operator" Collapse section "6. File Integrity Operator"
1. 6.1. File Integrity Operator 릴리스 노트
  Expand section "6.1. File Integrity Operator 릴리스 노트" Collapse section "6.1. File Integrity Operator 릴리스 노트"
  1. 6.1.1. OpenShift File Integrity Operator 0.1.21
    
    Expand section "6.1.1. OpenShift File Integrity Operator 0.1.21" Collapse section "6.1.1. OpenShift File Integrity Operator 0.1.21"
    
    6.1.1.1. 새로운 기능 및 개선 사항
    
    6.1.1.2. 버그 수정
  2. 6.1.2. 추가 리소스
2. 6.2. File Integrity Operator 설치
  Expand section "6.2. File Integrity Operator 설치" Collapse section "6.2. File Integrity Operator 설치"
3. 6.3. File Integrity Operator 이해
  Expand section "6.3. File Integrity Operator 이해" Collapse section "6.3. File Integrity Operator 이해"
  1. 6.3.1. FileIntegrity 사용자 정의 리소스 이해
  2. 6.3.2. FileIntegrity 사용자 정의 리소스 상태 확인
  3. 6.3.3. FileIntegrity 사용자 정의 리소스 단계
  4. 6.3.4. FileIntegrityNodeStatuses 오브젝트 이해
  5. 6.3.5. FileIntegrityNodeStatus CR 상태 유형
    
    Expand section "6.3.5. FileIntegrityNodeStatus CR 상태 유형" Collapse section "6.3.5. FileIntegrityNodeStatus CR 상태 유형"
    
    6.3.5.1. FileIntegrityNodeStatus CR 성공 상태의 예
    
    6.3.5.2. FileIntegrityNodeStatus CR 실패 상태의 예
  6. 6.3.6. 이벤트 이해
4. 6.4. Custom File Integrity Operator 구성
  Expand section "6.4. Custom File Integrity Operator 구성" Collapse section "6.4. Custom File Integrity Operator 구성"
5. 6.5. 고급 Custom File Integrity Operator 작업 수행
  Expand section "6.5. 고급 Custom File Integrity Operator 작업 수행" Collapse section "6.5. 고급 Custom File Integrity Operator 작업 수행"
6. 6.6. File Integrity Operator 문제 해결
  Expand section "6.6. File Integrity Operator 문제 해결" Collapse section "6.6. File Integrity Operator 문제 해결"
7. 감사 로그 보기
Expand section "7. 감사 로그 보기" Collapse section "7. 감사 로그 보기"
8. 감사 로그 정책 구성
Expand section "8. 감사 로그 정책 구성" Collapse section "8. 감사 로그 정책 구성"
1. 8.1. 감사 로그 정책 프로필 정보
2. 8.2. 감사 로그 정책 구성
9. TLS 보안 프로필 설정
Expand section "9. TLS 보안 프로필 설정" Collapse section "9. TLS 보안 프로필 설정"
10. seccomp 프로필 구성
Expand section "10. seccomp 프로필 구성" Collapse section "10. seccomp 프로필 구성"
1. 10.1. 기본 seccomp 프로필 구성
2. 10.2. 사용자 정의 seccomp 프로필 구성
  Expand section "10.2. 사용자 정의 seccomp 프로필 구성" Collapse section "10.2. 사용자 정의 seccomp 프로필 구성"
  1. 10.2.1. 사용자 정의 seccomp 프로필 설정
  2. 10.2.2. 워크로드에 사용자 정의 seccomp 프로필 적용
3. 10.3. 추가 리소스
11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용
Expand section "11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용" Collapse section "11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용"
1. 11.1. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용
12. etcd 데이터 암호화
Expand section "12. etcd 데이터 암호화" Collapse section "12. etcd 데이터 암호화"
13. Pod에서 취약점 스캔
Expand section "13. Pod에서 취약점 스캔" Collapse section "13. Pod에서 취약점 스캔"
1. 13.1. Container Security Operator 실행
2. 13.2. CLI에서 이미지 취약점 쿼리

2.6.4. 외부 스캔 통합

OpenShift Container Platform은 오브젝트 주석을 사용하여 기능을 확장합니다. 취약점 스캐너와 같은 외부 툴에서는 메타데이터로 이미지 오브젝트에 주석을 달아 결과를 요약하고 Pod 실행을 제어할 수 있습니다. 이 섹션에서는 이 주석의 인식된 형식을 설명하므로 유용한 데이터를 사용자에게 표시하기 위해 콘솔에서 안정적으로 사용할 수 있습니다.

2.6.4.1. 이미지 메타데이터

패키지 취약점 및 오픈소스 소프트웨어(OSS) 라이센스 컴플라이언스를 포함하여 다양한 유형의 이미지 품질 데이터가 있습니다. 또한 이 메타데이터를 제공하는 공급자가 둘 이상일 수 있습니다. 이를 위해 다음 주석 형식이 예약되어 있습니다.

quality.images.openshift.io/<qualityType>.<providerId>: {}

표 2.1. 주석 키 형식

구성요소	설명	허용 가능한 값
`qualityType`	메타데이터 유형	`vulnerability` `license` `operations` `policy`
`providerId`	공급자 ID 문자열	`openscap` `redhatcatalog` `redhatinsights` `blackduck` `jfrog`

2.6.4.1.1. 주석 키 예

quality.images.openshift.io/vulnerability.blackduck: {}
quality.images.openshift.io/vulnerability.jfrog: {}
quality.images.openshift.io/license.blackduck: {}
quality.images.openshift.io/vulnerability.openscap: {}

이미지 품질 주석의 값은 다음 형식을 준수해야 하는 구조화된 데이터입니다.

표 2.2. 주석 값 형식

필드	필수 여부	설명	유형
`name`	예	공급자 표시 이름	문자열
`timestamp`	예	스캔 타임스탬프	문자열
`description`	아니요	짧은 설명	문자열
`reference`	예	정보 소스 또는 자세한 내용의 URL. 사용자가 데이터를 검증하려면 필수	문자열
`scannerVersion`	아니요	스캐너 버전	문자열
`compliant`	아니요	컴플라이언스 합격 또는 불합격	부울
`summary`	아니요	발견된 문제 요약	목록(아래 표 참조)

summary 필드는 다음 형식을 준수해야 합니다.

표 2.3. 요약 필드 값 형식

필드	설명	유형
`label`	구성요소의 표시 레이블(예: "심각", "중요", "중간", "낮음" 또는 "상태")	문자열
`data`	이 구성요소의 데이터(예: 발견된 취약점 수 또는 점수)	문자열
`severityIndex`	그래픽 표시의 순서를 지정하고 할당할 수 있는 구성요소 색인입니다. 값은 `0..3` 범위입니다. 여기서 `0` = 낮음입니다.	정수
`reference`	정보 소스 또는 자세한 내용의 URL. 선택 사항입니다.	문자열

2.6.4.1.2. 주석 값 예

이 예에서는 취약성 요약 데이터 및 컴플라이언스 부울이 있는 이미지의 OpenSCAP 주석을 표시합니다.

OpenSCAP 주석

{
  "name": "OpenSCAP",
  "description": "OpenSCAP vulnerability score",
  "timestamp": "2016-09-08T05:04:46Z",
  "reference": "https://www.open-scap.org/930492",
  "compliant": true,
  "scannerVersion": "1.2",
  "summary": [
    { "label": "critical", "data": "4", "severityIndex": 3, "reference": null },
    { "label": "important", "data": "12", "severityIndex": 2, "reference": null },
    { "label": "moderate", "data": "8", "severityIndex": 1, "reference": null },
    { "label": "low", "data": "26", "severityIndex": 0, "reference": null }
  ]
}

이 예에서는 추가 세부 사항의 외부 URL이 있는 상태 인덱스 데이터가 있는 이미지의 Red Hat Ecosystem Catalog의 컨테이너 이미지 섹션 주석을 표시합니다.

Red Hat Ecosystem Catalog 주석

{
  "name": "Red Hat Ecosystem Catalog",
  "description": "Container health index",
  "timestamp": "2016-09-08T05:04:46Z",
  "reference": "https://access.redhat.com/errata/RHBA-2016:1566",
  "compliant": null,
  "scannerVersion": "1.2",
  "summary": [
    { "label": "Health index", "data": "B", "severityIndex": 1, "reference": null }
  ]
}

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

2.6.4. 외부 스캔 통합

2.6.4.1. 이미지 메타데이터

2.6.4.1.1. 주석 키 예

2.6.4.1.2. 주석 값 예