보안 및 컴플라이언스
1. OpenShift Container Platform 보안 및 컴플라이언스
Expand section "1. OpenShift Container Platform 보안 및 컴플라이언스" Collapse section "1. OpenShift Container Platform 보안 및 컴플라이언스"
2. 컨테이너 보안
Expand section "2. 컨테이너 보안" Collapse section "2. 컨테이너 보안"
1. 2.1. 컨테이너 보안 이해
  Expand section "2.1. 컨테이너 보안 이해" Collapse section "2.1. 컨테이너 보안 이해"
  1. 2.1.1. 컨테이너 정의
  2. 2.1.2. OpenShift Container Platform의 정의
2. 2.2. 호스트 및 VM 보안 이해
  Expand section "2.2. 호스트 및 VM 보안 이해" Collapse section "2.2. 호스트 및 VM 보안 이해"
3. 2.3. RHCOS 강화
  Expand section "2.3. RHCOS 강화" Collapse section "2.3. RHCOS 강화"
  1. 2.3.1. RHCOS에서 강화할 대상 선택
  2. 2.3.2. RHCOS 강화 방법 선택
    
    Expand section "2.3.2. RHCOS 강화 방법 선택" Collapse section "2.3.2. RHCOS 강화 방법 선택"
    
    2.3.2.1. 설치 전 강화
    
    2.3.2.2. 설치 중 강화
    
    2.3.2.3. 클러스터가 실행된 후 강화
4. 2.4. 컨테이너 이미지 서명
  Expand section "2.4. 컨테이너 이미지 서명" Collapse section "2.4. 컨테이너 이미지 서명"
5. 2.5. 컴플라이언스 이해
  Expand section "2.5. 컴플라이언스 이해" Collapse section "2.5. 컴플라이언스 이해"
  1. 2.5.1. 컴플라이언스 및 위험 관리 이해
6. 2.6. 컨테이너 콘텐츠 보안
  Expand section "2.6. 컨테이너 콘텐츠 보안" Collapse section "2.6. 컨테이너 콘텐츠 보안"
  1. 2.6.1. 컨테이너 내부 보안
  2. 2.6.2. UBI를 사용하여 재배포 가능한 이미지 생성
  3. 2.6.3. RHEL의 보안 스캔
    
    Expand section "2.6.3. RHEL의 보안 스캔" Collapse section "2.6.3. RHEL의 보안 스캔"
    
    2.6.3.1. OpenShift 이미지 스캔
  4. 2.6.4. 외부 스캔 통합
    
    Expand section "2.6.4. 외부 스캔 통합" Collapse section "2.6.4. 외부 스캔 통합"
    
    2.6.4.1. 이미지 메타데이터
    
    Expand section "2.6.4.1. 이미지 메타데이터" Collapse section "2.6.4.1. 이미지 메타데이터"
    
    2.6.4.1.1. 주석 키 예
    
    2.6.4.1.2. 주석 값 예
    
    2.6.4.2. 이미지 오브젝트에 주석 달기
    
    Expand section "2.6.4.2. 이미지 오브젝트에 주석 달기" Collapse section "2.6.4.2. 이미지 오브젝트에 주석 달기"
    
    2.6.4.2.1. 주석 CLI 명령 예
    
    2.6.4.3. Pod 실행 제어
    
    Expand section "2.6.4.3. Pod 실행 제어" Collapse section "2.6.4.3. Pod 실행 제어"
    
    2.6.4.3.1. 주석 예
    
    2.6.4.4. 통합 참조
    
    Expand section "2.6.4.4. 통합 참조" Collapse section "2.6.4.4. 통합 참조"
    
    2.6.4.4.1. REST API 호출 예
7. 2.7. 안전하게 컨테이너 레지스트리 사용
  Expand section "2.7. 안전하게 컨테이너 레지스트리 사용" Collapse section "2.7. 안전하게 컨테이너 레지스트리 사용"
8. 2.8. 빌드 프로세스 보안
  Expand section "2.8. 빌드 프로세스 보안" Collapse section "2.8. 빌드 프로세스 보안"
9. 2.9. 컨테이너 배포
  Expand section "2.9. 컨테이너 배포" Collapse section "2.9. 컨테이너 배포"
10. 2.10. 컨테이너 플랫폼 보안
  Expand section "2.10. 컨테이너 플랫폼 보안" Collapse section "2.10. 컨테이너 플랫폼 보안"
  1. 2.10.1. 멀티 테넌시로 컨테이너 격리
  2. 2.10.2. 승인 플러그인으로 컨트롤 플레인 보호
    
    Expand section "2.10.2. 승인 플러그인으로 컨트롤 플레인 보호" Collapse section "2.10.2. 승인 플러그인으로 컨트롤 플레인 보호"
    
    2.10.2.1. SCC(보안 컨텍스트 제약 조건)
    
    2.10.2.2. 서비스 계정에 역할 부여
  3. 2.10.3. 인증 및 권한 부여
    
    Expand section "2.10.3. 인증 및 권한 부여" Collapse section "2.10.3. 인증 및 권한 부여"
    
    2.10.3.1. OAuth를 사용하여 액세스 제어
    
    2.10.3.2. API 액세스 제어 및 관리
    
    2.10.3.3. Red Hat Single Sign-On
    
    2.10.3.4. 보안 셀프 서비스 웹 콘솔
  4. 2.10.4. 플랫폼의 인증서 관리
    
    Expand section "2.10.4. 플랫폼의 인증서 관리" Collapse section "2.10.4. 플랫폼의 인증서 관리"
    
    2.10.4.1. 사용자 정의 인증서 구성
11. 2.11. 네트워크 보안
  Expand section "2.11. 네트워크 보안" Collapse section "2.11. 네트워크 보안"
12. 2.12. 연결된 스토리지 보안
  Expand section "2.12. 연결된 스토리지 보안" Collapse section "2.12. 연결된 스토리지 보안"
13. 2.13. 클러스터 이벤트 및 로그 모니터링
  Expand section "2.13. 클러스터 이벤트 및 로그 모니터링" Collapse section "2.13. 클러스터 이벤트 및 로그 모니터링"
3. 인증서 구성
Expand section "3. 인증서 구성" Collapse section "3. 인증서 구성"
1. 3.1. 기본 수신 인증서 교체
  Expand section "3.1. 기본 수신 인증서 교체" Collapse section "3.1. 기본 수신 인증서 교체"
  1. 3.1.1. 기본 수신 인증서 이해
  2. 3.1.2. 기본 수신 인증서 교체
2. 3.2. API 서버 인증서 추가
  Expand section "3.2. API 서버 인증서 추가" Collapse section "3.2. API 서버 인증서 추가"
  1. 3.2.1. certificate이라는 API 서버 추가
3. 3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안
  Expand section "3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안" Collapse section "3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안"
4. 인증서 유형 및 설명
Expand section "4. 인증서 유형 및 설명" Collapse section "4. 인증서 유형 및 설명"
1. 4.1. API 서버의 사용자 제공 인증서
  Expand section "4.1. API 서버의 사용자 제공 인증서" Collapse section "4.1. API 서버의 사용자 제공 인증서"
2. 4.2. 프록시 인증서
  Expand section "4.2. 프록시 인증서" Collapse section "4.2. 프록시 인증서"
3. 4.3. 서비스 CA 인증서
  Expand section "4.3. 서비스 CA 인증서" Collapse section "4.3. 서비스 CA 인증서"
4. 4.4. 노드 인증서
  Expand section "4.4. 노드 인증서" Collapse section "4.4. 노드 인증서"
  1. 4.4.1. 목적
  2. 4.4.2. 관리
5. 4.5. 부트스트랩 인증서
  Expand section "4.5. 부트스트랩 인증서" Collapse section "4.5. 부트스트랩 인증서"
6. 4.6. etcd 인증서
  Expand section "4.6. etcd 인증서" Collapse section "4.6. etcd 인증서"
7. 4.7. OLM 인증서
  Expand section "4.7. OLM 인증서" Collapse section "4.7. OLM 인증서"
  1. 4.7.1. 관리
8. 4.8. 기본 수신을 위한 사용자 제공 인증서
  Expand section "4.8. 기본 수신을 위한 사용자 제공 인증서" Collapse section "4.8. 기본 수신을 위한 사용자 제공 인증서"
9. 4.9. 수신 인증서
  Expand section "4.9. 수신 인증서" Collapse section "4.9. 수신 인증서"
10. 4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서
  Expand section "4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서" Collapse section "4.10. 모니터링 및 OpenShift Logging Operator 구성요소 인증서"
  1. 4.10.1. 만료
  2. 4.10.2. 관리
11. 4.11. 컨트롤 플레인 인증서
  Expand section "4.11. 컨트롤 플레인 인증서" Collapse section "4.11. 컨트롤 플레인 인증서"
  1. 4.11.1. 위치
  2. 4.11.2. 관리
5. Compliance Operator
Expand section "5. Compliance Operator" Collapse section "5. Compliance Operator"
1. 5.1. Compliance Operator 릴리스 정보
  Expand section "5.1. Compliance Operator 릴리스 정보" Collapse section "5.1. Compliance Operator 릴리스 정보"
  1. 5.1.1. OpenShift Compliance Operator 0.1.47
    
    Expand section "5.1.1. OpenShift Compliance Operator 0.1.47" Collapse section "5.1.1. OpenShift Compliance Operator 0.1.47"
    
    5.1.1.1. 새로운 기능 및 개선 사항
    
    5.1.1.2. 버그 수정
  2. 5.1.2. OpenShift Compliance Operator 0.1.44
    
    Expand section "5.1.2. OpenShift Compliance Operator 0.1.44" Collapse section "5.1.2. OpenShift Compliance Operator 0.1.44"
    
    5.1.2.1. 새로운 기능 및 개선 사항
    
    5.1.2.2. 템플릿 및 변수 사용
    
    5.1.2.3. 버그 수정
  3. 5.1.3. Compliance Operator 0.1.39의 릴리스 정보
    
    Expand section "5.1.3. Compliance Operator 0.1.39의 릴리스 정보" Collapse section "5.1.3. Compliance Operator 0.1.39의 릴리스 정보"
    
    5.1.3.1. 새로운 기능 및 개선 사항
  4. 5.1.4. 추가 리소스
2. 5.2. 지원되는 규정 준수 프로필
  Expand section "5.2. 지원되는 규정 준수 프로필" Collapse section "5.2. 지원되는 규정 준수 프로필"
  1. 5.2.1. 규정 준수 프로필
  2. 5.2.2. 추가 리소스
3. 5.3. Compliance Operator 설치
  Expand section "5.3. Compliance Operator 설치" Collapse section "5.3. Compliance Operator 설치"
4. 5.4. Compliance Operator 검사
  Expand section "5.4. Compliance Operator 검사" Collapse section "5.4. Compliance Operator 검사"
  1. 5.4.1. 규정 준수 검사 실행
  2. 5.4.2. 작업자 노드에 결과 서버 Pod 예약
5. 5.5. Compliance Operator 이해
  Expand section "5.5. Compliance Operator 이해" Collapse section "5.5. Compliance Operator 이해"
  1. 5.5.1. Compliance Operator 프로필
6. 5.6. Compliance Operator 관리
  Expand section "5.6. Compliance Operator 관리" Collapse section "5.6. Compliance Operator 관리"
7. 5.7. Compliance Operator 조정
  Expand section "5.7. Compliance Operator 조정" Collapse section "5.7. Compliance Operator 조정"
  1. 5.7.1. 맞춤형 프로필 사용
8. 5.8. Compliance Operator 원시 결과 검색
  Expand section "5.8. Compliance Operator 원시 결과 검색" Collapse section "5.8. Compliance Operator 원시 결과 검색"
  1. 5.8.1. 영구 볼륨에서 Compliance Operator 원시 결과 가져오기
9. 5.9. Compliance Operator 수정 관리
  Expand section "5.9. Compliance Operator 수정 관리" Collapse section "5.9. Compliance Operator 수정 관리"
10. 5.10. 고급 Compliance Operator 작업 수행
  Expand section "5.10. 고급 Compliance Operator 작업 수행" Collapse section "5.10. 고급 Compliance Operator 작업 수행"
  1. 5.10.1. ComplianceSuite 및 ComplianceScan 오브젝트 직접 사용
  2. 5.10.2. 원시 맞춤형 프로필 사용
  3. 5.10.3. 재검사 수행
  4. 5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정
    
    Expand section "5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정" Collapse section "5.10.4. 결과에 대한 사용자 정의 스토리지 크기 설정"
    
    5.10.4.1. 사용자 정의 결과 스토리지 값 사용
  5. 5.10.5. 제품군 검사에서 생성된 수정 사항 적용
  6. 5.10.6. 수정 사항 자동 업데이트
11. 5.11. Compliance Operator 문제 해결
  Expand section "5.11. Compliance Operator 문제 해결" Collapse section "5.11. Compliance Operator 문제 해결"
  1. 5.11.1. 검사 구조
    
    Expand section "5.11.1. 검사 구조" Collapse section "5.11.1. 검사 구조"
    
    5.11.1.1. 규정 준수 소스
    
    5.11.1.2. ScanSetting 및 ScanSettingBinding 오브젝트 라이프사이클 및 디버깅
    
    5.11.1.3. ComplianceSuite 사용자 정의 리소스 라이프사이클 및 디버깅
    
    5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅
    
    Expand section "5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅" Collapse section "5.11.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅"
    
    5.11.1.4.1. 보류 단계
    
    5.11.1.4.2. 시작 단계
    
    5.11.1.4.3. 실행 단계
    
    5.11.1.4.4. 집계 단계
    
    5.11.1.4.5. 완료 단계
    
    5.11.1.5. ComplianceRemediation 컨트롤러 라이프사이클 및 디버깅
    
    5.11.1.6. 유용한 레이블
  2. 5.11.2. 지원 요청
12. 5.12. Compliance Operator 설치 제거
  Expand section "5.12. Compliance Operator 설치 제거" Collapse section "5.12. Compliance Operator 설치 제거"
  1. 5.12.1. OpenShift Container Platform에서 OpenShift Compliance Operator 설치 제거
13. 5.13. oc-compliance 플러그인 사용
  Expand section "5.13. oc-compliance 플러그인 사용" Collapse section "5.13. oc-compliance 플러그인 사용"
6. File Integrity Operator
Expand section "6. File Integrity Operator" Collapse section "6. File Integrity Operator"
1. 6.1. File Integrity Operator 릴리스 노트
  Expand section "6.1. File Integrity Operator 릴리스 노트" Collapse section "6.1. File Integrity Operator 릴리스 노트"
  1. 6.1.1. OpenShift File Integrity Operator 0.1.21
    
    Expand section "6.1.1. OpenShift File Integrity Operator 0.1.21" Collapse section "6.1.1. OpenShift File Integrity Operator 0.1.21"
    
    6.1.1.1. 새로운 기능 및 개선 사항
    
    6.1.1.2. 버그 수정
  2. 6.1.2. 추가 리소스
2. 6.2. File Integrity Operator 설치
  Expand section "6.2. File Integrity Operator 설치" Collapse section "6.2. File Integrity Operator 설치"
3. 6.3. File Integrity Operator 이해
  Expand section "6.3. File Integrity Operator 이해" Collapse section "6.3. File Integrity Operator 이해"
  1. 6.3.1. FileIntegrity 사용자 정의 리소스 이해
  2. 6.3.2. FileIntegrity 사용자 정의 리소스 상태 확인
  3. 6.3.3. FileIntegrity 사용자 정의 리소스 단계
  4. 6.3.4. FileIntegrityNodeStatuses 오브젝트 이해
  5. 6.3.5. FileIntegrityNodeStatus CR 상태 유형
    
    Expand section "6.3.5. FileIntegrityNodeStatus CR 상태 유형" Collapse section "6.3.5. FileIntegrityNodeStatus CR 상태 유형"
    
    6.3.5.1. FileIntegrityNodeStatus CR 성공 상태의 예
    
    6.3.5.2. FileIntegrityNodeStatus CR 실패 상태의 예
  6. 6.3.6. 이벤트 이해
4. 6.4. Custom File Integrity Operator 구성
  Expand section "6.4. Custom File Integrity Operator 구성" Collapse section "6.4. Custom File Integrity Operator 구성"
5. 6.5. 고급 Custom File Integrity Operator 작업 수행
  Expand section "6.5. 고급 Custom File Integrity Operator 작업 수행" Collapse section "6.5. 고급 Custom File Integrity Operator 작업 수행"
6. 6.6. File Integrity Operator 문제 해결
  Expand section "6.6. File Integrity Operator 문제 해결" Collapse section "6.6. File Integrity Operator 문제 해결"
7. 감사 로그 보기
Expand section "7. 감사 로그 보기" Collapse section "7. 감사 로그 보기"
8. 감사 로그 정책 구성
Expand section "8. 감사 로그 정책 구성" Collapse section "8. 감사 로그 정책 구성"
1. 8.1. 감사 로그 정책 프로필 정보
2. 8.2. 감사 로그 정책 구성
9. TLS 보안 프로필 설정
Expand section "9. TLS 보안 프로필 설정" Collapse section "9. TLS 보안 프로필 설정"
10. seccomp 프로필 구성
Expand section "10. seccomp 프로필 구성" Collapse section "10. seccomp 프로필 구성"
1. 10.1. 기본 seccomp 프로필 구성
2. 10.2. 사용자 정의 seccomp 프로필 구성
  Expand section "10.2. 사용자 정의 seccomp 프로필 구성" Collapse section "10.2. 사용자 정의 seccomp 프로필 구성"
  1. 10.2.1. 사용자 정의 seccomp 프로필 설정
  2. 10.2.2. 워크로드에 사용자 정의 seccomp 프로필 적용
3. 10.3. 추가 리소스
11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용
Expand section "11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용" Collapse section "11. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용"
1. 11.1. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용
12. etcd 데이터 암호화
Expand section "12. etcd 데이터 암호화" Collapse section "12. etcd 데이터 암호화"
13. Pod에서 취약점 스캔
Expand section "13. Pod에서 취약점 스캔" Collapse section "13. Pod에서 취약점 스캔"
1. 13.1. Container Security Operator 실행
2. 13.2. CLI에서 이미지 취약점 쿼리

2.6.4.4. 통합 참조

대부분의 경우 취약성 스캐너와 같은 외부 툴은 이미지 업데이트를 감시하고 스캔을 수행하며 결과를 사용하여 관련 이미지 오브젝트에 주석을 추가하는 스크립트 또는 플러그인을 개발합니다. 일반적으로 이 자동화에서는 OpenShift Container Platform 4.8 REST API를 호출하여 주석을 작성합니다. REST API에 관한 일반 정보는 OpenShift Container Platform REST API를 참조하십시오.

2.6.4.4.1. REST API 호출 예

curl을 사용하는 다음 예제 호출은 주석의 값을 덮어씁니다. <token>, <openshift_server>, <image_id> 및 <image_annotation>의 값을 교체하십시오.

API 호출 패치

$ curl -X PATCH \
  -H "Authorization: Bearer <token>" \
  -H "Content-Type: application/merge-patch+json" \
  https://<openshift_server>:8443/oapi/v1/images/<image_id> \
  --data '{ <image_annotation> }'

다음은 PATCH 페이로드 데이터의 예입니다.

호출 데이터 패치

{
"metadata": {
  "annotations": {
    "quality.images.openshift.io/vulnerability.redhatcatalog":
       "{ 'name': 'Red Hat Ecosystem Catalog', 'description': 'Container health index', 'timestamp': '2020-06-01T05:04:46Z', 'compliant': null, 'reference': 'https://access.redhat.com/errata/RHBA-2020:2347', 'summary': [{'label': 'Health index', 'data': '4', 'severityIndex': 1, 'reference': null}] }"
    }
  }
}

추가 리소스

이미지 스트림 오브젝트

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

2.6.4.4. 통합 참조

2.6.4.4.1. REST API 호출 예