7.4. 심각도가 낮은 보안 정책
다음 표에는 심각도가 낮은 Kubernetes용 Red Hat Advanced Cluster Security의 기본 보안 정책이 나열되어 있습니다. 정책은 라이프 사이클 단계에 따라 구성됩니다.
표 7.4. 심각도가 낮은 보안 정책
| 라이프 사이클 단계 | 이름 | 설명 | 상태 |
|---|---|---|---|
| 빌드 또는 배포 | 90일 이미지 기간 | 90일 동안 배포가 업데이트되지 않은 경우 경고합니다. | enabled |
| 빌드 또는 배포 | COPY 대신 사용한 ADD 명령 | 배포에서 ADD 명령을 사용하는 경우 경고 | disabled |
| 빌드 또는 배포 | 이미지의 Alpine Linux Package Manager (apk) | 배포에 Alpine Linux 패키지 관리자(apk)가 포함된 경우 경고합니다. | enabled |
| 빌드 또는 배포 | 이미지의 curl | 배포에 curl이 포함된 경우 경고합니다. | disabled |
| 빌드 또는 배포 | docker CIS 4.1: 컨테이너의 사용자가 생성되었는지 확인 | 컨테이너가 루트가 아닌 사용자로 실행되고 있는지 확인합니다. | enabled |
| 빌드 또는 배포 | docker CIS 4.7: 업데이트 지침의 경고 | Dockerfile에서 업데이트 지침이 단독으로 사용되지 않도록 합니다. | enabled |
| 빌드 또는 배포 | CMD에 비보안 지정된 | 배포에서 명령에서 '비보안'을 사용할 때 경고합니다. | enabled |
| 빌드 또는 배포 | latest 태그 | 배포에 'latest' 태그를 사용하는 이미지가 포함된 경우 경고 | enabled |
| 빌드 또는 배포 | Red Hat Package Manager in Image | 배포에 Red Hat, Fedora 또는 CentOS 패키지 관리 시스템의 구성 요소가 포함된 경고입니다. | enabled |
| 빌드 또는 배포 | 필수 이미지 레이블 | 배포에 지정된 라벨이 없는 이미지가 포함된 경우 경고 | disabled |
| 빌드 또는 배포 | Ubuntu Package Manager in Image | 배포에 이미지의 Debian 또는 Ubuntu 패키지 관리 시스템의 구성 요소가 포함되어 있을 때 경고합니다. | enabled |
| 빌드 또는 배포 | 이미지의 wget | 배포에 wget이 포함된 경우 경고입니다. | disabled |
| 배포 | Orchestrator 시크릿 볼륨 사용 부적절한 사용 | 배포에서 'VOLUME /run/secrets'가 있는 Dockerfile을 사용할 때 경고합니다. | enabled |
| 배포 | Kubernetes 대시보드 배포 | Kubernetes 대시보드 서비스가 탐지될 때 경고합니다. | enabled |
| 배포 | 필수 주석: 이메일 | 배포에 'email' 주석이 누락될 때 경고합니다. | disabled |
| 배포 | 필수 주석: 소유자/팀 | 배포에 'owner' 또는 'team' 주석이 없는 경우 경고합니다. | disabled |
| 배포 | 필수 라벨: 소유자/팀 | 배포에 '소유' 또는 '팀' 라벨이 없는 경우 경고합니다. | disabled |
| 런타임 | Alpine Linux Package Manager Execution | 런타임 시 Alpine Linux 패키지 관리자(apk)가 실행될 때 경고합니다. | enabled |
| 런타임 | chkconfig 실행 | 컨테이너에서 일반적으로 사용되지 않는 ckconfig 서비스 관리자의 사용을 감지합니다. | enabled |
| 런타임 | 컴파일러 도구 실행 | 소프트웨어를 컴파일하는 바이너리 파일이 런타임에 실행될 때 경고합니다. | enabled |
| 런타임 | Red Hat Package Manager 실행 | Red Hat, Fedora 또는 CentOS 패키지 관리자 프로그램이 런타임에 실행될 때의 경고입니다. | enabled |
| 런타임 | 쉘 관리 | 쉘을 추가하거나 제거하기 위해 명령이 실행되는 경우 경고합니다. | disabled |
| 런타임 | systemctl Execution | systemctl 서비스 관리자의 사용을 감지합니다. | enabled |
| 런타임 | systemd 실행 | systemd 서비스 관리자의 사용을 감지합니다. | enabled |