OpenShift- 엔터프라이즈 준비 Kubernetes 슬롯 플랫폼 개발자의 경우 | 메가 슬롯 -Enterprise -Ready Kubernetes 컨테이너 플랫폼 무료 슬롯 사이트 보안 Red Hat Coreos
OpenShift 보안 지수
불변 운영 체제
OpenShift를 사용한 통합 테스트
Rhel Coreos는 플랫폼과 함께 테스트 및 배송됩니다. Red Hat은 이러한 구성에 대해 수천 개의 테스트를 실행합니다.
OpenShift 클러스터의 일환으로 운영자가 관리
CoreOS는 노드의 OS로 사용되지만 클러스터의 일부로 작동하며 설치 구성 요소의 구성은 시스템 구성 연산자가 관리합니다.
- CRI-O CONFIG
- Kubelet Config
- 공인 레지스트리
- SSH 구성
Red Hat Enterprise Linux/Coreos
일반 목적 OS |
불변 슬롯 게임 용 OS |
|
| 혜택 |
|
|
| 사용시기 | 추가 솔루션과의 사용자 정의 또는 통합이 필요한 경우. | 클라우드 네이티브, 핸즈프리 작동이 최우선 순위 인 경우 |
RHCOS는 OpenShift와 함께 사용하기위한 기본값입니다. Rhel을 사용하는 경우 Rhel 노드를 별도로 관리해야합니다.
슬롯 게임 및 Rhel Coreos
OpenShift에는 CoreOS 및 미들웨어 라이브러리 자격이 포함되어 있으므로 UBI 이미지를 사용하여 OS 레이어에서 미들웨어로 대량 지원을받을 수 있습니다.
- 슬롯 게임 결합에 대한 지원 정보 RHEL 및 노드 버전 :Red Hat Enterprise Linux 슬롯 게임 호환성 매트릭스 -Red Hat 고객 포털
Rhel Coreos의 특징
트랜잭션 업데이트
RHCOS는 이미지로 배포되며 RHCOS 업데이트는 버전화되며 업데이트는 OpenShift 업데이트와 함께 컨테이너로 배포됩니다 (RPM-OSTREE라는 기술 사용).
주요 릴리스 (및 일부 Z- 스트림 릴리스)는 새로운 부팅 이미지를 제공합니다.
불변 관리
RHCOS는 "기계 구성 연산자"에 의해 불변으로 관리됩니다.
다운로드 된 RHCOS 이미지의 경우 시스템 구성 연산자가 필요한 구성 요소를 구성합니다. 모든 구성이 자동화되므로 사후 제공 구성, OS 버전 및 런타임 구성은 항상 일관됩니다. 이를 통해 클러스터는 새 노드를 탄력적으로 생성하고 파괴 할 수 있습니다.
RHCO의 응용 프로그램은 슬롯 게임화되어야합니다
RHCO에 직접 소프트웨어 설치는 지원되지 않습니다.
RHCO에 구성 요소를 직접 설치하는 대신 모든 외부 프로세스를 슬롯 게임로 실행하도록 구축되었습니다. 이를 통해 전통적인 OS의 달성 능력을 넘어서 성공적인 업그레이드 및 자동화를 보장합니다.
로그인
사용자 ID/비밀번호를 사용하여 로그인 할 수 없습니다. 초기 구성에서는 SSH 키를 사용한 로그인 만 허용되지만 SSH 로그인도 비활성화 할 수 있습니다.
RHCO에 직접 로그인하지 않더라도 디버그 컨테이너를 사용하여 컨테이너를 통해 CoreOS 노드에 액세스 할 수 있습니다.
공격 표면 최소화
RHCOS는 슬롯 게임를 실행하기 위해 구성 요소와 관리에 필요한 최소 명령 수를 설치합니다. 슬롯 게임를 실행할 필요가없는 명령은 설치되지 않았습니다. YUM 및 DNF와 같은 명령도 설치되지 않습니다.
이것은 슬롯 게임 전용 OS이므로 슬롯 게임는 슬롯 게임가 실행하는 데 필요한 커널 이외의 라이브러리를 보유한다고 가정합니다.
머신 구성 연산자로 RHCOS 구성
RHCOS 및 안티 바이러스 스캐너
- RHCOS에 바이러스 백신 스캐너를 설치할 수 있습니까?
-
- 안티 바이러스 스캐너와 같은 솔루션은 데몬 세트 또는 슬롯 게임 이미지로 배포 할 수 있습니다. 그러나이 형식으로 소프트웨어를 제공하는 바이러스 백 바이러스 공급 업체는 거의 없습니다.
- RHCOS는 슬롯 게임의 OS이며 라이브러리 등이 슬롯 게임 측면에 의해 유지된다고 가정합니다. 또한 디렉토리 구조는 일반적인 Linux와 다르므로 응용 프로그램이 그대로 실행되지 않을 가능성이 높습니다.
- RHCOS는 "불변"으로 구성되며 다시 시작 또는 업데이트로 인해 정보가 손실 될 수 있습니다. 표준 RHCOS 이미지 이외의 추가 구성 및 소프트웨어 설치는 Machine Config Operator (MCO)가 수행합니다. 그렇기 때문에 작업자 노드 (필수 네트워크 구성 및 기본 노드 기능 설치)가 추가되는 이유가 자동으로 가능합니다.
- 그러나 Crowd Workload Platform에 관한 Gartner의 2019 논문은 "Virus (AV)-중심 전략을"제로 트러스트 "/기본 거부/애플리케이션 제어 접근 방식을 가능할 때마다 워크로드 보호에 대체하는 고객을 권장합니다. [1]
내부 네트워크와 같은 특정 네트워크를 안전하고 네트워크 입력에 대한 보호 조치를 취할뿐만 아니라 모든 네트워크를 신뢰할 수없는 것으로 간주 할 수있을뿐만 아니라 포트와 같은 네트워크 관리뿐만 아니라 개별 서버 (서비스)가 액세스 할 수있는 사용자 및 권한을 엄격하게 제한하는 것이 좋습니다. 반면, 기존 네트워크 관리 방법이 서버별로 서버별로 배포되는 경우 WAF는 서버별로 서버별로 배포되므로 비용이 크게 증가하므로 IAP : IDEREAD AWARE PROX는 사용자와 장치를 인증하기 시작하는 프록시를 통해 서버에 대한 액세스를 제어하는 신원 인식 프록시입니다.
- [1]
- Gartner : 클라우드 워크로드 보호 플랫폼을위한 시장 가이드, ID G00356240, 2019 년 4 월 8 일https : //blog.morphisec.com/client-grade-tech-cloud-workload-protection
보안 방어
클라우드에서의 서비스
- 프록시 커뮤니케이션 및 모니터의 의심스러운 활동. 잘 알려진 목적지에 대한 접근 차단
- DNS 커뮤니케이션의 데이터 전송 쉐이 밍에 대한 방어
- 샌드 박스가 검역소에 제공
- 클라우드 서비스 보안 관리
on-pre-network 장비 유형
- GW 유형
- 프록시 커뮤니케이션 및 모니터의 의심스러운 커뮤니케이션 활동
- 특정 대상에 대한 액세스 취소
에이전트 솔루션
- 적절한 구성 관리
- 시스템 파일에 대한 액세스 제한
- 의심스러운 커뮤니케이션 활동 모니터
- 바이러스 시그니처 매칭
Kubernetes 용 바이러스 백 : Clamav
- Clam Antivirus는 오픈 소스의 바이러스 백신 소프트웨어입니다. 슬롯 게임화 된 버전입니다.
- 각 노드에 대한 DaemonSet으로 배포한다고 가정합니다
Kubernetes 용 바이러스 백 : Kube-AV
- 프로토 타입, 현재 안정적이지 않습니다.
- 2022 년 1 월 29 일 현재 7 개월, 활동이 없습니다.
- 현재 Clamav는 스캔 엔진으로 지원됩니다.
- Virusscan CRD 사양으로 스캔 할 PVC를 지정하십시오. 호스트 경로 스캔도 예로 표시됩니다.
- 주문형 스캔 및 예약 스캔과 호환됩니다.
참조 : Red Hat OpenShift 보안 안내서
OpenShift의 보안 키 개요
목차
- 위험 관리 및 규제 준비
- Red Hat Enterprise Linux Coreos Security
- 슬롯 게임 보안
- Kubernetes 보안
- 식별 및 액세스 관리 보안
- 네트워크 보안
- 감사
- 암호화, 비밀 관리 및 데이터 보호
- 보안 CI/CD
