OpenShift- 엔터프라이즈 준비 Kubernetes 슬롯 플랫폼 개발자의 경우 | 메가 슬롯 -Enterprise -Ready Kubernetes 컨테이너 플랫폼 무료 슬롯 사이트 보안 Red Hat Coreos
OpenShift 보안 지수
- 무료 슬롯 사이트 보안
- Red Hat Coreos
- 슬롯 무료체험 보안
보안 지침 정보
슬롯 무료체험/슬롯 무료체험에 가까운
특정 제품 또는 설정이 없습니다 (Abstract)
NIST SP 800-190
"애플리케이션 슬롯 무료체험 보안 안내서"
NIST (Nastional Institute of Standard and Technology)는 상업부의 조직입니다
NIST SP 800-204
"마이크로 서비스 기반 애플리케이션 보안 전략"
NIST SP 800-53
"연방 정보 시스템 및 연방 조직을위한 보안 및 개인 정보 관리"
미국 연방 정부가 사용하는 시스템에 대한 보안 및 개인 정보 관리 표준. 일본은 또한 정부가 도입 한 클라우드 시스템의 관리 표준 중 하나로 채택 할 계획입니다.
특정 제품 별 설정에 대한 안내서
CIS 벤치 마크 [1] Docker / Kubernetes의 경우
CIS에 의해 게시 됨 (인터넷 보안 센터). 공급 업체 제품 및 서비스를 타겟팅하는 25 개 이상의 공급 업체를위한 100 가지가 넘는 모범 사례가 있습니다.
HIPAA (건강 보험 휴대 성 및 책임 법)
의료 정보 개인 정보 보호 및 보안법. 이를 충족시키기위한 데이터 개인 정보 및 보안 요구 사항.
HIPAA (건강 보험 휴대 성 및 책임 법)
의료 정보 개인 정보 보호 및 보안법. 이를 충족시키기위한 데이터 개인 정보 및 보안 요구 사항.
PCI DSS (지불 카드 산업 데이터 보안 표준)
신용 카드 정보를 보호하기 위해 생성 된 신용 카드 시스템의 표준.
시험 기관이 있으며 인증을받을 수 있습니다. 정기 검사도 필요합니다.
참조 : NIST SP 800-190
SP = 특별 출판. 슬롯 무료체험를 사용할 때 보안 고려 사항
(이것은 특정 방법, 도구 등에 대한 가이드가 아닌 일반적인 위험 포인트 및 대책 개념을 의미합니다)
- IPA의 번역도 있습니다
https : //www.ipa.go.jp/files/000085279.pdf
3.1. 이미지 위험
| 3.1.1 | 이미지 취약성 |
|
| 3.1.2 | 중요한 이미지 설정 |
|
| 3.1.3 | 임베디드 맬웨어 |
|
| 3.1.4 | 일반 텍스트의 기밀 정보 |
|
| 3.1.5 | 신뢰할 수없는 이미지 사용 |
|
3.2. 레지스트리 위험
| 3.2.1 | 레지스트리에 대한 불안한 연결 |
|
| 3.2.2 | 레지스트리의 오래된 이미지 |
|
| 3.2.3 | 불충분 한 인증/승인 제한 |
|
3.3. 오케스트레이터 위험
| 3.3.1 | 제한되지 않은 관리자 액세스 |
|
| 3.3.2 | 무단 액세스 |
|
| 3.3.3 | 인터 슬롯 무료체험 네트워크 트래픽의 불충분 한 분리 |
|
| 3.3.4 | 워크로드 민감도 수준의 혼합 |
|
| 3.3.5 | Orchestrator 노드 트러스트 |
|
3.4. 슬롯 무료체험 위험
| 3.4.1 | 슬롯 무료체험 런타임 취약점 |
|
| 3.4.2 | 슬롯 무료체험에서 무제한 네트워크 액세스 |
|
| 3.4.3 | 불안정한 슬롯 무료체험 런타임 구성 |
|
| 3.4.4 | 앱 취약성 |
|
| 3.4.5 | 무단 슬롯 무료체험 |
|
3.5. 호스트 OS 위험
| 3.5.1 | 큰 공격 표면 |
|
| 3.5.2 | 공유 커널 |
|
| 3.5.3 | 호스트 OS 구성 요소 취약성 |
|
| 3.5.4 | 부적절한 사용자 액세스 권한 |
|
| 3.5.5 | 호스트 OS 파일 시스템을 변조 |
|
보안 지침 정보
많은 보안 가이드 라인은 한 항목의 모든 것을 다루어야한다는 의미는 아니지만 통찰력이 있습니다.
- 특정 대책을 가르치지 않습니다.
예 : 호스트 OS에는 큰 공격 표면이 있습니다. - 각 항목은 서로 관련 될 수 있습니다.
- 가이드 라인의 가정은 일반적이며 실제 시스템에는 적용되지 않을 수 있습니다. 그것은 당신에게 알고있는 관점을 제공합니다.
- 어떤 항목을 다루어야합니까? 보안 수준을 높이면 운영 및 시스템 부하가 증가하는 것을 의미하며 비용 간의 균형에는 제한이 없습니다. 실행하는 앱에 따라 적절한 수준도 있습니다.예 : 일반적으로 인터넷의 공개 게시판 시스템에 PCI를 적용 할 필요가 없습니다.
암호화되었으므로 모니터링 할 수 없습니다. 즉, 모든 지점에서 암호화/해독하면 시스템에 과도한 부하가 있습니다.
모든 표지판을 캡처하기 위해 SIEM을 구현하는 경우 많은 양의 로그를 관리하고 분석하기위한 리소스가 필요합니다. - 특정 기능을 지원하는 보안 제품이 있더라도 어느 수준이나 수준과 다릅니다.
- 올바른 장소에서 올바른 수준의 보안을 설계합니다 (합리적인 시간과 이해할 수있는 엔지니어가 결정됩니다).
- 추가 정보
- 컨테이너 관련 보안 표준에는 NIST SP 800-204 "마이크로 서비스 기반 애플리케이션 시스템을위한 보안 전략"도 포함되어 있습니다.
https : //csrc.nist.gov/pubs/800/204/final
컨테이너 환경에서의 보안 (NIST SP 800-190 원근)
- *
- 문구는 NIST SP800-190의 사본이 아니라 발췌 한 계약입니다.
컨테이너/컨테이너 환경에서의 위험 (NIST SP 800-190 원 관점)
OpenShift도 표준이며 보안을 염두에두고 설계/구현되었습니다.
① 이미지 위험
이미지 취약성, 내장 정보가 포함 된 컨테이너, 알 수없는 소스의 이미지Quay 사용, 슬롯 무료체험 보안 연산자 (CSO) 및 Red Hat Ecosystem 카탈로그 기본 이미지
②registry Risk
인증/승인, 지적 재산 손실Docker Registry Project Access Control, Quay Access Control, GEO Replication / Mirroring
③ ③ orchestrator risk
커널 공유, 호스트 OS 구성, 슬롯 무료체험 간의 액세스 분리파일 준수 연산자, Selinux, Security Context Constrain (SCC), OTA의 쉬운 최신 업데이트
④ 슬롯 무료체험 위험
런타임, 네트워크 액세스CRI-O / NetworkPolicy / Namespace (프로젝트)
- *
- NetworkPolicy, 네임 스페이스는 K8S 표준
- NetworkPolicy는 사용 된 CNI 플러그인에 따라 사용할 수 없지만 OpenShift SDN이 지원됩니다
- OpenShift의 프로젝트 (네임 스페이스)에는 사용자가 프로젝트를 작성할 때 기본 "템플릿"을 적용 할 수 있고 기본 네트워크 폴리니를 적용 할 수있는 템플릿 개념이 있습니다.
⑤ 호스트 OS의 위험
와이드 공격 표면Coreos, 기계 구성 연산자, 준수 연산자, OTA (Air Update)
