블로그
온라인 슬롯 | Scsk Co., Ltd. Developer Square 블로그 | 슬롯 커뮤니티 | Scsk Co., Ltd. [SCSK 엔지니어의 블로그] SYSDIG ~ 정책 엔진 에디션 ~
[SCSK 엔지니어의 블로그] SYSDIG ~ 정책 엔진 에디션 ~
SCSK 엔지니어의 블로그!
이것은 4 번째 책임자 인 Kawasugi입니다. Let's start with, it is important to combine multiple solutions according to your requirements to protect the entire system without any problems. 이 기사는 SysDig만으로 만날 수없는 고객 요구 사항을 다루는 방법에 대한 주제에 중점을 둡니다. 곧바로 가자.
"슬롯 나라로 무엇을해야합니까?"
우리는 종종 슬롯 나라 POC를 사용하는 고객으로부터 이러한 질문을받습니다. 모든 솔루션은 원하는 작업 (고객 요구 사항)과 솔루션 사이에 차이가 발생할 수 있습니다. 이러한 경우 다음 솔루션 중 하나가 종종 해결됩니다.
- 슬롯 나라 기능 설계 개념을 이해하고 개념을 기반으로 사용하여 요구 사항을 충족시킬 수 있는지 고려하십시오
- 다른 보안 솔루션이 슬롯 나라 단독으로 달성 할 수없는 요구 사항을 다룰 수 있는지 고려
예를 들어, 다음 문제는 ②에 해당합니다.
예 : 특정 레이블이없는 POD의 배포를 금지하고 싶습니다.
슬롯 나라는 xx 금지와 같은 규칙을 시행하는 기능을 제공하지 않습니다이 경우 다른 조치가 필요합니다 (이러한 요구 사항 중 일부는 자신의 FALCO 규칙을 작성하여 해결할 수 있지만 원래 목적과 다르기 때문에 관리하기가 어렵습니다). 이러한 요구 사항이 Kubernetes (이후 K8S라고도 함) 환경에서 발생하는 경우 정책 엔진이라는 OSS를 구현하는 것이 좋습니다.
정책 엔진은 무엇입니까?
정책 엔진은입학 컨트롤러K8S API에 대한 요청을 제어하는 시스템 유형입니다. Webhooks를 사용하여 K8S API에 요청을 처리하는 데 개입하여 Kubernetes 리소스의 Validate 및 Mutate (추가 또는 삭제 등)를 추가 할 수 있습니다. 특히 Kubernetes Manifest는 사용자가 정의한 규칙을 준수한다는 것을 확인할 수 있습니다.K8S 환경 내에서 보안 규칙을 시행하려는 경우 효과적.특정 설정없이 POD 배포 금지, 화이트리스트 리포지토리 이외의 컨테이너 이미지에서 POD 배포 금지다양한K8S 환경에 대한 보안 규칙 강제할 수 있습니다. 일반적인 정책 엔진 OSS는 다음을 포함합니다.
- Open Policy Agent/GateKeeper (이하 OPA/GateKeeper라고 함)
https : //kubernetes.io/blog/2019/08/06/opa-gatekeeper-policy-and-governance-for-kubernetes/ - Kyverno
https : //kyverno.io/docs/introduction/
그들 각각은 독특한 기능을 제공하지만 앞으로 기회가 있다면 다른 에피소드에서 그것에 대해 이야기 할 것입니다. 이번에는 CNCF가 졸업 한 OSSopa/gatekeeper를 구현하여 우리가 할 수있는 일을 살펴 보겠습니다.
준비
이제 확인을 준비하여 시작하겠습니다.
다음은이 확인을 위해 미리 준비 할 것입니다.
K8S 클러스터
- K8S 환경의 모든 것이 괜찮습니다
- 今回私は OpenShift 環境を利用します。 따라서 환경에 따라 Kubectll 명령으로 교체하고 확인하십시오.
GET GATEKEEPR.YAML
- YAML을 OPA의 공식 Github (아래 URL)에서 게이트 키퍼 배치에 사용할 수 있도록하십시오.
https : //github.com/open-policy-agent/gatekeeper/blob/master/deploy/gatekeeper.yaml - OpenShift 이외의 환경의 경우 아래 URL에 나열된대로 Helm을 설치하는 것이 더 쉽습니다
https : //github.com/open-policy-agent/gatekeeper/blob/master/charts/gatekeeper/readme.md
구현 우선
OPESHIFT 환경에 OPA/게이트 키퍼 배포.
이번에는 내가 확인한 방법을 사용하여 OpenShift 환경에 배포됩니다.
1 단계. GateKeeper.yaml을 미리 배포하십시오.
$ OC apply -f gatekeeper.yaml
2 단계. GateKeeper 배포에서 SecurityContext 설정을 제거하려면 다음 명령을 실행하십시오.
*확인했을 때 다음 명령이 실행되지 않으면 게이트 키퍼 컨테이너가 시작되지 않습니다 (게이트 키퍼에 정의 된 SecurityContext가 사전에 설정 한 OpenShift SCC (Security Context Assaints)가 금지했기 때문입니다)
$ OC 패치 배포/게이트 키퍼 Audit-타입 json-패치 '[ "op": "remove", "path": "/spec/template/spec/containers/0/securitycontext"
$ OC 패치 배포/게이트 키퍼-컨트롤러-관리자-타입 json-patch '[ "op": "remove", "path": "/spec/template/spec/containers/0/securitycontext"
3 단계. 게이트 키퍼 컨테이너를 시작하는지 확인하십시오.
$ OC Get Pods -N GateKeeper -System
구현이 완료되었습니다.
*이것은 팁이지만, "OpenShift-"와 같은 핵심 네임 스페이스에 게이트 키퍼 정책을 적용하지 않으려면 LABE ADCYSINS.gateKeeper.sh/ignore=true를 추가하여 각 네임 스페이스를 활성화/비활성화 할 수 있습니다
리뷰
바로 이동합시다.
그 전에 생성 해야하는 객체가 소개됩니다. 그것은 다음과 같습니다.
제약 테인 플레이트
- K8S 리소스를 평가하는 정책을 정의합니다. 이 개체는 Rego 언어로 작성해야합니다.
제약 조건
- 제한 조건에서 적용되는 리소스 또는 네임 스페이스를 정의합니다.
Rego 언어는 제한 조건을 만들어야한다고 말했지만 일부 사람들은 그들이 알지 못하는 언어의 갑작스런 외관에 의해 혼란 스러울 수 있으므로 이번에는 채팅 GPT에게 제한가를 만들도록 요청합니다. 나는 Rego Language에 대해 잘 알고 있지 않으므로 매일 Generation AI에 의존했습니다. 편리한 세상이되었습니다. 부수적 노트. 그래서 시도해 봅시다.
먼저, 채팅 gpt에게 매니페스트를 만들도록 요청합니다.
이 데모에서는 컨테이너 임대 등에 대한 액세스를 제한하는 데 사용할 수있는 기능이없는 기능이없는 Apparmor라는 포드 배치를 금지하는 K8S 환경에서 규칙을 강요 할 것입니다.
AppArmor에 관심이 있으시면 아래 URL을 참조하십시오.
https : //kubernetes.io/ja/docs/tutorials/clusters/apparmor/
결과적으로 아래와 같이 Yaml을 만들도록 요청 받았습니다.
제약 조건-template.yaml
APIVERION : Templates.gateKeeper.sh/v1beta1
방금 요청한 질문에 대한 답변에서 Chatgpt는 또한 제약을 만들었으므로 제약을 만들었습니다.
제약 조건 .yaml
APIVERSION : SURMAINTS.gateKeeper.sh/v1beta1
지금 배포를 시작합시다.
먼저 Yaml 배포부터 시작하십시오.
$ OC Apply -f SystraintTemplate.templates.gatekeeper.sh/k8sdenypodswithlabel 생성
$ OC Apply -f 제약 조건 .yaml
채팅 GPT가 만든 YAML을 사용하여 아무런 문제없이 배포 할 수있었습니다.
객체가 생성되면 구현해 보겠습니다.
적절한 포드를 배포하십시오.
$ oc run nginx --Image = nginx
세트로, AppArmor 주석이 없기 때문에 배포 할 수 없습니다.
Last
어떻게 생각하십니까? 이번에는 OPA/게이트 키퍼를 소개했습니다. 사용자 정의 규칙은 K8S 환경의 리소스 및 객체에 대해 시행 될 수 있으므로 규정 준수가 예상 될 수 있습니다. 정책 엔진과 SysDig를 결합하면보다 안전한 K8S 환경을 만들 수 있으므로 관심이 있으시면 사용해보십시오. 모니터링 및 보안에 관한 문의는이 웹 사이트의 문의 양식을 사용하십시오.
... 제쳐두고 OSS와 채팅 GPT가 함께 잘 진행됩니다!
다른 날을 위해 뵙겠습니다!
담당자 소개
- 담당자의 이름
- Kawasugi
- 댓글
- 저는 주로 슬롯 나라에서 약 3 년 동안 컨테이너와 Kubernetes 필드에서 일하고 있습니다. 우리는 또한 컨테이너 기술에 대한 회사 내에서 인식을 높이는 것을 적극적으로 홍보하고 있습니다.
- 품질 유지
- Certified Kubernetes 관리자
Certified Kubernetes 보안 전문가
SCSK 엔지니어 블로그
![[슬롯 나라 나라 Engineer Blog] 생성 된 AI를 사용한 과잉 검색 방지 효율! Sysdig Sage의 능력 검증](/sp/sysdig/blog/upload2/20250620.jpg)
[SCSK 엔지니어 블로그] 생성 된 AI를 사용한 과잉 검색 방지 효율! Sysdig Sage의 능력 검증
![[슬롯 나라 나라 엔지니어의 블로그] SysDig가 지금 선택되는 이유는 무엇입니까? 비디오에서 설명했습니다! Cloud Native Security의 최전선 -슬롯 나라 나라의 일본 공동 지원 지원이 안전하게 소개됩니다](/sp/sysdig/blog/upload2/20250510-1.jpg)
[SCSK 엔지니어의 블로그] SysDig가 지금 선택되는 이유는 무엇입니까? 비디오에서 설명했습니다! Cloud Native Security의 최전선 -SCSK의 일본 공동 지원 지원이 안전하게 소개됩니다
![[슬롯 나라 나라 엔지니어의 블로그] Serverless Agent는 이제 Azure Container Apps를 지원합니다](/sp/sysdig/blog/upload2/20250423logo.jpg)
[SCSK 엔지니어의 블로그] Serverless Agent는 이제 Azure Container Apps를 지원합니다
![[슬롯 나라 나라 엔지니어의 블로그] 시스템 호출 분석에서 생성 된 AI를 활용](/sp/sysdig/blog/upload2/20250410.jpg)
[SCSK 엔지니어의 블로그] 시스템 호출 분석에서 생성 된 AI를 활용
![[슬롯 나라 나라 엔지니어의 블로그] SYSDIG 정보 업데이트 -S3 옵션 AWS 통합에 추가 -](/sp/sysdig/blog/upload2/20250326.jpg)
[SCSK 엔지니어의 블로그] SYSDIG 정보 업데이트 -S3 옵션 AWS 통합에 추가 -
![[슬롯 나라 나라 엔지니어의 블로그] Falco 초보자 코스 - 예외 판](/sp/sysdig/blog/upload2/falco.jpg)
[SCSK 엔지니어의 블로그] Falco 초보자 코스 - 예외 판
[SCSK 엔지니어의 블로그] Falco 초보자 코스 - 목록/매크로 에디션
![[슬롯 나라 나라 엔지니어의 블로그] SYSDIG 모니터가있는 컨테이너의 전력 소비 모니터](/sp/sysdig/blog/upload2/20250206-9.jpg)
[SCSK 엔지니어의 블로그] SysDig 모니터로 컨테이너의 전력 소비를 모니터링합니다
![[슬롯 나라 나라 엔지니어의 블로그] FALCO는 SysDig 위협을 감지하는 유일한 곳이 아닙니다. -Contianer Drift Edition ~](/sp/sysdig/blog/upload2/ec261240b88ab6fb9a005ffc5cfef7dc0dfd5982.jpg)
[SCSK 엔지니어의 블로그] Falco는 SysDig 위협을 감지하는 유일한 장소는 아닙니다. -Contianer Drift Edition ~
[SCSK 엔지니어의 블로그] ~ FALCO 초보자에게 보내기 ~ Sysdig Sage ②
[SCSK 엔지니어의 블로그] ~ Falco 초보자에게 보내기 ~ Sysdig Sage ①
![[슬롯 나라 나라 엔지니어의 블로그] TerraForm (Monitor Edition)을 사용하여 SysDig 설정 관리를 시도했습니다.](/sp/sysdig/blog/upload2/20240821-4.jpg)
[SCSK 엔지니어의 블로그] TerraForm (Monitor Edition)을 사용하여 SysDig 설정 관리를 시도했습니다.
[SCSK 엔지니어의 블로그] Falco 초보자 코스 - 조건 에디션
![[슬롯 나라 나라 엔지니어의 블로그] SysDig Sage를 사용해 보았습니다](/sp/sysdig/blog/upload2/20230726.jpg)
[SCSK 엔지니어의 블로그] SysDig Sage를 사용해 보았습니다
![[슬롯 나라 나라 엔지니어의 블로그] SysDig ~ 정책 엔진 에디션 2 ~](/sp/sysdig/blog/upload2/20240531-0.jpg)
[SCSK 엔지니어의 블로그] SYSDIG ~ 정책 엔진 에디션 2 ~
![[슬롯 나라 나라 엔지니어의 블로그] SYSDIG 사용 ~ IP allowList Edition ~](/sp/sysdig/blog/upload2/20240917.jpg)
[SCSK 엔지니어의 블로그] SYSDIG SECURELY ~ IP allowList Edition ~
![[슬롯 나라 나라 엔지니어의 블로그] Node Expler를 SysDig Monitor에 연결하려고 시도했습니다](/sp/sysdig/blog/upload2/20240906-eye.jpg)
[SCSK 엔지니어의 블로그] 노드 수출기를 SysDig Monitor에 연결하려고 시도했습니다
[SCSK 엔지니어의 블로그] TerraForm으로 SysDig 설정 관리를 시도했습니다
![[슬롯 나라 나라 엔지니어의 블로그] CNAPP 및 SYSDIG 커버리지 이해](/sp/sysdig/blog/upload2/20240806.jpg)
[SCSK 엔지니어의 블로그] CNAPP 및 SYSDIG 커버리지 이해
![[슬롯 나라 나라 엔지니어의 블로그] FALCO는 SysDig 위협을 감지 할 수있는 유일한 장소는 아닙니다. -Malware Detection Edition ~](/sp/sysdig/blog/upload2/20240716.jpg)
[SCSK 엔지니어의 블로그] FALCO는 SysDig 위협을 감지 할 수있는 유일한 장소는 아닙니다. -Malware Detection Edition]
![[슬롯 나라 나라 엔지니어의 블로그] SYSDIG 라이센스 시스템](/sp/sysdig/blog/upload2/20240628-3.jpg)
[SCSK 엔지니어의 블로그] SYSDIG 라이센스 시스템
![[슬롯 나라 나라 엔지니어의 블로그] SysDig와 Microsoft Entra ID 간의 SAML 인증 설정 시도](/sp/sysdig/blog/upload2/Firefly_7302399d-d0f0-4490-83a0-b12ee4236ef0.jpg)
[SCSK 엔지니어의 블로그] SysDig와 Microsoft Entra ID 간의 SAML 인증 설정 시도
[SCSK 엔지니어의 블로그] SYSDIG ~ 정책 엔진 에디션 ~
![[슬롯 나라 나라 엔지니어의 블로그] Falco는 SysDig 위협을 감지 할 수있는 유일한 곳이 아닙니다 ~ AWS 로그인 어세 션 edition ~](/sp/sysdig/blog/upload2/910cec47b9f36db39d722359cc69d724a96003d4.jpg)
[SCSK 엔지니어의 블로그] FALCO는 SysDig 위협을 감지 할 수있는 유일한 장소는 아닙니다.
![[슬롯 나라 나라 엔지니어의 블로그] SysDig Secure의 위험 기능을 시도했습니다](/sp/sysdig/blog/upload2/risks.jpg)
[SCSK 엔지니어의 블로그] SysDig Secure의 위험 기능을 시도했습니다
![[슬롯 나라 나라 엔지니어의 블로그] SysDig의 방어 기능, 킬 프로세스](/sp/sysdig/blog/upload2/sysdig_engineer_blog_759214902.png)