- 컨테이너의 보안을 높이는 방법2024년 03월 23일 22시 28분 56초에 업로드 된 글입니다.작성자: 재형이반응형
- 컨테이너는 호스트의 커널을 공유하기 때문에 vm에 비해 보안적으로 좋지 않다. (VM은 완전 격리)
- 그래서 이런 문제점을 보완하고자 나온 솔루션이 gVisor란 것이 있다
https://gvisor.dev/
The Container Security Platform | gVisor
Improve your container security Give your K8s, SaaS, or Serverless infrastructure additional layers of protection when running end-user code, untrusted code, LLM-generated code, or third-party code. Enable strong isolation for sharing resources and deliver
gvisor.dev
- gVisor는 kvm을 사용하는데 커널을 access하는 부분만 가상화한다. 그래서 시스템콜이 들어오면 가상 커널까지 밖에 접근을 하지 못한다 (호스트의 커널 접근불가)
- root 커널 액세스가 필요한 애플리케이션 경우에는 이런 솔루션을 사용하기 힘들다
- 근데 기본적으로 쿠버네티스에서 기본 보안 설정에 커널 액세스를 하려면 권한을 받아야 한다. 근데 이것을 admin이 못하게 policy로 막을 수 있다.
- 보통 쿠버네티스 해킹 경로는 제대로 검증되지 않은 위험한 이미지를 함부로 사용하는 경우에서 발생하게 된다
- 그러니까 아무 컨테이너 이미지나 다운 받아서 사용하지 말자!!!
검증된 이미지 
개인이 만든 검증되지 않은 이미지 - 필터링도 걸 수 있다
반응형'데브옵스 > 쿠버네티스&도커' 카테고리의 다른 글
k8s 프로비저닝 툴 feat.kubeadm, kubespray, kOps, Cluster API (0) 2024.09.09 delete resource 시 terminating에서 stuck 상태 해결 방법 (0) 2024.09.09 AWS EC2 쿠버네티스 환경 구축하기 (0) 2024.09.05 Kubernetes The Hard Way (0) 2024.01.05 컨테이너의 역사와 기술 (0) 2023.12.29 이전글이 없습니다.댓글