Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

5.2. Compliance Operator 릴리스 정보

OpenShift Container Platform 관리자는 Compliance Operator를 통해 클러스터의 필수 규정 준수 상태를 설명하고 격차에 대한 개요와 문제를 해결하는 방법을 제공할 수 있습니다.

이 릴리스 노트는 OpenShift Container Platform의 Compliance Operator 개발을 추적합니다.

규정 준수 운영자에 대한 개요는 규정 준수 운영자 이해를 참조하세요.

최신 릴리스에 액세스하려면 규정 준수 운영자 업데이트를 참조하세요.

모든 Red Hat 제품의 규정 준수 지원에 대한 자세한 내용은 제품 규정 준수를 참조하세요.

5.2.1. OpenShift Compliance Operator 1.7.1
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 1.7.1에 대해 제공됩니다.

5.2.1.1. 버그 수정
링크 복사

  • 이전에는 메모리 부족(OOMKilled)으로 인해 Compliance Operator의 일시 중지 컨테이너가 종료될 수 있었습니다. 이 업데이트를 통해 오류를 방지하고 전반적인 안정성을 향상시키기 위해 일시 중지 컨테이너의 메모리 한도가 늘어났습니다. ( OCPBUGS-50924 )

5.2.2. OpenShift Compliance Operator 1.7.0
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 1.7.0에 대해 제공됩니다.

5.2.2.1. 새로운 기능 및 개선 사항
링크 복사

  • aarch64 , x86 , ppc64les390x 아키텍처에 설치된 Compliance Operator에 대한 필수 수집 확장 기능이 이제 제공됩니다. 필수 수집 도구는 Red Hat 고객 지원 및 엔지니어링에 중요한 구성 세부 정보를 제공합니다. 자세한 내용은 Compliance Operator를 위한 must-gather 도구 사용을 참조하세요.
  • CIS 벤치마크 지원이 Compliance Operator 1.7.0에 추가되었습니다. 지원되는 프로필은 CIS OpenShift Benchmark 1.7.0입니다. 자세한 내용은 ( CMP-3081 )을 참조하세요.
  • Compliance Operator는 이제 CIS OpenShift Benchmark 1.7.0 및 FedRAMP Moderate Revision 4의 aarch64 아키텍처에서 지원됩니다. 자세한 내용은 ( CMP-2960 )을 참조하세요.
  • Compliance Operator 1.7.0은 이제 OpenShift 및 RHCOS에 대한 OpenShift DISA STIG V2R2 프로필을 지원합니다. 자세한 내용은 ( CMP-3142 )를 참조하세요.
  • Compliance Operator 1.7.0은 이제 CIS 1.4 프로필, CIS 1.5 프로필, DISA STIG V1R1 프로필, DISA STIG V2R1 프로필 등 오래되고 지원되지 않는 프로필 버전의 지원 중단을 지원합니다. 자세한 내용은 ( CMP-3149 )를 참조하세요.
  • 이번 Compliance Operator 1.7.0 릴리스에서는 기존 CIS 및 DISA STIG 프로필이 더 이상 지원되지 않으므로, Compliance Operator 1.8.0이 출시되면 이러한 기존 프로필은 더 이상 지원되지 않습니다. 자세한 내용은 ( CMP-3284 )를 참조하세요.
  • 이번 Compliance Operator 1.7.0 릴리스에서는 OpenShift에 대한 BSI 프로필 지원이 추가되었습니다. 자세한 내용은 KCS 문서 BSI Quick CheckBSI 규정 준수 요약을 참조하세요.

5.2.2.2. 버그 수정
링크 복사

  • 이 릴리스 이전에는 Compliance Operator가 s390x 아키텍처의 파일 시스템 구조 차이로 인해 불필요한 수정 권장 사항을 제공했습니다. 이번 릴리스를 통해 Compliance Operator는 이제 파일 시스템 구조의 차이점을 인식하고 오해의 소지가 있는 수정 조치를 제공하지 않습니다. 이 업데이트를 통해 규칙이 더 명확하게 정의되었습니다. ( OCPBUGS-33194 )
  • 이전에는 ocp4-etcd-unique-ca 규칙에 대한 지침이 OpenShift 4.17 이상에서는 작동하지 않았습니다. 이 업데이트를 통해 지침과 실행 가능한 단계가 수정되었습니다. (OCPBUGS-42350)
  • Cluster Logging Operator(CLO) 버전 6.0과 함께 Compliance Operator를 사용할 때 다양한 규칙이 실패했습니다. 이는 CLO가 사용하는 CRD의 이전 버전과의 호환되지 않는 변경 사항으로 인해 발생합니다. 규정 준수 운영자는 이러한 CRD를 사용하여 로깅 기능을 검증합니다. CRD는 CLO를 통해 PCI-DSS 프로필을 지원하도록 수정되었습니다. (OCPBUGS-43229)
  • Cluster Logging Operator(CLO) 6.0을 설치한 후, 사용자는 clusterlogforwarder 리소스의 API 버전이 변경되어 ComplianceCheckResult ocp4-cis-audit-log-forwarding-enabled가 실패하는 것을 발견했습니다. 로그 수집 및 전달 구성은 이제 observability.openshift.io API 그룹의 일부인 새로운 API에서 지정됩니다. ( OCPBUGS-43585 )
  • 이전 버전의 Compliance Operator에서는 스캔을 수행하면 Operator 포드의 조정 루프에 대한 오류 로그가 생성되었습니다. 이번 릴리스에서는 Compliance Operator 컨트롤러 로직이 더욱 안정되었습니다. (OCPBUGS-51267)
  • 이전에는 file-integrity-exists 또는 file-integrity-notification-enabled 규칙이 aarch64 OpenShift 클러스터에서 실패했습니다. 이 업데이트를 적용하면 이러한 규칙은 aarch64 시스템에서 적용되지 않는 것으로 평가됩니다. ( OCPBUGS-52884 )
  • 이 Compliance Operator 릴리스 이전에는 규칙 kubelet-configure-tls-cipher-suites가 API 서버 암호에 대해 실패하여 E2E-FAILURE 상태가 발생했습니다. 이 규칙은 OpenShift 4.18에 포함된 RFC 8446의 새로운 암호를 확인하도록 업데이트되었습니다. 이제 규칙이 올바르게 평가되고 있습니다. ( OCPBUGS-54212 )
  • 이전에는 Compliance Operator 플랫폼 검사가 실패하고 Ignition 구성 구문 분석에 실패했다는 메시지가 생성되었습니다. 이번 릴리스를 통해, 해당 버전의 OpenShift가 고객에게 제공되면 4.19 클러스터에서 Compliance Operator를 안전하게 실행할 수 있습니다. ( OCPBUGS-54403 )
  • 이번 Compliance Operator 출시 이전에는 여러 규칙이 플랫폼을 인식하지 못해 불필요한 오류가 발생했습니다. 이제 규칙이 다른 아키텍처로 제대로 이식되었으므로 해당 규칙은 올바르게 실행되고 사용자는 사용하는 아키텍처에 따라 일부 규정 준수 검사 결과에서 NOT-APPLICABLE이 적절히 보고되는 것을 볼 수 있습니다. ( OCPBUGS-53041 )
  • 이전에는 file-groupowner-ovs-conf-db-hugetlbf 규칙이 예기치 않게 실패했습니다. 이 릴리스에서는 이것이 필요한 결과일 때만 규칙이 실패합니다. ( OCPBUGS-55190 )

5.2.3. OpenShift Compliance Operator 1.6.2
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 1.6.2에 대해 제공됩니다.

CVE-2024-45338은 Compliance Operator 1.6.2 릴리스에서 해결되었습니다. (CVE-2024-45338)

5.2.4. OpenShift Compliance Operator 1.6.1
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 1.6.1에 대해 제공됩니다.

이 업데이트에는 기본 이미지의 업그레이드된 종속성이 포함되어 있습니다.

5.2.5. OpenShift Compliance Operator 1.6.0
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 1.6.0에 대해 제공됩니다.

5.2.5.1. 새로운 기능 및 개선 사항
링크 복사

  • 이제 Compliance Operator에 PCI-DSS(Payment Card Industry Data Security Standard) 버전 4를 지원하는 프로필이 포함되었습니다. 자세한 내용은 지원되는 규정 준수 프로필을 참조하세요.
  • 이제 Compliance Operator에는 Defense Information Systems Agency Security Technical Implementation Guide(DISA STIG) V2R1에 대한 지원 프로필이 포함되어 있습니다. 자세한 내용은 지원되는 규정 준수 프로필을 참조하세요.
  • x86 , ppc64le , s390x 아키텍처에 설치된 Compliance Operator에 대한 필수 확장 기능이 이제 제공됩니다. 필수 수집 도구는 Red Hat 고객 지원 및 엔지니어링에 중요한 구성 세부 정보를 제공합니다. 자세한 내용은 Compliance Operator를 위한 must-gather 도구 사용을 참조하세요.

5.2.5.2. 버그 수정
링크 복사

  • 이번 릴리스 이전에는 ocp4-route-ip-whitelist 규칙에 오해의 소지가 있는 설명이 포함되어 있어 오해가 발생하고, 이로 인해 잘못된 구성이 발생할 가능성이 있었습니다. 이 업데이트를 통해 규칙이 더 명확하게 정의되었습니다. (CMP-2485)
  • 이전에는 DONE 상태의 ComplianceScan 에 대한 모든 ComplianceCheckResults 보고가 불완전했습니다. 이 업데이트를 통해 DONE 상태의 ComplianceScan 에 대한 총 ComplianceCheckResults 수를 보고하는 주석이 추가되었습니다. (CMP-2615)
  • 이전에는 ocp4-cis-scc-limit-container-allowed-capabilities 규칙 설명에 모호한 지침이 포함되어 있어 사용자 사이에 혼란을 야기했습니다. 이 업데이트를 통해 규칙 설명과 실행 가능한 단계가 명확해졌습니다. ( OCPBUGS-17828 )
  • 이 업데이트 이전에는 sysctl 구성으로 인해 RHCOS4 규칙에 대한 특정 자동 수정이 영향을 받는 클러스터에서 검사에 실패했습니다. 이 업데이트를 통해 올바른 sysctl 설정이 적용되고 FedRAMP High 프로필에 대한 RHCOS4 규칙이 검사를 올바르게 통과합니다. (OCPBUGS-19690)
  • 이 업데이트 이전에는 jq 필터 문제로 인해 규정 준수 검사 중에 rhacs-operator-controller-manager 배포에 오류가 발생했습니다. 이 업데이트를 통해 jq 필터 표현식이 업데이트되고 rhacs-operator-controller-manager 배포가 컨테이너 리소스 제한과 관련된 규정 준수 검사에서 제외되어 거짓 양성 결과가 제거되었습니다. (OCPBUGS-19690)
  • 이 업데이트 이전에는 rhcos4-highrhcos4-moderate 프로필이 잘못된 제목이 지정된 구성 파일의 값을 확인했습니다. 결과적으로 일부 스캔 검사가 실패할 수 있습니다. 이 업데이트를 통해 rhcos4 프로필이 이제 올바른 구성 파일을 확인하고 검사가 올바르게 통과됩니다. (OCPBUGS-31674)
  • 이전에는 oauthclient-inactivity-timeout 규칙에 사용된 accessokenInactivityTimeoutSeconds 변수가 변경 불가능했기 때문에 DISA STIG 스캔을 수행할 때 FAIL 상태가 발생했습니다. 이 업데이트를 통해 accessTokenInactivityTimeoutSeconds 변수의 적절한 적용이 제대로 작동하고 이제 PASS 상태가 가능해졌습니다. ( OCPBUGS-32551 )
  • 이번 업데이트 이전에는 규칙에 대한 일부 주석이 업데이트되지 않아 잘못된 제어 기준이 표시되었습니다. 이 업데이트를 통해 규칙에 대한 주석이 올바르게 업데이트되어 올바른 제어 기준이 표시됩니다. (OCPBUGS-34982)
  • 이전에는 Compliance Operator 1.5.1로 업그레이드할 때 ServiceMonitor 구성에서 잘못 참조된 비밀로 인해 Prometheus Operator와의 통합 문제가 발생했습니다. 이 업데이트를 사용하면 규정 준수 운영자가 ServiceMonitor 메트릭에 대한 토큰이 포함된 비밀을 정확하게 참조할 수 있습니다. ( OCPBUGS-39417 )

5.2.6. OpenShift Compliance Operator 1.5.1
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 1.5.1에 대해 제공됩니다.

5.2.7. OpenShift Compliance Operator 1.5.0
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 1.5.0에 대해 제공됩니다.

5.2.7.1. 새로운 기능 및 개선 사항
링크 복사

  • 이 업데이트를 통해 규정 준수 운영자는 프로그래밍 방식으로 더 쉽게 사용할 수 있도록 고유한 프로필 ID를 제공합니다. (CMP-2450)
  • 이 릴리스를 통해 Compliance Operator가 ROSA HCP 환경에서 테스트되고 지원됩니다. 규정 준수 운영자는 ROSA HCP에서 실행할 때 노드 프로필만 로드합니다. 이는 Red Hat 관리 플랫폼이 제어 평면에 대한 액세스를 제한하기 때문에 플랫폼 프로필이 운영자의 기능과 관련이 없기 때문입니다.( CMP-2581 )

5.2.7.2. 버그 수정
링크 복사

  • CVE-2024-2961은 Compliance Operator 1.5.0 릴리스에서 해결되었습니다. (CVE-2024-2961)
  • 이전에는 ROSA HCP 시스템의 프로필 목록이 정확하지 않았습니다. 이 업데이트를 통해 규정 준수 담당자는 올바른 프로필 출력을 제공할 수 있습니다. (OCPBUGS-34535)
  • 이 릴리스에서는 맞춤형 프로필에서 ocp4-var-network-policies-namespaces-exempt-regex 변수를 설정하여 네임스페이스를 ocp4-configure-network-policies-namespaces 검사에서 제외할 수 있습니다. (CMP-2543)

5.2.8. OpenShift Compliance Operator 1.4.1
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 1.4.1에 대해 제공됩니다.

5.2.8.1. 새로운 기능 및 개선 사항
링크 복사

  • 이번 릴리스부터 Compliance Operator는 이제 CIS OpenShift 1.5.0 프로필 규칙을 제공합니다. (CMP-2447)
  • 이 업데이트를 통해 이제 규정 준수 운영자는 OCP4 STIG IDSRG 에 프로필 규칙을 제공합니다. (CMP-2401)
  • 이 업데이트를 통해 s390x 에 적용되던 오래된 규칙이 제거되었습니다. (CMP-2471)

5.2.8.2. 버그 수정
링크 복사

  • 이전에는 Red Hat Enterprise Linux(RHEL) 9를 사용하는 Red Hat Enterprise Linux CoreOS(RHCOS) 시스템의 경우 ocp4-kubelet-enable-protect-kernel-sysctl-file-exist 규칙을 적용하지 못했습니다. 이 업데이트는 해당 규칙을 ocp4-kubelet-enable-protect-kernel-sysctl 로 대체합니다. 이제 자동 수정이 적용되면 RHEL 9 기반 RHCOS 시스템은 이 규칙을 적용하면 PASS를 표시합니다. (OCPBUGS-13589)
  • 이전에는 rhcos4-e8 프로필을 사용하여 규정 준수 조치를 적용한 후 SSH를 사용하여 코어 사용자 계정에 더 이상 노드에 액세스할 수 없었습니다. 이 업데이트를 사용하면 `sshkey1` 옵션을 사용하여 SSH를 통해 노드에 계속 액세스할 수 있습니다. (OCPBUGS-18331)
  • 이전에는 STIG 프로필에 OpenShift Container Platform에 대한 게시된 STIG의 요구 사항을 충족하는 CaC 규칙이 누락되었습니다. 이 업데이트를 적용하면 클러스터는 Compliance Operator를 사용하여 수정할 수 있는 STIG 요구 사항을 충족합니다. (OCPBUGS-26193)
  • 이전에는 여러 제품에 대해 서로 다른 유형의 프로필을 사용하여 ScanSettingBinding 객체를 생성하면 바인딩에서 여러 제품 유형에 대한 제한을 우회할 수 있었습니다. 이 업데이트를 통해 이제 ScanSettingBinding 개체의 프로필 유형에 관계없이 여러 제품에 대한 제품 검증이 허용됩니다. (OCPBUGS-26229)
  • 이전에는 rhcos4-service-debug-shell-disabled 규칙을 실행하면 자동 수정이 적용된 후에도 실패 로 표시되었습니다. 이 업데이트를 사용하면 자동 수정이 적용된 후 rhcos4-service-debug-shell-disabled 규칙을 실행하면 이제 PASS가 표시됩니다. (OCPBUGS-28242)
  • 이 업데이트를 통해 rhcos4-banner-etc-issue 규칙 사용에 대한 지침이 향상되어 더 자세한 내용을 제공합니다. (OCPBUGS-28797)
  • 이전에는 api_server_api_priority_flowschema_catch_all 규칙이 OpenShift Container Platform 4.16 클러스터에서 FAIL 상태를 제공했습니다. 이 업데이트를 통해 api_server_api_priority_flowschema_catch_all 규칙은 OpenShift Container Platform 4.16 클러스터에서 PASS 상태를 제공합니다. (OCPBUGS-28918)
  • 이전에는 ScanSettingBinding (SSB) 개체에 표시된 완료된 스캔에서 프로필이 제거되었을 때 Compliance Operator가 이전 스캔을 제거하지 않았습니다. 이후 삭제된 프로필을 사용하여 새로운 SSB를 실행했을 때, 규정 준수 운영자가 결과를 업데이트하지 못했습니다. 이번 Compliance Operator 릴리스를 통해 새로운 SSB에 새로운 규정 준수 검사 결과가 표시됩니다. (OCPBUGS-29272)
  • 이전에는 ppc64le 아키텍처에서는 메트릭 서비스가 생성되지 않았습니다. 이 업데이트를 사용하면 ppc64le 아키텍처에 Compliance Operator v1.4.1을 배포할 때 메트릭 서비스가 올바르게 생성됩니다. (OCPBUGS-32797)
  • 이전에는 HyperShift 호스팅 클러스터에서 ocp4-pci-dss 프로필을 사용한 스캔은 필터가 반복할 수 없는 문제로 인해 복구할 수 없는 오류가 발생했습니다. 이번 릴리스에서는 ocp4-pci-dss 프로파일에 대한 검사가 완료된 상태에 도달하고 규정 준수 또는 비준수 테스트 결과를 반환합니다. (OCPBUGS-33067)

5.2.9. OpenShift Compliance Operator 1.4.0
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 1.4.0에 대해 제공됩니다.

5.2.9.1. 새로운 기능 및 개선 사항
링크 복사

  • 이 업데이트를 통해 기본 작업자마스터 노드 풀 외부의 사용자 지정 노드 풀을 사용하는 클러스터는 더 이상 해당 노드 풀에 대한 구성 파일을 준수 운영자가 집계하도록 보장하기 위해 추가 변수를 제공할 필요가 없습니다.
  • 이제 사용자는 ScanSetting.suspend 속성을 True 로 설정하여 검사 일정을 일시 중지할 수 있습니다. 이를 통해 사용자는 ScanSettingBinding을 삭제하고 다시 만들지 않고도 검사 일정을 일시 중단하고 다시 활성화할 수 있습니다. 이를 통해 유지 관리 기간 동안 스캔 일정을 일시 중지하는 작업이 간소화됩니다. (CMP-2123)
  • 이제 Compliance Operator는 Profile 사용자 정의 리소스에 대한 선택적 버전 속성을 지원합니다. (CMP-2125)
  • 이제 Compliance Operator가 ComplianceRules 에서 프로필 이름을 지원합니다. (CMP-2126)
  • 이번 릴리스에서는 개선된 cronjob API 개선을 통한 규정 준수 운영자 호환성이 제공됩니다. (CMP-2310)

5.2.9.2. 버그 수정
링크 복사

  • 이전에는 Windows 노드가 있는 클러스터에서 자동 수정이 적용된 후 일부 규칙이 실패했습니다. 이는 Windows 노드가 규정 준수 검사에서 건너뛰어지지 않았기 때문입니다. 이 릴리스에서는 스캔 시 Windows 노드가 올바르게 건너뛰어집니다. (OCPBUGS-7355)
  • 이 업데이트를 통해 다중 경로를 사용하는 포드의 루트 볼륨 마운트에 대한 rprivate 기본 마운트 전파가 이제 올바르게 처리됩니다. (OCPBUGS-17494)
  • 이전에는 규정 준수 운영자가 수정 사항을 적용하는 동안에도 규칙을 조정하지 않고 coreos_vsyscall_kernel_argument 에 대한 수정 사항을 생성했습니다. 릴리스 1.4.0에서는 coreos_vsyscall_kernel_argument 규칙이 커널 인수를 적절히 평가하고 적절한 수정 조치를 생성합니다.( OCPBUGS-8041 )
  • 이 업데이트 이전에는 자동 수정을 적용한 후에도 rhcos4-audit-rules-login-events-faillock 규칙이 실패했습니다. 이 업데이트를 통해 rhcos4-audit-rules-login-events-faillock 실패 잠금이 이제 자동 수정 후에 올바르게 적용됩니다. (OCPBUGS-24594)
  • 이전에는 Compliance Operator 1.3.1에서 Compliance Operator 1.4.0으로 업그레이드하면 OVS 규칙 검사 결과가 PASS 에서 NOT-APPLICABLE 로 변경되었습니다. 이 업데이트를 통해 OVS 규칙 검사 결과가 이제 PASS ( OCPBUGS-25323 )로 표시됩니다.

5.2.10. OpenShift Compliance Operator 1.3.1
링크 복사

OpenShift Compliance Operator 1.3.1에 대해 다음 권고를 사용할 수 있습니다.

이 업데이트는 기본 종속성의 CVE를 해결합니다.

5.2.10.1. 새로운 기능 및 개선 사항
링크 복사

  • FIPS 모드에서 실행되는 OpenShift Container Platform 클러스터에서 Compliance Operator를 설치하고 사용할 수 있습니다.

    중요

    클러스터에 대해 FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 Red Hat Enterprise Linux(RHEL) 컴퓨터에서 설치 프로그램을 실행해야 합니다. RHEL에서 FIPS 모드를 구성하는 방법에 대한 자세한 내용은 RHEL을 FIPS 모드로 전환을 참조하세요.

    FIPS 모드로 부팅된 Red Hat Enterprise Linux(RHEL) 또는 Red Hat Enterprise Linux CoreOS(RHCOS)를 실행할 때 OpenShift Container Platform 핵심 구성 요소는 x86_64, ppc64le 및 s390x 아키텍처에서만 FIPS 140-2/140-3 검증을 위해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다.

5.2.10.2. 알려진 문제
링크 복사

  • Windows 노드가 있는 클러스터에서 자동 수정이 적용된 후 일부 규칙은 실패합니다. 이는 Windows 노드가 규정 준수 검사에서 건너뛰어지지 않았기 때문입니다. 이는 예상 결과와 다릅니다. 스캔할 때 Windows 노드를 건너뛰어야 하기 때문입니다. (OCPBUGS-7355)

5.2.11. OpenShift Compliance Operator 1.3.0
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 1.3.0에 대해 제공됩니다.

5.2.11.1. 새로운 기능 및 개선 사항
링크 복사

  • OpenShift Container Platform용 국방정보시스템국 보안기술구현가이드(DISA-STIG)가 이제 Compliance Operator 1.3.0에서 제공됩니다. 추가 정보는 지원되는 규정 준수 프로필을 참조하세요.
  • Compliance Operator 1.3.0은 이제 OpenShift Container Platform 플랫폼 및 노드 프로필에 대한 NIST 800-53 중간 영향 기준에 대한 IBM Power® 및 IBM Z®를 지원합니다.

5.2.12. OpenShift Compliance Operator 1.2.0
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 1.2.0에 대해 제공됩니다.

5.2.12.1. 새로운 기능 및 개선 사항
링크 복사

  • CIS OpenShift Container Platform 4 Benchmark v1.4.0 프로필이 이제 플랫폼 및 노드 애플리케이션에 사용 가능합니다. CIS OpenShift Container Platform v4 벤치마크를 찾으려면 CIS 벤치마크로 이동하여 최신 CIS 벤치마크 다운로드를 클릭하세요. 그런 다음 벤치마크를 다운로드하기 위해 등록할 수 있습니다.

    중요

    Compliance Operator 1.2.0으로 업그레이드하면 CIS OpenShift Container Platform 4 Benchmark 1.1.0 프로필이 덮어쓰여집니다.

    OpenShift Container Platform 환경에 기존 ciscis-node 수정 사항이 포함된 경우 Compliance Operator 1.2.0으로 업그레이드한 후 검사 결과에 약간의 차이가 있을 수 있습니다.

  • 이제 scc-limit-container-allowed-capabilities 규칙에 대해 보안 컨텍스트 제약 조건(SCC) 감사에 대한 명확성이 더욱 강화되었습니다.

5.2.13. OpenShift Compliance Operator 1.1.0
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 1.1.0에 대해 제공됩니다.

5.2.13.1. 새로운 기능 및 개선 사항
링크 복사

  • 이제 ComplianceScan 사용자 정의 리소스 정의(CRD) 상태에서 시작 및 종료 타임스탬프를 사용할 수 있습니다.
  • 이제 OperatorHub를 사용하여 구독 파일을 생성하면 Compliance Operator를 호스팅된 제어 평면에 배포할 수 있습니다. 자세한 내용은 호스팅된 제어 평면에 Compliance Operator 설치를 참조하세요.

5.2.13.2. 버그 수정
링크 복사

  • 이 업데이트 이전에는 일부 규정 준수 운영자 규칙 지침이 없었습니다. 이 업데이트 이후 다음 규칙에 대한 지침이 개선되었습니다.

    • classification_banner
    • oauth_login_template_set
    • oauth_logout_url_set
    • oauth_provider_selection_set
    • ocp_allowed_registries

    • ocp_allowed_registries_for_import

      (OCPBUGS-10473)

  • 이 업데이트 이전에는 정확성 확인과 규칙 설명이 불분명했습니다. 이 업데이트 이후 다음 sysctl 규칙에 대한 검사 정확도와 지침이 개선되었습니다.

    • kubelet-enable-protect-kernel-sysctl
    • kubelet-enable-protect-kernel-sysctl-kernel-keys-root-maxbytes
    • kubelet-enable-protect-kernel-sysctl-kernel-keys-root-maxkeys
    • kubelet-enable-protect-kernel-sysctl-kernel-panic
    • kubelet-enable-protect-kernel-sysctl-kernel-panic-on-oops
    • kubelet-enable-protect-kernel-sysctl-vm-overcommit-memory

    • kubelet-enable-protect-kernel-sysctl-vm-panic-on-oom

      (OCPBUGS-11334)

  • 이 업데이트 이전에는 ocp4-alert-receiver-configured 규칙에 지침이 포함되지 않았습니다. 이 업데이트를 통해 ocp4-alert-receiver-configured 규칙에 향상된 지침이 포함되었습니다. (OCPBUGS-7307)
  • 이 업데이트 이전에는 rhcos4-e8 프로필에 대한 rhcos4-sshd-set-loglevel-info 규칙이 실패했습니다. 이 업데이트를 통해 sshd-set-loglevel-info 규칙에 대한 수정이 업데이트되어 올바른 구성 변경 사항이 적용되었고, 수정이 적용된 후에 후속 검사가 통과될 수 있게 되었습니다. (OCPBUGS-7816)
  • 이 업데이트 이전에는 최신 Compliance Operator 설치를 사용하여 OpenShift Container Platform을 새로 설치하려고 했지만 , scheduler-no-bind-address 규칙에 따라 실패했습니다. 이 업데이트로 매개변수가 제거되었기 때문에 최신 버전의 OpenShift Container Platform에서는 scheduler-no-bind-address 규칙이 비활성화되었습니다. (OCPBUGS-8347)

5.2.14. OpenShift Compliance Operator 1.0.0
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 1.0.0에 대해 제공됩니다.

5.2.14.1. 새로운 기능 및 개선 사항
링크 복사

5.2.14.2. 버그 수정
링크 복사

  • 이 업데이트 이전에는 compliance_operator_compliance_scan_error_total 메트릭에 오류 메시지마다 다른 값을 갖는 ERROR 레이블이 있었습니다. 이 업데이트로 compliance_operator_compliance_scan_error_total 메트릭 값이 증가하지 않습니다. (OCPBUGS-1803)
  • 이 업데이트 이전에는 ocp4-api-server-audit-log-maxsize 규칙이 FAIL 상태를 초래했습니다. 이 업데이트를 통해 모범 사례에 따라 메트릭의 오류 메시지가 제거되어 메트릭의 기수가 감소했습니다. (OCPBUGS-7520)
  • 이 업데이트 이전에는 rhcos4-enable-fips-mode 규칙 설명에서 설치 후에 FIPS를 활성화할 수 있다는 오해의 소지가 있었습니다. 이 업데이트를 통해 rhcos4-enable-fips-mode 규칙 설명에서 설치 시 FIPS를 활성화해야 한다는 점이 명확히 설명되었습니다. (OCPBUGS-8358)

5.2.15. OpenShift Compliance Operator 0.1.61
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 0.1.61에 대해 제공됩니다.

5.2.15.1. 새로운 기능 및 개선 사항
링크 복사

  • 이제 Compliance Operator가 Scanner Pod에 대한 시간 초과 구성을 지원합니다. 시간 초과는 ScanSetting 개체에서 지정됩니다. 제한 시간 내에 검사가 완료되지 않으면 최대 재시도 횟수에 도달할 때까지 검사를 다시 시도합니다. 자세한 내용은 ScanSetting 시간 초과 구성 을 참조하십시오.

5.2.15.2. 버그 수정
링크 복사

  • 이 업데이트 이전에는 규정 준수 운영자 수정에 입력으로 변수가 필요했습니다. 변수가 설정되지 않은 수정 사항이 클러스터 전체에 적용되어 수정 사항이 올바르게 적용된 것처럼 보였음에도 불구하고 노드가 멈췄습니다. 이 업데이트를 사용하면 규정 준수 운영자가 수정을 위해 TailoredProfile을 사용하여 변수를 제공해야 하는지 검증할 수 있습니다. (OCPBUGS-3864)
  • 이 업데이트 이전에는 ocp4-kubelet-configure-tls-cipher-suites 에 대한 지침이 불완전하여 사용자가 쿼리를 수동으로 수정해야 했습니다. 이 업데이트를 사용하면 ocp4-kubelet-configure-tls-cipher-suites 에 제공된 쿼리가 감사 단계를 수행하기 위한 실제 결과를 반환합니다. (OCPBUGS-3017)
  • 이 업데이트 이전에는 시스템에서 예약된 매개변수가 kubelet 구성 파일에 생성되지 않아 규정 준수 운영자가 머신 구성 풀의 일시 중지를 해제하지 못했습니다. 이 업데이트를 사용하면 규정 준수 운영자가 머신 구성 풀 평가 중에 시스템 예약 매개변수를 생략합니다. (OCPBUGS-4445)
  • 이 업데이트 이전에는 ComplianceCheckResult 개체에 올바른 설명이 없었습니다. 이 업데이트를 사용하면 규정 준수 운영자가 규칙 설명에서 ComplianceCheckResult 정보를 가져옵니다. (OCPBUGS-4615)
  • 이 업데이트 이전에는 규정 준수 운영자가 머신 구성을 구문 분석할 때 빈 kubelet 구성 파일을 확인하지 않았습니다. 결과적으로 규정 준수 담당자는 당황하여 충돌하게 됩니다. 이 업데이트를 통해 규정 준수 운영자는 kubelet 구성 데이터 구조에 대한 검사를 개선하고 완전히 렌더링된 경우에만 검사를 계속 진행합니다. (OCPBUGS-4621)
  • 이 업데이트 이전에는 규정 준수 운영자가 머신 구성 풀 이름과 유예 기간을 기반으로 kubelet 추방에 대한 수정 조치를 생성했기 때문에 단일 추방 규칙에 대해 여러 수정 조치가 필요했습니다. 이 업데이트를 통해 규정 준수 운영자는 단일 규칙에 대한 모든 수정 사항을 적용합니다. (OCPBUGS-4338)
  • 이번 업데이트 이전에는 기본이 아닌 MachineConfigPoolScanSettingBindingFailed 로 표시한 TailoredProfile 을 사용하여 ScanSettingBinding을 생성하려고 할 때 회귀 문제가 발생했습니다. 이번 업데이트를 통해 기능이 복원되고 TailoredProfile 을 사용하여 사용자 정의 ScanSettingBinding 이 올바르게 수행됩니다. (OCPBUGS-6827)

  • 이 업데이트 이전에는 일부 kubelet 구성 매개변수에 기본값이 없었습니다. 이 업데이트를 사용하면 다음 매개변수에 기본값이 포함됩니다( OCPBUGS-6708 ):

    • ocp4-cis-kubelet-enable-streaming-connections
    • ocp4-cis-kubelet-eviction-thresholds-set-hard-imagefs-available
    • ocp4-cis-kubelet-eviction-thresholds-set-hard-imagefs-inodesfree
    • ocp4-cis-kubelet-eviction-thresholds-set-hard-memory-available
    • ocp4-cis-kubelet-eviction-thresholds-set-hard-nodefs-available
  • 이 업데이트 이전에는 kubelet을 실행하는 데 필요한 권한 때문에 kubelet에서 selinux_confinement_of_daemons 규칙을 실행할 수 없었습니다. 이 업데이트를 통해 selinux_confinement_of_daemons 규칙이 비활성화되었습니다. (OCPBUGS-6968)

5.2.16. OpenShift Compliance Operator 0.1.59
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 0.1.59에 대해 제공됩니다.

5.2.16.1. 새로운 기능 및 개선 사항
링크 복사

  • 이제 Compliance Operator는 ppc64le 아키텍처에서 PCI-DSS(Payment Card Industry Data Security Standard) ocp4-pci-dssocp4-pci-dss-node 프로필을 지원합니다.

5.2.16.2. 버그 수정
링크 복사

  • 이전에는 규정 준수 운영자가 ppc64le 와 같은 다양한 아키텍처에서 PCI DSS(Payment Card Industry Data Security Standard) ocp4-pci-dssocp4-pci-dss-node 프로필을 지원하지 않았습니다. 이제 Compliance Operator는 ppc64le 아키텍처에서 ocp4-pci-dssocp4-pci-dss-node 프로필을 지원합니다. (OCPBUGS-3252)
  • 이전 버전에서는 최근 버전 0.1.57로 업데이트한 후SA(rerunner서비스 계정)가 더 이상 CSV(클러스터 서비스 버전)에 속하지 않아 Operator 업그레이드 중에 SA가 제거되었습니다. 이제 CSV는 0.1.59에 rerunner SA를 소유하고 있으며 이전 버전에서 업그레이드하면 SA가 누락되지 않습니다. (OCPBUGS-3452)

5.2.17. OpenShift Compliance Operator 0.1.57
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 0.1.57에 대해 제공됩니다.

5.2.17.1. 새로운 기능 및 개선 사항
링크 복사

  • KubeletConfig 검사가 노드 에서 플랫폼 유형으로 변경되었습니다. KubeletConfig는 KubeletConfig 의 기본 구성을 확인합니다. 구성 파일은 모든 노드에서 노드 풀당 단일 위치로 집계됩니다. 기본 구성 값에 대해 KubeletConfig 규칙 평가를 참조하세요.
  • ScanSetting 사용자 정의 리소스를 사용하면 이제 사용자가 scanLimits 속성을 통해 스캐너 포드의 기본 CPU 및 메모리 제한을 재정의할 수 있습니다. 자세한 내용은 규정 준수 운영자 리소스 한도 증가를 참조하세요.
  • 이제 ScanSetting을 통해 PriorityClass 객체를 설정할 수 있습니다. 이를 통해 규정 준수 운영자의 우선순위가 지정되고 클러스터가 규정을 위반할 가능성이 최소화됩니다. 자세한 내용은 ScanSetting 스캔에 대한 PriorityClass 설정을 참조하세요.

5.2.17.2. 버그 수정
링크 복사

  • 이전에는 규정 준수 운영자가 기본 openshift-compliance 네임스페이스에 알림을 하드코딩했습니다. Operator가 기본이 아닌 네임스페이스에 설치된 경우 알림이 예상대로 작동하지 않습니다. 이제 알림은 기본이 아닌 openshift-compliance 네임스페이스에서 작동합니다. (BZ#2060726)
  • 이전에는 규정 준수 운영자가 kubelet 객체에서 사용되는 기본 구성을 평가할 수 없어 부정확한 결과와 거짓 양성 결과가 발생했습니다. 이 새로운 기능은 kubelet 구성을 평가하고 이제 정확한 보고를 제공합니다. (BZ#2075041)
  • 이전에는 eventRecordQPS 값이 기본값보다 높게 설정되었기 때문에 규정 준수 운영자가 자동 수정을 적용한 후 ocp4-kubelet-configure-event-creation 규칙이 실패 상태라고 보고했습니다. 이제 ocp4-kubelet-configure-event-creation 규칙 수정은 기본값을 설정하고 규칙은 올바르게 적용됩니다. (BZ#2082416)
  • ocp4-configure-network-policies 규칙을 효과적으로 실행하려면 수동 개입이 필요합니다. 새로운 설명 지침과 규칙 업데이트로 Calico CNI를 사용하는 클러스터에 대한 ocp4-configure-network-policies 규칙의 적용성이 높아졌습니다. (BZ#2091794)
  • 이전에는 규정 준수 운영자가 스캔 설정에서 debug=true 옵션을 사용할 때 인프라 스캔에 사용된 포드를 정리하지 않았습니다. 이로 인해 ScanSettingBinding을 삭제한 후에도 포드가 클러스터에 남아 있게 됩니다. 이제 ScanSettingBinding 이 삭제되면 포드도 항상 삭제됩니다.( BZ#2092913 )
  • 이전에는 규정 준수 운영자가 더 이상 사용되지 않는 기능에 대한 경고를 발생시키는 이전 버전의 operator-sdk 명령을 사용했습니다. 이제 operator-sdk 명령의 업데이트된 버전이 포함되었으며 더 이상 사용되지 않는 기능에 대한 알림이 없습니다. (BZ#2098581)
  • 이전에는 규정 준수 운영자가 kubelet과 머신 구성 간의 관계를 확인하지 못하면 수정 조치를 적용하지 못했습니다. 이제 규정 준수 운영자는 머신 구성 처리를 개선하여 kubelet 구성이 머신 구성의 하위 집합인지 확인할 수 있습니다. (BZ#2102511)
  • 이전에는 ocp4-cis-node-master-kubelet-enable-cert-rotation에 대한 규칙이 성공 기준을 제대로 설명하지 못했습니다. 결과적으로 RotateKubeletClientCertificate 에 대한 요구 사항이 명확하지 않았습니다. 이제 ocp4-cis-node-master-kubelet-enable-cert-rotation 에 대한 규칙은 kubelet 구성 파일에 있는 구성에 관계없이 정확하게 보고됩니다. (BZ#2105153)
  • 이전에는 유휴 스트리밍 시간 초과를 확인하는 규칙에서 기본값을 고려하지 않아 부정확한 규칙 보고가 발생했습니다. 이제 더욱 강력한 검사를 통해 기본 구성 값을 기반으로 한 결과의 정확도가 더욱 높아졌습니다. (BZ#2105878)
  • 이전에는 Ignition 사양이 없는 머신 구성을 구문 분석할 때 규정 준수 운영자가 API 리소스를 가져오지 못해 api-check-pods 프로세스가 루프에서 충돌했습니다. 이제 규정 준수 운영자는 점화 사양이 없는 머신 구성 풀을 올바르게 처리합니다. (BZ#2117268)
  • 이전에는 modprobe 구성에 대한 값의 불일치로 인해 수정 조치를 적용한 후에도 modprobe 구성을 평가하는 규칙이 실패했습니다. 이제 동일한 값이 점검 및 수정 시 modprobe 구성에 사용되어 일관된 결과가 보장됩니다. (BZ#2117747)

5.2.17.3. 사용 중단
링크 복사

  • 클러스터의 모든 네임스페이스에 설치를 지정하거나 WATCH_NAMESPACES 환경 변수를 "" 로 설정하면 더 이상 모든 네임스페이스에 영향을 미치지 않습니다. 규정 준수 운영자 설치 시 지정되지 않은 네임스페이스에 설치된 모든 API 리소스는 더 이상 작동하지 않습니다. API 리소스를 선택한 네임스페이스나 기본적으로 openshift-compliance 네임스페이스에 생성해야 할 수도 있습니다. 이 변경으로 규정 준수 운영자의 메모리 사용량이 개선되었습니다.

5.2.18. OpenShift Compliance Operator 0.1.53
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 0.1.53에 대해 제공됩니다.

5.2.18.1. 버그 수정
링크 복사

  • 이전에는 ocp4-kubelet-enable-streaming-connections 규칙에 잘못된 변수 비교가 포함되어 있어 거짓 양성 검사 결과가 나왔습니다. 이제 Compliance Operator는 streamingConnectionIdleTimeout을 설정할 때 정확한 검사 결과를 제공합니다. (BZ#2069891)
  • 이전에는 IBM Z® 아키텍처에서 /etc/openvswitch/conf.db 에 대한 그룹 소유권이 올바르지 않아 ocp4-cis-node-worker-file-groupowner-ovs-conf-db 검사가 실패했습니다. 이제 해당 확인은 IBM Z® 아키텍처 시스템에서는 적용되지 않음으로 표시됩니다. (BZ#2072597)
  • 이전에는 배포의 보안 컨텍스트 제약 조건(SCC) 규칙에 대한 데이터가 불완전하여 ocp4-cis-scc-limit-container-allowed-capabilities 규칙이 FAIL 상태로 보고되었습니다. 이제 결과는 MANUAL로 , 인간의 개입이 필요한 다른 검사와 일관성을 유지합니다. (BZ#2077916)

  • 이전에는 다음 규칙이 API 서버와 TLS 인증서 및 키에 대한 추가 구성 경로를 고려하지 못해 인증서와 키가 올바르게 설정된 경우에도 실패가 보고되었습니다.

    • ocp4-cis-api-server-kubelet-client-cert
    • ocp4-cis-api-server-kubelet-client-key
    • ocp4-cis-kubelet-configure-tls-cert
    • ocp4-cis-kubelet-configure-tls-key

    이제 규칙은 정확하게 보고되고 kubelet 구성 파일에 지정된 레거시 파일 경로를 준수합니다. (BZ#2079813)

  • 이전에는 content_rule_oauth_or_oauthclient_inactivity_timeout 규칙이 시간 초과에 대한 규정 준수를 평가할 때 배포에서 설정한 구성 가능한 시간 초과를 고려하지 않았습니다. 이로 인해 시간 초과가 유효하더라도 규칙이 실패하게 됩니다. 이제 규정 준수 운영자는 var_oauth_inactivity_timeout 변수를 사용하여 유효한 시간 초과 길이를 설정합니다. (BZ#2081952)
  • 이전에는 규정 준수 운영자가 권한 있는 사용에 적합한 레이블이 지정되지 않은 네임스페이스에 대한 관리 권한을 사용하여 포드 보안 수준 위반에 대한 경고 메시지를 표시했습니다. 이제 규정 준수 운영자는 적절한 네임스페이스 레이블과 권한 조정을 통해 권한을 위반하지 않고 결과에 액세스할 수 있습니다. (BZ#2088202)
  • 이전에는 rhcos4-high-master-sysctl-kernel-yama-ptrace-scoperhcos4-sysctl-kernel-core-pattern 에 대한 자동 수정을 적용하면 해당 규칙이 수정되었음에도 불구하고 검사 결과에 해당 규칙이 실패로 표시되었습니다. 이제 수정 사항이 적용된 후에도 규칙은 PASS를 정확하게 보고합니다.( BZ#2094382 )
  • 이전에는 메모리 부족 예외로 인해 규정 준수 운영자가 CrashLoopBackoff 상태에서 실패했습니다. 이제 Compliance Operator가 개선되어 메모리에 있는 대용량 머신 구성 데이터 세트를 처리하고 올바르게 작동할 수 있습니다. (BZ#2094854)

5.2.18.2. 알려진 문제
링크 복사

  • ScanSettingBinding 개체 내에서 "debug":true가 설정된 경우, ScanSettingBinding 개체에서 생성된 포드는 해당 바인딩이 삭제되어도 제거되지 않습니다. 해결 방법으로 다음 명령을 실행하여 나머지 포드를 삭제합니다. 

    $ oc delete pods -l compliance.openshift.io/scan-name=ocp4-cis
    Copy to Clipboard Toggle word wrap

    (BZ#2092913)

5.2.19. OpenShift Compliance Operator 0.1.52
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 0.1.52에 대해 제공됩니다.

5.2.19.1. 새로운 기능 및 개선 사항
링크 복사

5.2.19.2. 버그 수정
링크 복사

  • 이전에는 DAC_OVERRIDE 기능이 삭제된 보안 환경에서 마운트 권한 문제로 인해 OpenScap 컨테이너가 충돌했습니다. 이제 실행 가능한 마운트 권한이 모든 사용자에게 적용됩니다. (BZ#2082151)
  • 이전에는 규정 준수 규칙 ocp4-configure-network-policies를 MANUAL 로 구성할 수 있었습니다. 이제 규정 준수 규칙 ocp4-configure-network-policies가 AUTOMATIC 으로 설정되었습니다. (BZ#2072431)
  • 이전에는 Compliance Operator 스캔 포드가 스캔 후에 제거되지 않아 클러스터 자동 확장기가 축소에 실패했습니다. 이제 디버깅 목적으로 명시적으로 저장하지 않는 한 각 노드에서 포드가 기본적으로 제거됩니다. (BZ#2075029)
  • 이전에는 KubeletConfig 에 Compliance Operator를 적용하면 Machine Config Pool의 일시 중지가 너무 일찍 해제되어 노드가 NotReady 상태로 전환되었습니다. 이제 머신 구성 풀의 일시 중지가 적절히 해제되었고 노드가 정상적으로 작동합니다. (BZ#2071854)
  • 이전에는 Machine Config Operator가 최신 릴리스에서 URL로 인코딩된 코드 대신 base64를 사용했기 때문에 Compliance Operator 수정이 실패했습니다. 이제 규정 준수 운영자는 base64URL로 인코딩된 머신 구성 코드를 모두 처리하기 위한 인코딩을 확인하고 수정 사항을 올바르게 적용합니다. (BZ#2082431)

5.2.19.3. 알려진 문제
링크 복사

  • ScanSettingBinding 개체 내에서 "debug":true가 설정된 경우, ScanSettingBinding 개체에서 생성된 포드는 해당 바인딩이 삭제되어도 제거되지 않습니다. 해결 방법으로 다음 명령을 실행하여 나머지 포드를 삭제합니다. 

    $ oc delete pods -l compliance.openshift.io/scan-name=ocp4-cis
    Copy to Clipboard Toggle word wrap

    (BZ#2092913)

5.2.20. OpenShift Compliance Operator 0.1.49
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 0.1.49에 대해 제공됩니다.

5.2.20.1. 새로운 기능 및 개선 사항
링크 복사

  • Compliance Operator는 이제 다음 아키텍처에서 지원됩니다.

    • IBM Power®
    • IBM Z®
    • IBM® LinuxONE

5.2.20.2. 버그 수정
링크 복사

  • 이전에는 openshift-compliance 콘텐츠에 네트워크 유형에 대한 플랫폼별 검사가 포함되지 않았습니다. 그 결과 네트워크 구성에 따라 not-applicable 대신 OVN 및 SDN 관련 검사가 failed 표시되었습니다. 이제 새로운 규칙에는 네트워킹 규칙에 대한 플랫폼 검사가 포함되어 네트워크별 검사를 더욱 정확하게 평가할 수 있습니다. (BZ#1994609)
  • 이전에는 ocp4-moderate-routes-protected-by-tls 규칙이 TLS 설정을 잘못 검사하여 연결이 SSL/TLS 프로토콜을 보호하더라도 규칙이 검사에 실패했습니다. 이제 검사에서는 네트워킹 지침과 프로필 권장 사항을 따르는 TLS 설정을 적절하게 평가합니다. (BZ#2002695)
  • 이전에는 ocp-cis-configure-network-policies-namespace가 네임스페이스를 요청할 때 페이지 분할을 사용했습니다. 이로 인해 배포 시 500개가 넘는 네임스페이스 목록이 잘려 규칙이 실패했습니다. 이제 전체 네임스페이스 목록이 요청되고, 구성된 네트워크 정책을 확인하는 규칙은 네임스페이스가 500개 이상인 배포에 적용됩니다. (BZ#2038909)
  • 이전에는 sshd jinja 매크로를 사용한 수정 방법이 특정 sshd 구성에 하드코딩되어 있었습니다. 결과적으로 구성이 규칙에서 검사하는 내용과 일치하지 않아 검사에 실패하게 되었습니다. 이제 sshd 구성이 매개변수화되었고 규칙이 성공적으로 적용됩니다. (BZ#2049141)
  • 이전에는 ocp4-cluster-version-operator-verify-integrity가 항상 Cluter Version Operator(CVO) 기록의 첫 번째 항목을 확인했습니다. 결과적으로, OpenShift Container Platform의 후속 버전을 검증하는 상황에서는 업그레이드가 실패하게 됩니다. 이제 ocp4-cluster-version-operator-verify-integrity 에 대한 규정 준수 검사 결과는 검증된 버전을 감지할 수 있으며 CVO 기록과 정확합니다. (BZ#2053602)
  • 이전에는 ocp4-api-server-no-adm-ctrl-plugins-disabled 규칙이 빈 입장 컨트롤러 플러그인 목록을 확인하지 않았습니다. 결과적으로 모든 입장 플러그인이 활성화되어 있더라도 규칙은 항상 실패합니다. 이제 ocp4-api-server-no-adm-ctrl-plugins-disabled 규칙에 대한 보다 강력한 검사가 모든 입장 컨트롤러 플러그인이 활성화된 상태에서 정확하게 통과합니다. (BZ#2058631)
  • 이전에는 Linux 워커 노드에 대한 플랫폼 검사가 스캔에 포함되지 않았습니다. 그 결과, Linux 기반이 아닌 작업자 노드에 대한 스캔을 실행하면 끝없는 스캔 루프가 발생했습니다. 이제 플랫폼 유형과 레이블에 따라 스캔 일정이 적절하게 완료되었습니다. (BZ#2056911)

5.2.21. OpenShift Compliance Operator 0.1.48
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 0.1.48에 대해 제공됩니다.

5.2.21.1. 버그 수정
링크 복사

  • 이전에는 확장된 OVAL(Open Vulnerability and Assessment Language) 정의와 관련된 일부 규칙의 checkType이 None 이었습니다. 이는 규정 준수 운영자가 규칙을 구문 분석할 때 확장된 OVAL 정의를 처리하지 않았기 때문입니다. 이 업데이트를 사용하면 확장된 OVAL 정의의 콘텐츠가 구문 분석되어 이러한 규칙의 checkType이 이제 Node 또는 Platform 으로 지정됩니다. (BZ#2040282)
  • 이전에는 KubeletConfig 에 대한 MachineConfig 객체를 수동으로 생성했기 때문에 수정을 위한 KubeletConfig 객체가 생성되지 않아 수정이 보류 상태로 남았습니다. 이 릴리스에서는 KubeletConfig에 대한 MachineConfig 개체 가 수동으로 생성되었는지 여부에 관계없이 수정을 통해 KubeletConfig 개체가 생성됩니다. 결과적으로 KubeletConfig 수정이 이제 예상대로 작동합니다. (BZ#2040401)

5.2.22. OpenShift Compliance Operator 0.1.47
링크 복사

다음 권고 사항은 OpenShift Compliance Operator 0.1.47에 대해 제공됩니다.

5.2.22.1. 새로운 기능 및 개선 사항
링크 복사

  • 이제 규정 준수 운영자는 PCI DSS(Payment Card Industry Data Security Standard)에 대해 다음과 같은 규정 준수 벤치마크를 지원합니다.

    • ocp4-pci-dss
    • ocp4-pci-dss-node
  • FedRAMP 중간 영향 수준에 대한 추가 규칙과 수정 사항이 OCP4-moderate, OCP4-moderate-node 및 rhcos4-moderate 프로필에 추가되었습니다.
  • KubeletConfig에 대한 수정 사항은 이제 노드 수준 프로필에서 사용할 수 있습니다.

5.2.22.2. 버그 수정
링크 복사

  • 이전에는 클러스터에서 OpenShift Container Platform 4.6 이하 버전을 실행 중이면 중간 프로필에 대한 USBGuard 관련 규칙 수정이 실패했습니다. 이는 규정 준수 운영자가 만든 수정 사항이 드롭인 디렉토리를 지원하지 않는 이전 버전의 USBGuard를 기반으로 했기 때문입니다. 이제 OpenShift Container Platform 4.6을 실행하는 클러스터에서는 USBGuard 관련 규칙에 대한 잘못된 수정 사항이 생성되지 않습니다. 클러스터에서 OpenShift Container Platform 4.6을 사용하는 경우 USBGuard 관련 규칙에 대한 수정 사항을 수동으로 만들어야 합니다.

    또한, 수정 사항은 최소 버전 요구 사항을 충족하는 규칙에 대해서만 생성됩니다. (BZ#1965511)

  • 이전에는 수정 사항을 렌더링할 때 규정 준수 운영자가 너무 엄격한 정규 표현식을 사용하여 수정 사항이 제대로 구성되었는지 확인했습니다. 결과적으로 sshd_config를 렌더링하는 것과 같은 일부 수정 사항은 정규 표현식 검사를 통과하지 못해 생성되지 않았습니다. 정규 표현식이 불필요한 것으로 밝혀져 제거되었습니다. 이제 수정 사항이 올바르게 표시됩니다. (BZ#2033009)

5.2.23. OpenShift Compliance Operator 0.1.44
링크 복사

OpenShift Compliance Operator 0.1.44에 대해 다음 권고를 사용할 수 있습니다.

5.2.23.1. 새로운 기능 및 개선 사항
링크 복사

  • 이번 릴리스에서는 ComplianceScan, ComplianceSuiteScanSetting CR에 strictNodeScan 옵션이 추가되었습니다. 이 옵션은 노드에서 검색을 예약할 수 없는 경우 오류가 발생한 이전 동작과 일치하는 true로 기본 설정됩니다. 옵션을 false로 설정하면 Compliance Operator가 스케줄링 검사에 대해 더 관대해질 수 있습니다. 임시 노드가 있는 환경에서는 strictNodeScan 값을 false로 설정할 수 있으므로 클러스터의 일부 노드를 예약할 수 없는 경우에도 규정 준수 검사를 진행할 수 있습니다.
  • 이제 ScanSetting 오브젝트의 nodeSelectortolerations 속성을 구성하여 결과 서버 워크로드를 예약하는 데 사용되는 노드를 사용자 지정할 수 있습니다. 이러한 속성은 PV 스토리지 볼륨을 마운트하고 원시 자산 보고 형식(ARF) 결과를 저장하는 데 사용되는 Pod인 ResultServer Pod를 배치하는 데 사용됩니다. 이전에는 nodeSelectortolerations 매개변수가 컨트롤 플레인 노드 중 하나를 선택하고 node-role.kubernetes.io/master taint를 허용하는 것으로 기본 설정되었습니다. 이는 컨트롤 플레인 노드가 PV를 마운트할 수 없는 환경에서는 작동하지 않았습니다. 이 기능을 사용하면 해당 환경에서 노드를 선택하고 다른 테인트를 허용할 수 있습니다.
  • Compliance Operator에서 KubeletConfig 오브젝트를 수정할 수 있습니다.
  • 클러스터에 존재하지 않는 객체와 가져올 수 없는 객체를 구별하는 데 도움이 되는 오류 메시지가 포함된 주석이 추가되었습니다.
  • 이제 rule 오브젝트에 checkTypedescription 이라는 두 개의 새 속성이 포함됩니다. 이러한 속성을 사용하면 규칙과 노드 점검 또는 플랫폼 점검이 적용되는지 확인하고 규칙의 기능을 검토할 수도 있습니다.
  • 이 향상된 기능을 사용하면 맞춤형 프로필을 만들기 위해 기존 프로필을 확장해야 하는 요구 사항이 없어집니다. 즉 TailoredProfile CRD의 extends 필드가 더 이상 필수가 아닙니다. 이제 규칙 오브젝트 목록을 선택하여 맞춤형 프로필을 생성할 수 있습니다. compliance.openshift.io/product-type: 주석을 설정하거나 TailoredProfile CR에 -node 접미사를 설정하여 프로필이 노드 또는 플랫폼에 적용되는지 여부를 선택해야 합니다.
  • 이번 릴리스에서 Compliance Operator는 테인트와 관계없이 모든 노드에서 검사를 예약할 수 있습니다. 이전에는 검사 Pod에서 node-role.kubernetes.io/master taint만 허용했습니다. 즉, 테인트가 없는 노드에서나 node-role.kubernetes.io/master 테인트가 있는 노드에서만 실행되었습니다. 노드에 사용자 정의 테인트를 사용하는 배포에서는 해당 노드에 검사가 예약되지 않았습니다. 이제 검사 Pod에서 모든 노드 테인트를 허용합니다.

  • 이 릴리스에서 규정 준수 운영자는 다음과 같은 North American Electric Reliability Corporation(NERC) 보안 프로필을 지원합니다.

    • ocp4-nerc-cip
    • ocp4-nerc-cip-node
    • rhcos4-nerc-cip
  • 이번 릴리스에서 Compliance Operator는 Red Hat OpenShift에 대한 NIST 800-53 중간 영향 기준선(노드 수준, ocp4-moderate-node, 보안 프로필)을 지원합니다.

5.2.23.2. 템플릿 및 변수 사용
링크 복사

  • 이번 릴리스에서는 해결 템플릿에서 다중 값 변수를 허용합니다.
  • 이번 업데이트를 통해 Compliance Operator는 규정 준수 프로필에 설정된 변수를 기반으로 수정을 변경할 수 있습니다. 이는 시간 제한, NTP 서버 호스트 이름 또는 유사한 배포별 값을 포함하는 수정에 유용합니다. 또한, ComplianceCheckResult 객체는 이제 검사에 사용된 변수를 나열하는 compliance.openshift.io/check-has-value 레이블을 사용합니다.

5.2.23.3. 버그 수정
링크 복사

  • 이전에는 검사를 수행하는 동안 Pod의 스캐너 컨테이너 중 하나에서 예기치 않은 종료가 발생했습니다. 이번 릴리스에서 Compliance Operator는 최신 OpenSCAP 버전 1.3.5를 사용하여 충돌을 방지합니다.
  • 이전 버전에서는 autoReplyRemediations를 사용하여 수정을 적용하면 클러스터 노드 업데이트가 트리거되었습니다. 일부 수정에 필요한 입력 변수가 모두 포함되지 않은 경우 이로 인해 중단되었습니다. 이제 수정에 필요한 입력 변수가 하나 이상 누락된 경우 NeedsReview 상태가 할당됩니다. 하나 이상의 수정이 needsReview 상태에 있는 경우 머신 구성 풀은 일시 중지된 상태로 남아 있으며 모든 필수 변수가 설정될 때까지 수정이 적용되지 않습니다. 이렇게 하면 노드 중단을 최소화할 수 있습니다.
  • Prometheus 지표에 사용되는 RBAC 역할 및 역할 바인딩이 'ClusterRole' 및 'ClusterRoleBinding'으로 변경되어 사용자 지정 없이 모니터링이 작동하는지 확인합니다.
  • 이전에는 프로필을 구문 분석하는 중에 오류가 발생하면 규칙 또는 변수 오브젝트가 프로필에서 제거되고 삭제되었습니다. 이제 구문 분석 중에 오류가 발생하면 profileparser는 구문 분석이 완료될 때까지 오브젝트가 삭제되지 않도록 임시 주석으로 오브젝트에 주석을 추가합니다. (BZ#1988259)
  • 이전에는 맞춤형 프로필에서 제목 또는 설명이 누락된 경우 오류가 발생했습니다. XCCDF 표준에는 맞춤형 프로필에 대한 제목과 설명이 필요하므로 이제 TailoredProfile CR에 제목 및 설명을 설정해야 합니다.
  • 이전에는 맞춤형 프로필을 사용할 때 특정 선택 세트만 사용하여 TailoredProfile 변수 값을 설정할 수 있었습니다. 이제 이 제한이 제거되고 TailoredProfile 변수를 임의의 값으로 설정할 수 있습니다.

5.2.24. Compliance Operator 0.1.39의 릴리스 정보
링크 복사

OpenShift Compliance Operator 0.1.39에 대해 다음 권고를 사용할 수 있습니다.

5.2.24.1. 새로운 기능 및 개선 사항
링크 복사

  • 이전에는 Compliance Operator에서 PCI DSS(Payment Card Industry Data Security Standard) 참조를 구문 분석할 수 없었습니다. 이제 운영자는 PCI DSS 프로필과 함께 제공되는 규정 준수 콘텐츠를 구문 분석할 수 있습니다.
  • 이전에는 Compliance Operator에서 보통 프로필에서 AU-5 제어 규칙을 실행할 수 없었습니다. 이제 Prometheusrules.monitoring.coreos.com 오브젝트를 읽고 보통 프로필에서 AU-5 제어를 포함하는 규칙을 실행할 수 있도록 Operator에 권한이 추가됩니다.
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat