4.13. 이미지 취약점 정책
Container Security Operator를 활용하여 컨테이너 이미지에 취약점이 있는지 감지하려면 이미지 취약점 정책을 적용합니다. 이 정책은 관리 클러스터에 Container Security Operator가 설치되지 않은 경우 설치합니다.
이미지 취약점 정책은 Kubernetes 구성 정책 컨트롤러에서 확인합니다. Security Operator에 대한 자세한 내용은 Quay 리포지토리 의 Container Security Operator 를 참조하십시오.
참고:
- 이미지 취약점 정책은 연결이 끊긴 설치 중에 작동하지 않습니다.
-
IBM Power 및 IBM Z 아키텍처에서는 이미지 취약점 정책이 지원되지 않습니다. Quay Container Security Operator 를 사용합니다. container-security-operator 레지스트리에
ppc64le또는s390x이미지가 없습니다.
자세한 내용은 다음 섹션을 확인하십시오.
4.13.1. 이미지 취약점 정책 YAML 구조
컨테이너 보안 Operator 정책을 생성할 때 다음과 같은 정책이 포함됩니다.
이름과 채널을 참조하는 서브스크립션(
container-security-operator)을 생성하는 정책입니다. 이 구성 정책에는 리소스를 생성하기 위해적용할spec.remediationAction이 설정되어 있어야 합니다. 서브스크립션은 컨테이너에서 서브스크립션을 지원하는 프로필을 가져옵니다. 다음 예제를 확인합니다.apiVersion: policy.open-cluster-management.io/v1 kind: ConfigurationPolicy metadata: name: policy-imagemanifestvuln-example-sub spec: remediationAction: enforce # will be overridden by remediationAction in parent policy severity: high object-templates: - complianceType: musthave objectDefinition: apiVersion: operators.coreos.com/v1alpha1 kind: Subscription metadata: name: container-security-operator namespace: openshift-operators spec: # channel: quay-v3.3 # specify a specific channel if desired installPlanApproval: Automatic name: container-security-operator source: redhat-operators sourceNamespace: openshift-marketplaceClusterServiceVersion을 감사하여 컨테이너 보안 Operator 설치에 성공했는지 확인하는정보구성 정책입니다. 다음 예제를 확인합니다.apiVersion: policy.open-cluster-management.io/v1 kind: ConfigurationPolicy metadata: name: policy-imagemanifestvuln-status spec: remediationAction: inform # will be overridden by remediationAction in parent policy severity: high object-templates: - complianceType: musthave objectDefinition: apiVersion: operators.coreos.com/v1alpha1 kind: ClusterServiceVersion metadata: namespace: openshift-operators spec: displayName: Red Hat Quay Container Security Operator status: phase: Succeeded # check the CSV status to determine if operator is running or not이미지 취약점 검사에서
ImageManifestVuln오브젝트가 생성되었는지 여부를 감사하는정보구성 정책입니다. 다음 예제를 확인합니다.apiVersion: policy.open-cluster-management.io/v1 kind: ConfigurationPolicy metadata: name: policy-imagemanifestvuln-example-imv spec: remediationAction: inform # will be overridden by remediationAction in parent policy severity: high namespaceSelector: exclude: ["kube-*"] include: ["*"] object-templates: - complianceType: mustnothave # mustnothave any ImageManifestVuln object objectDefinition: apiVersion: secscan.quay.redhat.com/v1alpha1 kind: ImageManifestVuln # checking for a Kind
4.13.2. 이미지 취약점 정책 샘플
policy-imagemanifestvuln.yaml 을 참조하십시오. 자세한 내용은 보안 정책 관리를 참조하십시오. 구성 컨트롤러에서 모니터링하는 다른 구성 정책을 보려면 Kubernetes 구성 정책 컨트롤러를 참조하십시오.
