10장. 취약점 관리
사용자 환경의 보안 취약점은 공격자가 악용하여 서비스 거부, 원격 코드 실행 또는 중요한 데이터에 대한 무단 액세스와 같은 무단 작업을 수행할 수 있습니다. 따라서 취약점 관리는 Kubernetes 보안 프로그램을 성공적으로 수행하는 기본 단계입니다.
10.1. 취약점 관리 감독
취약점 관리는 취약점을 확인하고 해결하기 위한 지속적인 프로세스입니다. Red Hat Advanced Cluster Security for Kubernetes는 보안 취약점 관리 지원을 제공합니다.
성공적인 취약점 관리 프로그램에는 다음과 같은 중요한 작업이 종종 포함됩니다.
- 자산 평가 수행
- 취약점의 우선 순위 지정
- 노출 평가
- 작업 수행
- 지속적으로 자산 재평가
Red Hat Advanced Cluster Security for Kubernetes는 조직이 OpenShift Container Platform 및 Kubernetes 클러스터에 대한 지속적인 평가를 수행할 수 있도록 지원합니다. 조직에게 환경의 취약성에 대한 우선 순위를 정하고 조치를 취하는 데 필요한 컨텍스트 정보를 제공합니다.
10.1.1. 자산 평가 수행
조직의 자산을 평가하려면 다음과 같은 작업이 포함됩니다.
- 환경에 있는 자산 식별.
- 이러한 자산을 스캔하여 알려진 취약점을 확인합니다.
- 이해 관계자에 영향을 주도록 환경의 취약점을 보고합니다.
Kubernetes 또는 OpenShift Container Platform 클러스터에 Red Hat Advanced Cluster Security for Kubernetes를 설치하면 먼저 클러스터 내에서 실행되는 자산을 수집하여 해당 자산을 식별하는 데 도움이 됩니다. Red Hat Advanced Cluster Security for Kubernetes를 사용하면 조직이 OpenShift Container Platform 및 Kubernetes 클러스터에 대한 지속적인 평가를 수행할 수 있습니다. 조직에게 환경의 취약성에 대한 우선 순위를 정하고 조치를 취할 수 있는 컨텍스트 정보를 제공합니다.
Red Hat Advanced Cluster Security for Kubernetes를 사용하여 조직의 취약점 관리 프로세스에서 모니터링해야 하는 중요한 자산은 다음과 같습니다.
- 구성 요소: 구성 요소는 이미지의 일부로 사용하거나 노드에서 실행할 수 있는 소프트웨어 패키지입니다. 구성 요소는 취약점이 있는 가장 낮은 수준입니다. 따라서 조직은 취약점을 해결하기 위해 소프트웨어 구성 요소를 업그레이드, 수정 또는 제거해야 합니다.
- 이미지: 코드의 실행 가능한 부분을 실행하는 환경을 생성하는 소프트웨어 구성 요소 및 코드 컬렉션입니다. 이미지는 취약점을 해결하기 위해 구성 요소를 업그레이드하는 곳입니다.
- nodes: OpenShift 또는 Kubernetes 서비스와 OpenShift Container Platform 또는 Kubernetes 서비스를 구성하는 구성 요소를 사용하여 애플리케이션을 관리하고 실행하는 데 사용되는 서버입니다.
Red Hat Advanced Cluster Security for Kubernetes는 이러한 자산을 다음 구조로 그룹화합니다.
- Deployment: 하나 이상의 이미지를 기반으로 하여 컨테이너를 사용하여 Pod를 실행할 수 있는 Kubernetes의 애플리케이션 정의입니다.
- namespace: 애플리케이션을 지원하고 격리하는 Deployments와 같은 리소스 그룹입니다.
- cluster: OpenShift 또는 Kubernetes를 사용하여 애플리케이션을 실행하는 데 사용되는 노드 그룹입니다.
Red Hat Advanced Cluster Security for Kubernetes는 알려진 취약점의 자산을 검사하고 CVE(Common Vulnerabilities and Exposures) 데이터를 사용하여 알려진 취약점의 영향을 평가합니다.
10.1.1.1. 애플리케이션 취약점 보기
Red Hat Advanced Cluster Security for Kubernetes의 애플리케이션 취약점을 확인할 수 있습니다.
절차
-
RHACS 포털에서 취약점 관리
대시보드 로 이동합니다. -
대시보드 뷰 헤더에서 애플리케이션 및 인프라
네임스페이스 또는 배포 를 선택합니다. - 목록에서 검토할 네임스페이스 또는 배포 를 검색하고 선택합니다.
- 애플리케이션에 대한 자세한 정보를 얻으려면 오른쪽에 있는 관련 엔터티에서 엔터티 를 선택합니다.
10.1.1.2. 이미지 취약점 보기
Red Hat Advanced Cluster Security for Kubernetes의 이미지 취약점을 확인할 수 있습니다.
절차
-
RHACS 포털에서 취약점 관리
대시보드 로 이동합니다. - 대시보드 뷰 헤더에서 이미지를 선택합니다.
이미지 목록에서 조사할 이미지를 선택합니다. 다음 단계 중 하나를 수행하여 목록을 필터링할 수도 있습니다.
- 검색 창에 Image를 입력한 다음 Image 특성을 선택합니다.
- 검색 창에 이미지 이름을 입력합니다.
- 이미지 세부 정보 보기에서 나열된 CVE를 검토하고 영향을 받는 구성 요소를 해결하기 위해 조치를 취해야 합니다.
- 오른쪽에 있는 관련 엔터티 에서 구성 요소 를 선택하여 선택한 이미지의 영향을 받는 모든 구성 요소에 대한 자세한 정보를 가져옵니다. 또는 특정 CVE의 영향을 받는 구성 요소 목록은 이미지 결과 섹션에 있는 영향을 받는 구성 요소 열에서 구성 요소를 선택합니다.
추가 리소스
10.1.1.3. 인프라 취약점 보기
Red Hat Advanced Cluster Security for Kubernetes를 사용하여 노드의 취약점을 확인할 수 있습니다.
절차
-
RHACS 포털에서 취약점 관리
대시보드 로 이동합니다. -
대시보드 뷰 헤더에서 Application & Infrastructure
Cluster 를 선택합니다. - 클러스터 목록에서 조사할 클러스터를 선택합니다.
- 클러스터 취약점을 검토하고 클러스터의 영향을 받는 노드에서 조치를 취해야 하는 우선 순위를 지정합니다.
10.1.1.4. 노드 취약점 보기
Red Hat Advanced Cluster Security for Kubernetes를 사용하여 특정 노드의 취약점을 확인할 수 있습니다.
절차
-
RHACS 포털에서 취약점 관리
대시보드 로 이동합니다. - 대시보드 뷰 헤더에서 노드를 선택합니다.
- 노드 목록에서 조사할 노드를 선택합니다.
- 선택한 노드의 취약점을 확인하고 조치를 취해야 합니다.
- 노드의 영향을 받는 구성 요소에 대한 자세한 내용을 보려면 오른쪽에 있는 관련 엔터티에서 구성 요소 를 선택합니다.
10.1.2. 취약점의 우선 순위 지정
다음 질문에 대답하여 작업 및 조사를 위해 환경의 취약점의 우선 순위를 지정합니다.
- 귀하의 조직에 영향을 받는 자산이 얼마나 중요합니까?
- 취약점을 조사하는 데 얼마나 심각한 문제가 필요합니까?
- 영향을 받는 소프트웨어 구성 요소에 대한 패치로 취약점을 해결할 수 있습니까?
- 이 취약점은 조직의 보안 정책을 위반합니까?
이러한 질문에 대한 답변은 보안 및 개발 팀이 취약점 노출을 측정할지 여부를 결정하는 데 도움이 됩니다.
Red Hat Advanced Cluster Security for Kubernetes는 애플리케이션 및 구성 요소의 취약점 우선 순위를 지정할 수 있는 수단을 제공합니다.
10.1.3. 노출 평가
취약점에 대한 노출을 평가하려면 다음 질문에 대답하십시오.
- 애플리케이션이 취약점의 영향을 받습니까?
- 이 취약점은 다른 요인에 의해 완화됩니까?
- 이 취약점을 악용할 수 있는 알려진 취약점이 있습니까?
- 보안 취약점이 있는 소프트웨어 패키지를 사용하고 있습니까?
- 특정 취약점에 대한 시간과 소프트웨어 패키지 가치가 있습니까?
평가에 따라 다음 중 몇 가지 조치를 수행합니다.
- 노출이 없거나 사용자 환경에 취약점이 적용되지 않는다고 판단하면 취약점을 false positive로 표시하는 것이 좋습니다.
- 노출되는 경우 위험을 수정, 완화 또는 수락하려는 경우 고려하십시오.
- 공격 면적을 줄이기 위해 소프트웨어 패키지를 제거하거나 변경하려는 경우 고려하십시오.
10.1.4. 작업 수행
취약성에 대한 조치를 취하기로 결정하면 다음 작업 중 하나를 수행할 수 있습니다.
- 취약점 수정
- 위험 완화 및 수락
- 위험 수락
- 취약점을 false positive로 표시
다음 작업 중 하나를 수행하여 취약점을 해결할 수 있습니다.
- 소프트웨어 패키지 제거
- 소프트웨어 패키지를 신뢰할 수 없는 버전으로 업데이트합니다.
추가 리소스
10.1.4.1. 새로운 구성 요소 버전 찾기
다음 절차에서는 업그레이드할 새 구성 요소 버전을 찾습니다.
절차
-
RHACS 포털에서 취약점 관리
대시보드 로 이동합니다. - 대시보드 뷰 헤더에서 이미지를 선택합니다.
- 이미지 목록에서 이미 평가한 이미지를 선택합니다.
- 이미지 결과 섹션에서 CVE를 선택합니다.
- 조치를 취할 CVE의 영향을 받는 구성 요소를 선택합니다.
- CVE가 수정되는 구성 요소의 버전을 검토하고 이미지를 업데이트합니다.
10.1.5. 위험 수락
이 섹션의 지침에 따라 Red Hat Advanced Cluster Security for Kubernetes의 위험을 수락합니다.
사전 요구 사항
-
Vulnerabilit
yManagementRequests 리소스에대한쓰기권한이 있어야 합니다.
완화 조치와 관계없이 위험을 수락하려면 다음을 수행합니다.
절차
-
RHACS 포털에서 취약점 관리
대시보드 로 이동합니다. - 대시보드 뷰 헤더에서 이미지를 선택합니다.
- 이미지 목록에서 이미 평가한 이미지를 선택합니다.
- 작업을 수행하려는 CVE를 나열하는 행을 찾습니다.
-
확인된 CVE 오른쪽에 있는
을 클릭하고 Defer CVE 를 클릭합니다.
- CVE를 연기할 날짜와 시간을 선택합니다.
- 선택한 이미지 태그 또는 이 이미지의 모든 태그에 대해 CVE를 연기하려면 선택합니다.
- 지연 이유를 입력합니다.
- 요청 승인 을 클릭합니다. CVE 오른쪽에 있는 파란색 정보 아이콘을 선택하고 승인 링크를 복사하여 조직의 미네임 승인자와 공유할 수 있습니다.
10.1.5.1. 취약점을 false positive로 표시
다음 절차에서는 취약점을 false positive로 표시합니다.
사전 요구 사항
-
Vulnerabilit
yManagementRequests 리소스에대한쓰기권한이 있어야 합니다.
절차
-
RHACS 포털에서 취약점 관리
대시보드 로 이동합니다. - 대시보드 뷰 헤더에서 이미지를 선택합니다.
- 이미지 목록에서 이미 평가한 이미지를 선택합니다.
- 작업을 수행하려는 CVE를 나열하는 행을 찾습니다.
-
확인된 CVE에 대해 오른쪽에 있는
을 클릭하고 Defer CVE 를 클릭합니다.
- CVE를 연기할 날짜와 시간을 선택합니다.
- 선택한 이미지 태그 또는 이 이미지의 모든 태그에 대해 CVE를 연기하려면 선택합니다.
- 지연 이유를 입력합니다.
- 요청 승인 을 클릭합니다.
- CVE 오른쪽에 있는 파란색 정보 아이콘을 선택하고 승인 링크를 복사하여 조직의 미네임 승인자와 공유할 수 있습니다.
10.1.5.2. 잘못된 긍정 또는 지연된 CVE 검토
다음 절차를 사용하여 잘못된 긍정 또는 지연된 CVE를 검토합니다.
사전 요구 사항
-
VulnerabilityManagementApprovals리소스에 대한쓰기권한이 있어야 합니다.
false positive를 검토하거나 CVE를 연기할 수 있습니다.
절차
- 브라우저 또는 RHACS 포털에서 승인 링크를 엽니다.
-
취약점 관리
위험 수락 으로 이동하여 CVE를 검색합니다. - 취약점 범위를 검토하고 승인할지 여부를 결정합니다.
-
CVE의 맨 오른쪽에 있는
를 클릭하고 승인 요청을 승인하거나 거부합니다.
10.1.6. 팀에 취약점 보고
조직이 지속적으로 취약점을 재평가하고 보고해야 하므로 일부 조직에서는 취약점 관리 프로세스에 도움이 되는 주요 이해관계자들에게 통신을 예약하는 것이 도움이 되는 것을 알고 있습니다.
Red Hat Advanced Cluster Security for Kubernetes를 사용하여 이메일을 통해 이러한 재귀적 통신을 예약할 수 있습니다. 이러한 커뮤니케이션은 주요 이해관계자가 필요로 하는 가장 관련있는 정보로 범위가 지정되어야 합니다.
이러한 통신을 보내려면 다음 질문을 고려해야 합니다.
- 이해 관계자와 통신 할 때 어떤 일정이 가장 큰 영향을 미칠 수 있습니까?
- 관객은 누구입니까?
- 보고서에 특정 심각도 보안 취약점만 보내야 합니까?
- 보고서에 수정 가능한 취약점만 보내야 합니까?
10.1.6.1. 취약점 관리 보고서 예약
다음 절차에서는 예약된 취약점 보고서를 생성합니다.
절차
-
RHACS 포털에서 취약점 관리
보고 로 이동합니다. - 보고서 만들기를 클릭합니다.
- 보고서 이름 필드에 보고서 이름을 입력합니다.Enter a name for your report in the Report name field.
- Repeat report…에서 보고서의 주간 또는 월간 주기를 선택합니다.
- 보고서에 대한 설명 을 입력합니다.
- 수정 가능한 취약점, 특정 심각도의 취약점 또는 마지막으로 예약된 보고서 이후에만 표시되는 취약점을 보고하려는 경우 보고서의 범위를 선택합니다.
- Configure resource scope (리소스 범위 구성)의 경우 취약점이 적용되는 리소스의 범위를 선택합니다.
- 전자 메일 알림기를 선택하거나 작성하여 보고서를 전자 메일로 보내고 알림 및 배포 아래에서 배포 목록을 구성합니다.Select or create an e-mail notifier to send your report by e-mail and configure your distribution list under Notification and distribution.
- 만들기를 선택하여 보고서를 예약합니다.Select Create to schedule the report.
10.1.6.2. 취약점 보고서 전송
다음 절차에서는 취약점 보고서를 보냅니다.
절차
-
RHACS 포털에서 취약점 관리
보고 로 이동합니다. - 보고서 목록에서 보고서를 선택합니다.From the list of reports, select the report.
-
보고서 오른쪽에 있는
를 선택하고 보고서 실행을 클릭하여 지금.
10.1.6.3. 취약점 보고서 편집
다음 절차에서는 취약점 보고서를 편집합니다.
절차
-
RHACS 포털에서 취약점 관리
보고 로 이동합니다. - 보고서 목록에서 보고서를 선택합니다.From the list of reports, select the report.
-
보고서 오른쪽에 있는
를 선택하고 편집 을 클릭합니다.
- 필요에 따라 보고서를 수정합니다.
- 저장을 클릭합니다.
10.1.6.4. 취약점 보고서 삭제
다음 절차에서는 취약점 보고서를 삭제합니다.
절차
-
RHACS 포털에서 취약점 관리
보고 로 이동합니다. - 보고서 목록에서 보고서를 선택합니다.From the list of reports, select the report.
-
보고서 오른쪽에 있는
를 선택하고 보고서 삭제 를 클릭합니다.
