Red Hat Summit아키텍처
시스템 아키텍처
초록
1장. Red Hat Advanced Cluster Security for Kubernetes 아키텍처
Red Hat Advanced Cluster Security for Kubernetes 아키텍처 및 개념에 대해 알아보십시오.
1.1. Red Hat Advanced Cluster Security for Kubernetes 아키텍처 개요
RHACS(Red Hat Advanced Cluster Security for Kubernetes)는 대규모 배포를 지원하는 분산 아키텍처를 사용하며 기본 OpenShift Container Platform 또는 Kubernetes 노드에 미치는 영향을 최소화하기 위해 최적화되었습니다.
RHACS 아키텍처
다음 그림에서는 StackRox 스캐너 및 스캐너 V4 구성 요소가 있는 아키텍처를 보여줍니다. scanner V4 설치는 선택 사항이지만 추가 이점을 제공합니다.
스캐너 V4는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. Red Hat은 프로덕션 환경에서 사용하는 것을 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
OpenShift Container Platform 또는 Kubernetes 클러스터에서 RHACS를 컨테이너 세트로 설치합니다. RHACS에는 다음 서비스가 포함되어 있습니다.
- 하나의 클러스터에 설치하는 중앙 서비스
- RHACS에서 보호하려는 각 클러스터에 설치하는 보안 클러스터 서비스
이러한 기본 서비스 외에도 RHACS는 다른 외부 구성 요소와 상호 작용하여 클러스터의 보안을 강화합니다.
설치 차이점
Operator를 사용하여 OpenShift Container Platform에 RHACS를 설치할 때 RHACS는 모든 보안 클러스터에 간단한 버전의 스캐너를 설치합니다. 경량 스캐너를 사용하면 통합 OpenShift 이미지 레지스트리에서 이미지를 스캔할 수 있습니다. 기본값 과 함께 Helm 설치 방법을 사용하여 OpenShift Container Platform 또는 Kubernetes에 RHACS를 설치하면 간단한 스캐너 버전이 설치되지 않습니다. Helm을 사용하여 보안 클러스터에 경량 스캐너를 설치하려면 scanner.disable=false 매개변수를 설정해야 합니다. roxctl 설치 방법을 사용하여 경량 스캐너를 설치할 수 없습니다.
추가 리소스
1.2. 중앙 서비스
단일 클러스터에 중앙 서비스를 설치합니다. 이러한 서비스에는 다음 구성 요소가 포함됩니다.
- Central 은 RHACS 애플리케이션 관리 인터페이스 및 서비스입니다. API 상호 작용 및 사용자 인터페이스(RHACS 포털) 액세스를 처리합니다. 동일한 중앙 인스턴스를 사용하여 여러 OpenShift Container Platform 또는 Kubernetes 클러스터를 보호할 수 있습니다.
- Central DB: Central DB는 RHACS의 데이터베이스이며 모든 데이터 지속성을 처리합니다. 현재 PostgreSQL 13을 기반으로 합니다.
스캐너 V4 (기술 프리뷰): 버전 4.4부터 RHACS에는 컨테이너 이미지를 스캔하기 위한 스캐너 V4 취약점 스캐너가 포함되어 있습니다. 스캐너 V4는 ClairCore 를 기반으로 하며 Clair 스캐너의 전원을 켭니다. 스캐너 V4는 언어 및 OS별 이미지 구성 요소의 스캔을 지원합니다. 버전 4.4의 경우 이 스캐너를 StackRox 스캐너와 함께 사용하여 스캐너 V4에서 이러한 기능을 지원할 때까지 노드 및 플랫폼 스캔 기능을 제공해야 합니다. scanner V4에는 Indexer, Matcher 및 DB 구성 요소가 포함되어 있습니다.
중요스캐너 V4는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. Red Hat은 프로덕션 환경에서 사용하는 것을 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
- scanner V4 Indexer: 스캐너 V4 Indexer는 이전에 이미지 분석이라고 하는 이미지 인덱싱을 수행합니다. 이미지 및 레지스트리 인증 정보가 지정되면 Indexer가 레지스트리에서 이미지를 가져옵니다. 기본 운영 체제(있는 경우)를 찾고 패키지를 찾습니다. 지정된 이미지에 대한 결과가 포함된 인덱스 보고서를 저장하고 출력합니다.
- scanner V4 Matcher: 스캐너 V4 Matcher는 취약점 일치를 수행합니다. 중앙 서비스 스캐너 V4 Indexer가 이미지를 인덱싱한 경우 Matcher는 Indexer에서 인덱스 보고서를 가져와서 scanner V4 데이터베이스에 저장된 취약점과 일치하는 보고서와 일치합니다. Secured Cluster Services Scanner V4 Indexer가 인덱싱을 수행한 경우 Matcher는 해당 Indexer에서 전송된 인덱스 보고서를 사용한 다음 취약점과 일치합니다. Matcher는 취약점 데이터를 가져와서 최신 취약점 데이터로 Scanner V4 데이터베이스를 업데이트합니다. 스캐너 V4 Matcher는 이미지의 최종 결과가 포함된 취약점 보고서를 출력합니다.
- scanner V4 DB: 이 데이터베이스는 모든 취약점 데이터 및 인덱스 보고서를 포함하여 scanner V4에 대한 정보를 저장합니다. Central이 설치된 클러스터의 scanner V4 DB에는 PVC(영구 볼륨 클레임)가 필요합니다.
- StackRox 스캐너: StackRox 스캐너는 RHACS의 기본 스캐너입니다. 버전 4.4에는 새로운 스캐너인 scanner V4가 추가되었습니다. StackRox 스캐너는 Clair v2 오픈 소스 스캐너의 포크에서 시작됩니다. RHCOS 노드 검사 및 플랫폼 검사를 위해 이 스캐너를 계속 사용해야 합니다.
- scanner-DB: 이 데이터베이스에는 StackRox 스캐너에 대한 데이터가 포함되어 있습니다.
RHACS 스캐너는 각 이미지 계층을 분석하여 기본 운영 체제를 확인하고 운영 체제 패키지 관리자가 설치한 프로그래밍 언어 패키지 및 패키지를 식별합니다. 이러한 취약점은 다양한 취약점 소스의 알려진 취약점과 일치하는 결과를 찾습니다. 또한 StackRox 스캐너는 노드의 운영 체제 및 플랫폼의 취약점을 식별합니다. 이러한 기능은 향후 릴리스에서 scanner V4에 대해 계획되어 있습니다.
1.2.1. 취약점 소스
RHACS는 다음 취약점 소스를 사용합니다.
- Alpine 보안 데이터베이스
- Amazon Linux Security Center에서 추적된 데이터
- Debian Security Tracker
- Oracle OVAL
- Cryostat OVAL
- Red Hat OVAL
- Red Hat CVE 맵: Red Hat Container Catalog 에 표시되는 이미지에 사용됩니다.
- SUSE OVAL
- Ubuntu OVAL
OSV: Go, Java, Node.js(JavaScript), Python 및 Ruby와 같은 언어 관련 취약점에 사용됩니다. 이 소스는 취약점의 CVE 번호가 아닌 GitHub Security Advisory(GHSA) ID를 제공할 수 있습니다.
참고NVD: 이는 공급업체가 정보를 제공하지 않을 때 정보 격차를 채우는 것과 같은 다양한 용도로 사용됩니다. 예를 들어 Alpine은 설명, CVSS 점수, 심각도 또는 게시된 날짜를 제공하지 않습니다.
참고이 제품은 NVD API를 사용하지만 NVD에서 보증하거나 인증되지는 않습니다.
- StackRox: 업스트림 StackRox 프로젝트는 다른 소스의 데이터 형식 또는 데이터 부족으로 인해 발견되지 않을 수 있는 일련의 취약점을 유지 관리합니다.
스캐너 V4 Indexer는 다음 소스를 사용합니다.
- repository-to-cpe.json: RPM 리포지토리를 관련 CPE에 매핑하며, 이는 RHEL 기반 이미지의 일치 취약점에 필요합니다.
- container-name-repos-map.json: 컨테이너 이름이 제공된 리포지토리와 일치합니다.
1.3. 보안 클러스터 서비스
RHACS 클라우드 서비스를 사용하여 보호할 각 클러스터에 보안 클러스터 서비스를 설치합니다. 보안 클러스터 서비스에는 다음 구성 요소가 포함됩니다.
- sensor: Sensor는 클러스터를 분석하고 모니터링하는 서비스입니다. 센서는 OpenShift Container Platform 또는 Kubernetes API 및 수집기 이벤트를 수신 대기하여 클러스터의 현재 상태를 보고합니다. 또한 센서는 RHACS 클라우드 서비스 정책을 기반으로 배포 시간 및 런타임 위반을 트리거합니다. 또한 센서는 네트워크 정책 적용, RHACS 클라우드 서비스 정책의 재처리 시작, Admission 컨트롤러와의 상호 작용과 같은 모든 클러스터 상호 작용을 담당합니다.
- 승인 컨트롤러: Admission Controller는 사용자가 RHACS 클라우드 서비스에서 보안 정책을 위반하는 워크로드를 생성하지 못하도록 합니다.
- collector: 수집기는 클러스터 노드에서 컨테이너 활동을 분석하고 모니터링합니다. 컨테이너 런타임 및 네트워크 활동 정보를 수집하고 수집된 데이터를 센서로 전송합니다.
- StackRox Scanner: Kubernetes에서 보안 클러스터 서비스에는 스캐너 슬림이 선택적 구성 요소로 포함됩니다. 그러나 OpenShift Container Platform에서 RHACS 클라우드 서비스는 보안된 각 클러스터에 Scanner-slim 버전을 설치하여 OpenShift Container Platform 통합 레지스트리 및 기타 레지스트리의 이미지를 스캔합니다.
- scanner-DB: 이 데이터베이스에는 StackRox 스캐너에 대한 데이터가 포함되어 있습니다.
스캐너 V4: 스캐너 V4 구성 요소가 활성화된 경우 보안 클러스터에 설치됩니다.
중요스캐너 V4는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. Red Hat은 프로덕션 환경에서 사용하는 것을 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
- scanner V4 Indexer: 스캐너 V4 Indexer는 이전에 이미지 분석이라고 하는 이미지 인덱싱을 수행합니다. 이미지 및 레지스트리 인증 정보가 지정되면 Indexer가 레지스트리에서 이미지를 가져옵니다. 기본 운영 체제(있는 경우)를 찾고 패키지를 찾습니다. 지정된 이미지에 대한 결과가 포함된 인덱스 보고서를 저장하고 출력합니다.
scanner V4 DB : 스캐너 V4 가 활성화된 경우 이 구성 요소가 설치됩니다. 이 데이터베이스는 인덱스 보고서를 포함하여 scanner V4에 대한 정보를 저장합니다. 최상의 성능을 위해 scanner V4 DB에 대한 PVC(영구 볼륨 클레임)를 구성합니다.
참고보안 클러스터 서비스가 중앙 서비스와 동일한 클러스터에 설치되고 동일한 네임스페이스에 설치된 경우 보안 클러스터 서비스는 스캐너 V4 구성 요소를 배포하지 않습니다. 대신 중앙 서비스에 이미 scanner V4 배포가 포함되어 있다고 가정합니다.
1.4. 외부 구성 요소
Red Hat Advanced Cluster Security for Kubernetes(RHACS)는 다음 외부 구성 요소와 상호 작용합니다.
- 타사 시스템: RHACS를 CI/CD 파이프라인,SIEM(이벤트 관리) 시스템, 로깅, 이메일 등과 같은 다른 시스템과 통합할 수 있습니다.
-
roxctl:roxctl은 RHACS에서 명령을 실행하기 위한 CLI(명령줄 인터페이스)입니다. - 이미지 레지스트리: RHACS를 다양한 이미지 레지스트리와 통합하고 RHACS를 사용하여 이미지를 스캔하고 볼 수 있습니다. RHACS는 보안 클러스터에서 검색된 이미지 풀 시크릿을 사용하여 활성 이미지의 레지스트리 통합을 자동으로 구성합니다. 그러나 비활성 이미지를 스캔하려면 레지스트리 통합을 수동으로 구성해야 합니다.
-
definitions.stackrox.io: RHACS는definitions.stackrox.io엔드포인트의 다양한 취약점 피드의 데이터를 집계하고 이 정보를 Central에 전달합니다. 피드에는 일반, NVD(National Vulnerability Database) 데이터 및 Alpine, Debian 및 Ubuntu와 같은 배포별 데이터가 포함됩니다. -
collector-modules.stackrox.io: Central은 지원되는 커널 모듈을 확보하고 이러한 모듈을 수집기에 전달하기 위해collector-modules.stackrox.io에 도달합니다.
1.5. 서비스 간 상호 작용
이 섹션에서는 RHACS 서비스가 서로 상호 작용하는 방법을 설명합니다.
| Component | 방향 | Component | 설명 |
|---|---|---|---|
| Central | ⮂ | scanner V4 Indexer | Central은 지정된 이미지를 다운로드 및 인덱스(분석)하도록 Indexer를 요청합니다. 이 프로세스는 인덱스 보고서가 생성됩니다. scanner V4 Indexer는 인덱싱 프로세스를 지원하는 Central에서 매핑 파일을 요청합니다. |
| Central | ⮂ | 스캐너 V4 Matcher | 중앙에서는 스캐너 V4가 지정된 이미지와 알려진 취약점과 일치하도록 요청합니다. 이 프로세스는 최종 검사 결과인 취약점 보고를 생성합니다. scanner V4 Matcher는 Central의 최신 취약점을 요청합니다. |
| 센서 | ⮂ | scanner V4 Indexer |
|
| scanner V4 Indexer | → | 이미지 레지스트리 | Indexer는 레지스트리에서 이미지 메타데이터를 가져와서 이미지의 계층을 확인하고 이전에 인덱싱되지 않은 각 계층을 다운로드합니다. |
| 스캐너 V4 Matcher | → | scanner V4 Indexer | scanner V4 Matcher는 Indexer에서 이미지 인덱싱, 인덱스 보고서의 결과를 요청합니다. 그런 다음 보고서를 사용하여 관련 취약점을 결정합니다. 이 상호 작용은 중앙 클러스터에서 이미지를 인덱싱할 때만 발생합니다. scanner V4가 보안 클러스터에서 인덱싱된 이미지의 취약점과 일치하는 경우 이러한 상호 작용은 발생하지 않습니다. |
| scanner V4 Indexer | → | 스캐너 V4 DB | Indexer는 인덱싱 결과와 관련된 데이터를 저장하여 이미지 계층이 한 번만 다운로드 및 인덱싱되도록 합니다. 이렇게 하면 불필요한 네트워크 트래픽 및 기타 리소스 사용률이 방지됩니다. |
| 스캐너 V4 Matcher | → | 스캐너 V4 DB | scanner V4 Matcher는 모든 취약점 데이터를 데이터베이스에 저장하고 주기적으로 이 데이터를 업데이트합니다. 스캐너 V4 인덱서는 이 데이터를 취약점 일치 프로세스의 일부로 쿼리합니다. |
| 센서 | ⮂ | Central | 중앙과 센서 사이에는 양방향 통신이 있습니다. 센서는 주기적으로 중앙을 폴링하여 센서 번들 구성에 대한 업데이트를 다운로드합니다. 또한 보안 클러스터에 대해 관찰된 활동 및 관찰된 정책 위반에 대한 이벤트를 보냅니다. Central은 활성화된 정책에 대해 모든 배포를 강제 처리하기 위해 센서와 통신합니다. |
| 수집기 | ⮂ | 센서 | 수집기는 센서와 통신하고 모든 이벤트를 클러스터의 각 센서로 보냅니다. 지원되는 OpenShift Container Platform 클러스터에서 수집기는 노드에 설치된 소프트웨어 패키지를 분석하여 나중에 스캐너에서 취약점을 검사하도록 센서로 보냅니다. 또한 수집기는 센서에서 누락된 드라이버를 요청합니다. 센서는 수집기에서 규정 준수 검사 결과를 요청합니다. 또한 Sensor는 Central에서 외부 Classless Inter-Domain Routing 정보를 수신하여 수집기로 푸시합니다. |
| 허용 컨트롤러 | ⮂ | 센서 | 센서는 Admission Controller에 적용할 보안 정책 목록을 보냅니다. 승인 컨트롤러는 보안 정책 위반 경고를 센서에 보냅니다. 허용 컨트롤러는 필요한 경우 센서에서 이미지 검사를 요청할 수도 있습니다. |
| 허용 컨트롤러 | ➞ | Central | 그러나 중앙 끝점이 알려지고 Sensor를 사용할 수 없는 경우 Admission Controller는 Central과 직접 통신할 수 있습니다. |
스캐너 V4는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. Red Hat은 프로덕션 환경에서 사용하는 것을 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
| Component | 방향 | 상호 작용 | 설명 |
|---|---|---|---|
| Central | ⮂ | 스캐너 | 중앙과 스캐너 사이에는 양방향 통신이 있습니다. 중앙 집중식에서는 스캐너에서 이미지 검사를 요청하고 스캐너는 Central에서 CVE 데이터베이스에 대한 업데이트를 요청합니다. |
| Central | ➞ |
|
Central은 |
| Central | ➞ |
|
중앙에서는 |
| Central | ➞ | 이미지 레지스트리 | 중앙에서는 이미지 레지스트리를 쿼리하여 이미지 메타데이터를 가져옵니다. 예를 들어 RHACS 포털에서 Dockerfile 명령을 표시하려면 다음을 수행합니다. |
| 스캐너 | ➞ | 이미지 레지스트리 | 스캐너는 이미지 레지스트리에서 이미지를 가져와서 취약점을 식별합니다. |
| 센서 | ⮂ | Central | 중앙과 센서 사이에는 양방향 통신이 있습니다. 센서는 센서 번들 구성에 대한 업데이트를 다운로드하기 위해 주기적으로 폴링합니다. 또한 보안 클러스터에 대해 관찰된 활동 및 관찰된 정책 위반에 대한 이벤트를 보냅니다. Central은 활성화된 정책에 대해 모든 배포를 강제 처리하기 위해 센서와 통신합니다. |
| 센서 | ⮂ | 스캐너 |
센서는 보안 클러스터에 설치된 경량 스캐너와 통신할 수 있습니다. 이 연결을 통해 센서는 Central이 액세스할 수 없는 시나리오에서 보안 클러스터에서 직접 레지스트리에 액세스할 수 있습니다. 스캐너는 센서에서 업데이트된 데이터를 요청하고, 센서는 이러한 요청을 Central로 전달하며, 중앙에서는 |
| 수집기 | ⮂ | 센서 | 수집기는 센서와 통신하고 모든 이벤트를 클러스터의 각 센서로 보냅니다. 지원되는 OpenShift Container Platform 클러스터에서 수집기는 노드에 설치된 소프트웨어 패키지를 분석하여 나중에 스캐너에서 취약점을 검사하도록 센서로 보냅니다. 또한 수집기는 센서에서 누락된 드라이버를 요청합니다. 센서는 수집기에서 규정 준수 검사 결과를 요청합니다. 또한 Sensor는 Central에서 외부 Classless Inter-Domain Routing 정보를 수신하여 수집기로 푸시합니다. |
| 허용 컨트롤러 | ⮂ | 센서 | 센서는 Admission Controller에 적용할 보안 정책 목록을 보냅니다. 승인 컨트롤러는 보안 정책 위반 경고를 센서에 보냅니다. 허용 컨트롤러는 필요한 경우 센서에서 이미지 검사를 요청할 수도 있습니다. |
| 허용 컨트롤러 | ➞ | Central | 그러나 중앙 끝점이 알려지고 Sensor를 사용할 수 없는 경우 Admission Controller는 Central과 직접 통신할 수 있습니다. |
