Red Hat SummitThis documentation is for a release that is no longer maintained.
You can select a different version or view all RHACS documentation.3장. 규정 준수 관리
3.1. 컴플라이언스 1.0 기능 관리
Red Hat Advanced Cluster Security for Kubernetes를 사용하면 컨테이너화된 인프라의 규정 준수 상태를 평가, 확인 및 보고할 수 있습니다. 다음과 같은 업계 표준을 기반으로 즉시 사용 가능한 규정 준수 검사를 실행할 수 있습니다.
- Docker 및 Kubernetes용 CIS 벤치마크 (Internet Security용Center)
- HIPAA (Health Insurance Portability and Accountability Act)
- NIST Special Publication 800-190 및 800-53 (National Institute of Standards and Technology)
- PCI DSS (Payment Card Industry Data Security Standard)
- OpenSCAP (Open Security Content Automation Protocol): RHACS에 결과를 제공하도록 Compliance Operator가 설치 및 구성된 경우 OpenShift Container Platform 클러스터용 RHACS에서 사용 가능
이러한 표준을 기반으로 하는 환경을 스캔하면 다음을 수행할 수 있습니다.
- 규제 준수를 위해 인프라를 평가합니다.
- Docker Engine 및 Kubernetes 오케스트레이터 강화.
- 환경의 전체 보안 상태를 이해하고 관리합니다.
- 클러스터, 네임스페이스 및 노드에 대한 규정 준수 상태를 자세히 봅니다.
3.1.1. 규정 준수 대시보드 보기
규정 준수 대시보드는 환경의 모든 클러스터, 네임스페이스 및 노드에서 규정 준수 표준을 개괄적으로 표시합니다.
규정 준수 대시보드에는 차트가 포함되어 있으며 규정 준수 요구 사항으로 잠재적인 문제를 조사할 수 있는 옵션을 제공합니다. 단일 클러스터, 네임스페이스 또는 노드에 대한 규정 준수 검사 결과로 이동할 수 있습니다. 또한 컨테이너화된 환경의 규정 준수 상태에 대한 보고서를 생성할 수 있습니다.
프로세스
- RHACS 포털의 탐색 메뉴에서 Compliance(1.0) 를 선택합니다.
규정 준수 대시보드를 처음 열면 빈 대시보드가 표시됩니다. 대시보드를 채우려면 규정 준수 스캔을 실행해야 합니다.
3.1.2. 규정 준수 검사 실행
규정 준수 검사를 실행하면 모든 규정 준수 표준에서 전체 인프라에 대한 규정 준수 상태를 확인합니다. 규정 준수 검사를 실행하면 Red Hat Advanced Cluster Security for Kubernetes는 해당 환경의 데이터 스냅샷을 사용합니다. 데이터 스냅샷에는 경고, 이미지, 네트워크 정책, 배포 및 관련 호스트 기반 데이터가 포함됩니다. Central은 클러스터에서 실행되는 센서에서 호스트 기반 데이터를 수집합니다. 그 후 Central은 각 컬렉터 Pod에서 실행 중인 규정 준수 컨테이너에서 더 많은 데이터를 수집합니다. 규정 준수 컨테이너는 환경에 대한 다음 데이터를 수집합니다.
- Docker 데몬, Docker 이미지 및 Docker 컨테이너에 대한 구성입니다.
- Docker 네트워크에 대한 정보입니다.
- Docker, Kubernetes 및 OpenShift Container Platform의 명령줄 인수 및 프로세스.
- 특정 파일 경로의 권한.
- 핵심 Kubernetes 및 OpenShift Container Platform 서비스에 대한 구성 파일입니다.
데이터 수집이 완료되면 Central은 데이터를 확인하여 결과를 확인합니다. 규정 준수 대시보드에서 결과를 보고 결과를 기반으로 규정 준수 보고서를 생성할 수도 있습니다.
규정 준수 검사에서 다음을 수행합니다.
- Control 은 감사자가 해당 표준을 준수하기 위해 정보 시스템을 평가하는 업계 또는 규정 준수 표준의 단일 라인 항목을 설명합니다. Red Hat Advanced Cluster Security for Kubernetes는 하나 이상의 검사를 완료하여 단일 제어 준수의 증거를 확인합니다.
- 검사는 단일 제어 평가 중에 수행되는 단일 테스트입니다.
-
일부 컨트롤에는 연결된 여러 검사가 있습니다. 컨트롤에 연결된 검사 중 하나라도 실패하면 전체 컨트롤 상태가 Fail로 표시됩니다.If any of the associated check fails for a control, the entire control state is marked as
Fail.
프로세스
- RHACS 포털로 이동하여 탐색 메뉴에서 규정 준수 (1.0)를 선택하여 규정 준수 대시보드를 엽니다.
선택 사항: 기본적으로 모든 표준에 따른 정보가 규정 준수 결과에 표시됩니다. 특정 표준의 정보만 보려면 다음 단계를 수행합니다.
- 표준 관리를 클릭합니다.
- 기본적으로 모든 기준이 선택됩니다. 표시할 특정 표준의 확인란을 지우고 저장을 클릭합니다. 선택되지 않은 표준이 대시보드 디스플레이( 위젯 포함), 대시보드에서 액세스할 수 있는 규정 준수 결과 테이블 및 내보내기 버튼을 사용하여 생성된 PDF 파일에 표시되지 않습니다. 그러나 결과가 CSV 파일로 내보낼 때 모든 기본 표준이 포함됩니다.
검사 환경을 클릭합니다.
참고전체 환경을 스캔하는 데 약 2분이 걸립니다. 이 시간은 환경의 클러스터 및 노드 수에 따라 다를 수 있습니다.
검증
- RHACS 포털에서 구성 관리로 이동합니다.
- CIS Kubernetes v1.5 위젯에서 Scan을 클릭합니다.
- RHACS에는 규정 준수 검사가 진행 중임을 나타내는 메시지가 표시됩니다.
3.1.3. 컴플라이언스 검사 결과 보기
규정 준수 검사를 실행하면 규정 준수 대시보드에 환경에 대한 규정 준수 상태로 결과가 표시됩니다. 대시보드에서 직접 규정 준수 위반을 보고 세부 정보 보기를 필터링하고 규정 준수 표준을 드릴다운하여 환경을 특정 벤치마크에 대해 준수하는지 파악할 수 있습니다. 이 섹션에서는 규정 준수 검사 결과를 보고 필터링하는 방법을 설명합니다.
바로 가기를 사용하여 클러스터, 네임스페이스 및 노드의 규정 준수 상태를 확인할 수 있습니다. 규정 준수 대시보드 상단에서 이러한 바로 가기를 찾습니다. 이러한 바로 가기를 클릭하면 규정 준수 스냅샷을 보고 클러스터, 네임스페이스 또는 노드의 전체 규정 준수에 대한 보고서를 생성할 수 있습니다.
규정 준수 상태
| 상태 | 설명 |
|---|---|
|
| 규정 준수 확인에 실패했습니다. |
|
| 규정 준수 검사가 통과되었습니다. |
|
| Red Hat Advanced Cluster Security for Kubernetes는 적용되지 않기 때문에 검사를 건너뛰었습니다. |
|
|
규정 준수 점검에서 데이터를 수집했지만 Red Hat Advanced Cluster Security for Kubernetes는 |
|
| 기술적인 문제로 인해 규정 준수 확인이 실패했습니다. |
3.1.3.1. 클러스터의 규정 준수 상태 보기
규정 준수 대시보드에서 모든 클러스터 또는 단일 클러스터에 대한 규정 준수 상태를 볼 수 있습니다.
프로세스
사용자 환경의 모든 클러스터에 대한 규정 준수 상태를 보려면 다음을 수행합니다.
- RHACS 포털로 이동하여 탐색 메뉴에서 규정 준수 (1.0)를 선택하여 규정 준수 대시보드를 엽니다.
- 규정 준수 대시보드에서 클러스터를 클릭합니다.
사용자 환경의 특정 클러스터에 대한 규정 준수 상태를 보려면 다음을 수행합니다.
- RHACS 포털로 이동하여 탐색 메뉴에서 규정 준수 (1.0)를 선택하여 규정 준수 대시보드를 엽니다.
- 규정 준수 대시보드에서 클러스터 위젯을 통해 통과 표준을 찾습니다.
- 이 위젯에서 클러스터 이름을 클릭하여 규정 준수 상태를 확인합니다.
3.1.3.2. 네임스페이스의 규정 준수 상태 보기
규정 준수 대시보드에서 모든 네임스페이스 또는 단일 네임스페이스에 대한 규정 준수 상태를 볼 수 있습니다.
프로세스
사용자 환경의 모든 네임스페이스에 대한 규정 준수 상태를 보려면 다음을 수행합니다.
- RHACS 포털로 이동하여 탐색 메뉴에서 규정 준수 (1.0)를 선택하여 규정 준수 대시보드를 엽니다.
- 규정 준수 대시보드에서 네임스페이스 를 클릭합니다.
사용자 환경에서 특정 네임스페이스에 대한 규정 준수 상태를 보려면 다음을 수행합니다.
- RHACS 포털로 이동하여 탐색 메뉴에서 규정 준수 (1.0)를 선택하여 규정 준수 대시보드를 엽니다.
- 네임스페이스를 클릭하여 네임스페이스 세부 정보 페이지를 엽니다.
- 네임스페이스 표에서 네임스페이스를 클릭합니다. 오른쪽에 측면 패널이 열립니다.
- 측면 패널에서 네임스페이스 이름을 클릭하여 규정 준수 상태를 확인합니다.
3.1.3.3. 특정 표준에 대한 규정 준수 상태 보기
Red Hat Advanced Cluster Security for Kubernetes는 NIST, PCI DSS, NIST, HIPAA, CIS for Kubernetes 및 CIS for Docker 준수 표준을 지원합니다. 단일 규정 준수 표준에 대한 모든 규정 준수 제어를 볼 수 있습니다.
프로세스
- RHACS 포털로 이동하여 탐색 메뉴에서 규정 준수 (1.0)를 선택하여 규정 준수 대시보드를 엽니다.
- 규정 준수 대시보드에서 클러스터 클러스터 위젯에서 통과 표준을 찾습니다.
- 이 위젯에서 표준을 클릭하여 해당 표준과 연결된 모든 컨트롤에 대한 정보를 봅니다.
CIS Docker의 많은 제어는 각 Kubernetes 노드에서 Docker 엔진의 구성을 나타냅니다. 또한 많은 CIS Docker 제어는 컨테이너를 빌드하고 사용하기 위한 모범 사례이며 RHACS에는 사용을 강제 적용하는 정책이 있습니다. 자세한 내용은 "추가 리소스"의 "보안 정책 관리"를 참조하십시오.
3.1.3.4. 특정 제어에 대한 규정 준수 상태 보기
선택한 표준에 대한 특정 제어에 대한 규정 준수 상태를 볼 수 있습니다.
프로세스
- RHACS 포털에서 Compliance(1.0) 로 이동합니다.
- 규정 준수 대시보드에서 클러스터 위젯을 통해 통과 표준을 찾습니다.
- 이 위젯에서 표준을 클릭하여 해당 표준과 연결된 모든 컨트롤에 대한 정보를 봅니다.
- Controls 표에서 컨트롤을 클릭합니다. 오른쪽에 측면 패널이 열립니다.
- 측면 패널에서 컨트롤 이름을 클릭하여 세부 정보를 확인합니다.
3.1.4. 규정 준수 상태 필터링
Red Hat Advanced Cluster Security for Kubernetes 검색을 사용하면 규정 준수 대시보드에서 다양한 데이터 조합을 쉽게 필터링할 수 있습니다. 클러스터, 업계 표준, 통과 또는 실패 제어의 하위 집합에 집중하기 위해 규정 준수 대시보드에 표시되는 데이터의 범위를 좁힐 수 있습니다.
프로세스
- RHACS 포털로 이동하여 탐색 메뉴에서 규정 준수 (1.0)를 선택하여 규정 준수 대시보드를 엽니다.
- 규정 준수 대시보드에서 클러스터 또는 네임스페이스 또는 노드를 선택하여 세부 정보 페이지를 엽니다.
- 검색 창에 필터링 기준을 입력한 다음 Enter 키를 누릅니다.
3.1.5. 규정 준수 보고서 생성
Red Hat Advanced Cluster Security for Kubernetes를 사용하면 보고서를 생성하여 환경의 규정 준수 상태를 추적할 수 있습니다. 이러한 보고서를 사용하여 다른 이해 관계자에게 다양한 산업상 규정 준수 상태를 전달할 수 있습니다.
다음을 생성할 수 있습니다.
- Executive는 비즈니스 측면에 중점을 두고 있으며 PDF 형식의 규정 준수 상태에 대한 차트 및 요약을 포함하는 보고서 입니다.
- 기술적인 측면에 중점을 두고 있고 CSV 형식으로 자세한 정보를 포함하는 증명 보고서 입니다.
프로세스
- RHACS 포털로 이동하여 탐색 메뉴에서 규정 준수 (1.0)를 선택하여 규정 준수 대시보드를 엽니다.
규정 준수 대시보드에서 내보내기 를 클릭합니다.
- 핵심 보고서를 생성하려면 다운로드 페이지를 PDF로 선택합니다.
- 증명 보고서를 생성하려면 CSV로 Evidence 다운로드를 선택합니다.
내보내기 옵션은 모든 규정 준수 페이지 및 필터링된 뷰에 나타납니다.
3.1.5.1. 인증 보고서
Red Hat Advanced Cluster Security for Kubernetes의 포괄적인 규정 준수 관련 데이터를 증명 보고서로 CSV 형식으로 내보낼 수 있습니다. 이 증명 보고서에는 규정 준수 평가에 대한 자세한 정보가 포함되어 있으며 규정 준수 감사자, DevOps 엔지니어 또는 보안 실무자와 같은 기술 역할에 맞게 조정됩니다.
증명 보고서에는 다음 정보가 포함되어 있습니다.
| CSV 필드 | 설명 |
|---|---|
| Standard | 규정 준수 표준(예: CIS Kubernetes). |
| Cluster | 평가된 클러스터의 이름입니다. |
| 네임스페이스 | 배포가 존재하는 네임스페이스 또는 프로젝트의 이름입니다. |
| 오브젝트 유형 |
오브젝트의 Kubernetes 엔터티 유형입니다. 예를 들어 |
| 오브젝트 이름 |
오브젝트를 고유하게 식별하는 Kubernetes 시스템 생성 문자열인 오브젝트의 이름입니다. 예를 들어 |
| 제어 | 규정 준수 표준에 표시되는 제어 번호입니다. |
| 제어 설명 | 제어가 수행되는 규정 준수 확인에 대한 설명입니다. |
| 상태 |
규정 준수 검사가 통과되었는지 또는 실패했는지 여부입니다. 예를 들면 |
| 증명 | 특정 규정 준수 검사가 실패하거나 통과한 이유에 대한 설명입니다. |
| 평가 시간 | 규정 준수 검사를 실행한 시간 및 날짜입니다. |
3.1.6. 지원되는 벤치마크 버전
Red Hat Advanced Cluster Security for Kubernetes는 다음과 같은 업계 표준 및 규제 프레임워크에 대한 규정 준수 검사를 지원합니다.
| 벤치마크 | 지원되는 버전 |
|---|---|
| Docker 및 Kubernetes용 CIS 벤치마크(Internet Security용Center) | CIS Kubernetes v1.5.0 및 CIS Docker v1.2.0 |
| HIPAA(Health Insurance Portability and Accountability Act) | HIPAA 164 |
| NIST (National Institute of Standards and Technology) | NIST Special Publication 800-190 및 800-53 Rev. 4 |
| PCI DSS (Payment Card Industry Data Security Standard) | PCI DSS 3.2.1 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}