홈
제품
Red Hat Advanced Cluster Security for Kubernetes
4.8
운영 체제
14장. 이미지 서명 확인

14장. 이미지 서명 확인

RHACS(Red Hat Advanced Cluster Security for Kubernetes)를 사용하면 사전 구성된 키에 대해 이미지 서명을 확인하여 클러스터에서 컨테이너 이미지의 무결성을 보장할 수 있습니다.

참고

RHACS는 Cosign 공개 키, Cosign 인증서 또는 둘 다를 사용하여 Cosign 서명 확인을 지원합니다.
Cosign에 대한 자세한 내용은 개요 (Sigstore 문서)를 참조하십시오.
Cosign 서명 확인을 위해 RHACS는 투명성 로그와의 통신을 지원합니다.
자세한 내용은 Rekor (Sigstore 문서)를 참조하십시오.
Cosign 서명 확인의 경우 RHACS에서 키리스 확인을 사용할 수 있습니다. 주요 인프라를 직접 호스팅하려면 RHCSS(Red Hat Trusted Artifact Signer)를 사용하여 이 작업을 수행할 수 있습니다.
서명 확인을 위해 하나 이상의 Cosign 확인 방법과 서명 통합을 구성해야 합니다.
배포된 모든 이미지와 감시된 이미지의 경우:
- RHACS는 4시간마다 서명을 가져와서 확인합니다.
- RHACS는 서명 통합 확인 데이터를 변경하거나 업데이트할 때마다 서명을 확인합니다.

14.1. 서명 통합을 사용하여 컨테이너 이미지 보안
링크 복사

서명 통합을 생성하면 신뢰할 수 있는 소스가 컨테이너 이미지에 서명하도록 할 수 있습니다.

서명 통합을 생성할 때 다음 확인 방법을 사용할 수 있습니다.

공개 키 공동 서명
인증서 공동 서명

투명 로그 유효성 검사를 활성화하여 서명 확인을 향상시킬 수도 있습니다. 투명성 로그는 서명을 공개 로그에 기록하고 암호화 인증서를 제공합니다. 공개 키 또는 인증서를 사용할 때 추적 가능성을 추가하고 신뢰를 증가시켜 확인을 강화할 수 있습니다.

중요

하나 이상의 신뢰할 수 있는 서명자를 구성해야 합니다. 신뢰할 수 있는 서명자를 구성하려면 Cosign 공개 암호화 키 또는 Cosign 인증서 체인을 지정해야 합니다. 단일 서명 통합에서 여러 이미지 서명자를 결합할 수 있습니다.

사전 요구 사항

Privacy Enhanced mail (PEM) 형식으로 인코딩되는 Cosign 공개 키가 있습니다.
Cosign 공개 키에 대한 자세한 내용은 개요 (Sigstore 문서)를 참조하십시오.
인증서 ID 및 발행자가 있습니다.
선택 사항: PEM 형식으로 인코딩되는 인증서 및 체인이 있습니다.
Cosign 인증서에 대한 자세한 내용은 서명 확인 (Sigstore 문서)을 참조하십시오.

프로세스

RHACS 포털에서 플랫폼 구성 통합을 클릭합니다.
서명 통합 섹션까지 아래로 스크롤한 다음 서명을 클릭합니다.
새 서명 통합을 만들려면 새 통합을 클릭합니다.
통합 이름을 입력합니다.
새 공개 키를 추가하려면 다음 단계를 완료합니다.
참고
- 공개 키를 추가하는 경우 새 인증서 확인을 생성할 필요가 없습니다.
- 하나 이상의 공개 키를 추가할 수 있습니다.
1. Cosign 공개 키를 확장한 다음 새 공개 키 추가 를 클릭합니다.
2. 키 이름을 입력합니다.
3. PEM 형식으로 인코딩된 키 값을 입력합니다.
새 인증서 확인을 추가하려면 다음 단계를 완료합니다.
중요
- 서명 통합을 생성할 때 Red Hat Trusted Artifact Signer(RHTAS)를 사용하여 이미지 서명에 키리스 확인을 사용하려면 새 인증서 확인을 추가해야 합니다.
- 하나 이상의 인증서 확인을 추가할 수 있습니다.
1. Cosign 인증서를 확장한 다음 새 인증서 확인 추가 를 클릭합니다.
2. Cosign에서 지정하는 인증서 OIDC 발행자를 입력합니다. 일치하는 경우 RE2 구문에서 정규식을 사용해야 합니다.
  자세한 내용은 google/re2 의 GitHub 리포지토리로 이동하여 Wiki 섹션을 연 다음 Syntax 페이지를 선택합니다.
3. Cosign에서 지정하는 인증서 ID를 입력합니다. 일치하는 경우 RE2 구문에서 정규식을 사용해야 합니다.
  자세한 내용은 google/re2 의 GitHub 리포지토리로 이동하여 Wiki 섹션을 연 다음 Syntax 페이지를 선택합니다.
4. PEM 형식으로 인코딩된 신뢰할 수 있는 인증서 루트를 입력하여 인증서를 확인합니다. 인증서 루트를 지정하지 않으면 공용 Fulcio 루트가 확인을 위해 자동으로 사용됩니다.
  자세한 내용은 Fulcio (Sigstore 문서)를 참조하십시오.
5. 신뢰할 수 있는 서명자 중간 인증 기관을 입력하여 인증서를 확인합니다. 인증 기관을 지정하지 않으면 인증서 체인이 확인을 위해 자동으로 사용됩니다.
6. 선택 사항: 인증서 투명성 로그 유효성 검사 사용 확인란을 선택하여 인증서 투명성 로그에 포함 여부를 검증합니다.
  인증서 투명성 로그에 포함 증명을 확인하는 데 사용할 공개 키를 입력합니다. 공개 키를 지정하지 않으면 공개 Sigstore 인스턴스의 키가 검증에 자동으로 사용됩니다.
Transparent 로그를 구성하려면 다음 단계를 완료합니다.
참고
서명 통합을 생성할 때 다음과 같은 상황에서 투명성 로그의 유효성 검사를 활성화할 수 있습니다.
- 서명에 수명이 짧은 인증서가 포함된 경우 Fulcio 문제가 발생했습니다.
- 서명에 대한 키 없는 확인을 사용하려는 경우
- 공개 키를 사용하는 경우 서명을 확인하려면 다음을 수행합니다.
1. 투명성 로그 유효성 검사 활성화 확인란을 선택하여 서명이 투명성 로그에 포함되었는지 확인합니다.
  Rekor 투명 로그가 사용 가능한 URL을 입력합니다. URL을 지정하지 않으면 유효성 검사에 Sigstore의 공용 Rekor 인스턴스가 자동으로 사용됩니다.
  참고
  투명성 로그에 포함 여부를 확인하려면 Rekor URL이 필요합니다.
2. 선택 사항: 오프라인 모드에서 유효성 검사 확인란을 선택하여 투명도 로그에 포함된 서명 증명의 오프라인 유효성 검사를 강제 수행합니다.
  참고
  투명 로그의 유효성 검사를 활성화한 경우에만 투명성 로그에 포함된 서명 증명의 오프라인 유효성 검사를 강제 수행할 수 있습니다.
  공개 키를 입력하여 Rekor 투명성 로그에 포함된 서명 증명을 확인합니다. 공개 키를 지정하지 않으면 공개 Sigstore 인스턴스의 키가 검증에 자동으로 사용됩니다.
저장을 클릭합니다.

검증

RHACS 포털에서 플랫폼 구성 통합을 클릭합니다.
서명 통합 섹션까지 아래로 스크롤한 다음 서명을 클릭합니다.
서명 통합 생성이 성공했는지 확인합니다.
선택 사항: 생성한 서명 통합을 관리하는 적절한 방법을 선택합니다.
- 서명 통합을 삭제하려면 오버플로 메뉴 를 클릭한 다음 통합 삭제 를 선택합니다.
- 서명 통합을 편집하려면 오버플로 메뉴 를 클릭한 다음 통합 편집을 선택합니다.

맨 위로 이동

14장. 이미지 서명 확인

14.1. 서명 통합을 사용하여 컨테이너 이미지 보안
링크 복사

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

14장. 이미지 서명 확인

14.1. 서명 통합을 사용하여 컨테이너 이미지 보안링크 복사링크가 클립보드에 복사되었습니다!

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

14.1. 서명 통합을 사용하여 컨테이너 이미지 보안
링크 복사