컨테이너 보안

컨테이너 런타임

  1. CIS Docker Benchmark 리뷰 - https://www.cisecurity.org/benchmark/docker

  2. 리소스 정리 

    {
    docker container rm $(docker container ls -aq) --force
    docker volume prune --force
    docker image prune --all --force
}

  3. Docker Bench for Security 다운로드 

    {
    cd ~/environment
    git clone https://github.com/docker/docker-bench-security.git
    cd docker-bench-security
}

  4. Docker Bench for Security 실행 

    sudo sh docker-bench-security.sh

  5. 컨테이너 실행 

    docker run --name nginx -d nginx

  6. Docker Bench for Security 실행 

    sudo sh docker-bench-security.sh

  7. 해결 방안 출력 

    sudo sh docker-bench-security.sh -p

  8. 리소스 정리 

    {
    docker container rm $(docker container ls -aq) --force
    docker volume prune --force
    docker image prune --all --force
    cd ~/environment
    sudo rm -rf docker-bench-security
}

컨테이너 이미지

  1. 해당 컨테이너 이미지에 대한 보안 취약점에 대한 정보를 Docker Hub에서 확인

  2. Trivy 설치

  3. Trivy 설치 확인

  4. 컨테이너 이미지 스캔

  5. 스캔 결과를 간소화

  6. 심각도가 높은 취약점만 출력

  7. 새로운 컨테이너 이미지 빌드

  8. 새로 생성한 컨테이너 이미지 스캔

  9. 리소스 정리

권한 최소화

  1. 컨테이너 생성

  2. NGINX 컨테이너에서 실행중인 프로세스 목록 확인

  3. 컨테이너 이미지 상세 내용 확인

  4. NGINX 컨테이너 재생성하고 nginx 유저로 프로세스 실행

  5. 컨테이너 로그 확인

  6. 새로운 컨테이너 이미지 빌드

  7. NGINX 컨테이너 재생성

  8. NGINX 컨테이너에서 실행중인 프로세스 목록 확인

  9. 리소스 정리

OPA

  1. 컨테이너 생성

  2. Docker 데몬 로그 확인

  3. Docker 데몬 로그 레벨 변경

  4. Docker 데몬 재기동

  5. 컨테이너 재생성

  6. Docker 데몬 로그 확인

  7. 컨테이너 삭제

  8. Docker API 문서 확인 - https://docs.docker.com/engine/api/v1.43/#tag/Container/operation/ContainerCreate

  9. OPA 정책 파일을 저장할 디렉토리 생성

  10. OPA 정책 파일 생성

  11. opa-docker-authz 플러그인 설치

  12. 설치된 플러그인 목록 확인

  13. Docker 데몬 설정 파일 생성

  14. Docker 데몬 재기동

  15. 컨테이너 생성 시도

  16. Docker 데몬 로그 확인

  17. OPA 플레이 그라운드에서 정책 검증 - https://play.openpolicyagent.org/

  18. 컨테이너 생성 시도

  19. 컨테이너 생성 확인

  20. Docker 데몬 로그 확인

  21. OPA 플레이 그라운드에서 정책 검증 - https://play.openpolicyagent.org/

  22. 리소스 정리

Previous도커 기초NextDocker Compose

Last updated