프로젝트 세부 정보 및 스캔 결과 보기
모니터링을 위해 가져온 모든 워크로드(workloads)는 프로젝트(Projects) 페이지에 나타나며 고유한 Kubernetes 아이콘으로 표시됩니다.
워크로드 스캔 결과를 확인하고 관리하려면 프로젝트(Projects) 페이지로 이동하여 Kubernetes 프로젝트를 필터링하십시오.
프로젝트를 확장하면 다음을 볼 수 있습니다:
워크로드에 사용된 개별 이미지 목록
각 이미지의 취약점 수 요약
취약점 기록을 포함하여 이미지의 취약점을 자세히 보려면 이미지 이름을 클릭하십시오. 선택한 이미지에 대한 프로젝트 상세 페이지가 로드됩니다:
워크로드 구성의 보안 상태에 대한 세부 정보를 포함하여 워크로드의 모든 이미지에 있는 취약점의 집계 목록을 보려면 워크로드를 클릭하십시오.
선택한 이미지에 대한 프로젝트 상세 페이지가 로드됩니다.
Snyk은 다음 속성에 대해 워크로드 구성을 스캔합니다:
Snyk 매개변수
관련 Kubernetes 매개변수
설명
CPU 및 메모리 제한
Resources.limits.memory resources.limits.cpu
컨테이너에 사용 가능한 예상 CPU 및 메모리를 제한하는 것은 운영 및 보안상의 이점을 모두 가집니다. 보안 측면에서는 잠재적인 서비스 거부 공격의 영향을 노드 및 잠재적으로 전체 클러스터가 아닌 앱에만 미치도록 제한하는 것입니다.
runAsNonRoot
securityContext.runAsNonRoot
기본적으로 컨테이너는 루트 사용자로 실행될 수 있습니다. 이 속성은 컨테이너 런타임에서 이러한 일이 발생하지 않도록 방지합니다. 이는 공격자가 컨테이너 컨텍스트에서 명령을 실행할 수 있는 권한이 제한됨을 의미합니다.
readOnlyRootFilesystem
securityContext. readOnlyFilesystem
기본적으로 컨테이너에 마운트된 파일 시스템은 쓰기 가능합니다. 이는 컨테이너를 손상시킨 공격자가 디스크에 쓸 수도 있음을 의미하며, 이는 특정 종류의 공격을 더 쉽게 만듭니다. 컨테이너가 스테이트리스(stateless)인 경우 쓰기 가능한 파일 시스템이 필요하지 않습니다.
기능(Capabilities)
securityContext.capabilities
낮은 수준에서 Linux 기능은 컨테이너의 다양한 프로세스가 수행할 수 있는 작업(디스크에 쓰기부터 네트워크를 통한 통신까지)을 제어합니다. 모든 기능을 제거하고 필요한 기능만 추가하는 것이 가능하지만, 먼저 기능 목록을 이해해야 합니다.
Last updated