1. 취득 계기정보보호 담당자로서 쿠버네티스에 대한 지식을 쌓고 보안을 적용하기 위해 CKS를 취득하게 되었습니다. 또한 CKA, CKAD 취득에 이어서 쿠버네티스 3종을 모두 취득해보자는 목표도 있었구요.2. 공부 방법1. 강의처음에는 Kode Kloud의 CKS 강의를 수강했습니다. 1회차를 다 듣고나서는 개념에 대한 설명이나 실습 측면에서 강의 내용이 부족한 느낌을 많이 받았습니다. 대체재로서 유데미의 CKS 강의를 구매해서 들었는데 굉장히 잘한 선택이었고 해당 강의를 N회차 반복해서 들었습니다.(지금은 전체 강의가 무료로 유튜브에 게시되어 있습니다) 2. 실습KodeKloud의 모든 실습 문제를 2회씩 풀었고 Lightning Labs와 Mock Exams, Challenges를 각각 10번 넘게..
1. 개념 K8s Node와 Host OS의 Security Hardening을 통해 공격 표면을 최소화할 수 있음 Host OS에 대한 Hardening은 CIS Benchmark 또는 주요정보통신 기반시설 취약점 점검 가이드를 참고해 CCE 점검 및 조치 2. 불필요 프로세스 / 서비스 / 패키지 삭제 프로세스 삭제 netstat -plnt | grep [port_num] 또는 lsof -i :[port_num] ls -l /proc/[process_num]/exe kill [process_num] rm [process_dir] 서비스 삭제 systemctl list-units -t service --state active | grep -i [svc_name] systemctl stop [servic..
1. 개념 Seccomp는 secure computing mode 의 줄임말 리눅스 커널의 보안기능 중 하나로 syscall 실행을 허용/거부/로깅 할 수 있음 K8s "전용" 보안 기능은 아니고 ASLR과 같이 리눅스에 구현된 보안 기능임 AppArmor와 비슷한 기능으로 느껴져서 chatGPT한테 차이점을 질의한 결과 아래와 같은 컨셉으로 느껴졌음 AppArmor : 특정 프로세스의 시스템 리소스 접근에 대한 허용/거부 Seccomp : 모든 프로세스의 syscall 호출에 대한 허용/거부 2. Seccomp 사용 팁 seccomp 정책 SCMP_ACT_ALLOW : 허용 SCMP_ACT_ERRNO : 거부 SCMP_ACT_LOG : 로깅 seccomp 기본 경로 /var/lib/kubelet/sec..
