- 인쇄
- PDF
보안 취약점 스캔 기능
- 인쇄
- PDF
컨테이너 이미지 보안 취약점 스캔 기능
네이버 클라우드 플랫폼의 Container Registry는 컨테이너 이미지 보안 취약점 스캔 기능을 위한 정적 분석도구를 제공합니다. 컨테이너 레지스트리에 저장되어 있는 이미지 혹은 레지스트리에 이미지를 푸시할때 취약점을 스캔할 수 있습니다. 해당 기능은 CoreOS 사의 오픈소스 컨테이너 취약점 스캔 도구인 Clair기반으로 제공됩니다. 컨테이너 이미지에 대한 스캐닝 완료 후에, 알려진 보안 취약점에 대한 CVE(Common Vulnerabilities and Exposures) 목록을 제공합니다. CVE 목록에서 알려진 취약점이 있는 패키지와 버전과 취약점이 해결된 버전을 확인할 수 있습니다.
컨테이너 이미지 스캔 방법
컨테이너 이미지에 대한 보안 취약점을 확인 하기 위해서는 이미지 스캔을 수행하여야 합니다. 아래의 방법을 통해 이미지 스캔을 수행할 수 있습니다.
- 이미지 Push시 자동 취약점 검사 수행 기능 활성화
- 취약점 검사를 원하는 이미지에 대한 수동 검사 수행
이미지 Push시 자동으로 취약점 검사를 수행하는 Scan on push
기능은 별도의 추가적인 네트워크 비용이 청구됩니다.
1. 이미지 업로드(Push) 시 보안 취약점 검사 자동 수행 기능 활성화
이미지 업로드(Push) 시 보안 취약점 검사를 자동으로 수행하는 기능을 활성화하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에 접속해 주십시오.
- Services > Containers > Container Registry 메뉴를 차례대로 클릭해 주십시오.
- 목록에서 대상 레지스트리 이름을 클릭해 주십시오.
- 상세 정보 영역에서 Configuration버튼을 클릭해 주십시오.
- Configuration 설정 팝업창에서 Scan on Push 항목의 활성/비활성 토글 버튼을 클릭해 사용 여부를 설정한 후 [확인] 버튼을 클릭해 주십시오.
보안 취약점 검사 결과를 조회하는 방법은 컨테이너 이미지 보안 취약점 조회를 참고해 주십시오.
2. 업로드된 이미지를 수동으로 보안 취약점 검사 수행
레지스트리에 저장된 컨테이너 이미지를 수동으로 보안 취약점을 검사하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Containers > Container Registry 메뉴를 차례대로 클릭해 주십시오.
- 레지스트리 목록에서 대상 레지스트리에 있는 이미지 리스트의 [이동] 버튼을 클릭해 주십시오.
- 도커 컨테이너 이미지 목록에서 대상 도커 컨테이너 이미지를 클릭해 주십시오.
- 상세 정보 화면에서 [Tags] 탭을 클릭해 주십시오.
- 태그 목록에서 보안 취약점을 검사하지 않은 이미지의 보안 취약점 열에 있는 [Scan] 버튼을 클릭해 주십시오.
- 보안 취약점 검사가 수행되지 않은 도커 컨테이너 이미지는 보안 취약점 열에
not scanned
문구와 [Scan] 버튼이 표시됩니다. - 검사를 실행하면 보안 취약점 열에
not scanned
문구가PENDING
으로 변경되며, 검사가 완료되면 결과가 표시됩니다. 보안 취약점 검사 결과를 조회하는 방법은 도커 컨테이너 이미지 보안 취약점 조회를 참고해 주십시오.
- 보안 취약점 검사가 수행되지 않은 도커 컨테이너 이미지는 보안 취약점 열에
도커 컨테이너 이미지 보안 취약점 조회
도커 컨테이너 이미지를 보안 취약점 검사를 실행하면 일정 시간 후 결과를 확인할 수 있습니다. 검사 결과를 기반으로 취약점을 제거하여 컨테이너의 전반적인 보안을 강화할 수 있습니다.
컨테이너 이미지 보안 취약점 검사 완료 결과를 확인하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Containers > Container Registry 메뉴를 차례대로 클릭해 주십시오.
- 레지스트리 목록에서 대상 레지스트리에 있는 이미지 리스트의 [이동] 버튼을 클릭해 주십시오.
- 도커 컨테이너 이미지 목록에서 대상 도커 컨테이너 이미지를 클릭해 주십시오.
- 상세 정보 화면에서 [Tags] 탭을 클릭해 주십시오.
- 태그 목록의 보안 취약점 열을 확인해 주십시오. 알려진 CVE 목록 중에서 심각도(Severity)가 가장 높은 취약점의 개수가 표시됩니다.
- 보안 취약점 검사 전체 결과를 확인하려면 대상 이미지의 보안 취약점 열의 항목을 클릭해 주십시오.
- 컨테이너 이미지에 대해 알려진 CVE 목록을 확인한 후 보안 강화를 위한 필요한 조치를 해 주십시오.
- 보안 취약점은 심각도에 따라 다섯 단계로 구분하여 표시합니다.
- 단계 구분: High-level , Medium-level, Low-level, Negligible-level, Unknown-level
- Common Vulnerability Exposure(CVE) ID: 보안 취약점을 식별하여 나타내는 번호 형식입니다. CVE-연도-일련번호의 형식으로 표시됩니다. 보안 취약점 1개에 CVE ID 1개가 부여됩니다. CVE 관련 자세한 정보는 CVE Details를 참고해 주십시오.
- Common Vulnerability Scoring System(CVSS): 보안 취약점의 심각도를 점수로 표현합니다. 0~10점으로 표시하며 점수가 높을수록 보안이 취약하다는 의미입니다.