CoreOS, 불변의 아키텍처(Immutable Architecture)

Jump to section

Red Hat CoreOS란?

RHEL CoreOS(RHCOS)는 Red Hat OpenShift Platform 전용으로 설계되고, 자체 보안 아키텍쳐만을 통하여 관리되는 안전한 S/W Appliance 입니다.

RHEL CoreOS는 S/W Appliance 형태로 설계되어, OpenShift를 통하지 않고는 변경 불가능한(immutable) 방식으로 관리되고 Container Cluster에서 중앙 집중식 관리를 통해 IT 관리를 간소화 하며, 기존 Host 관리와는 차별화된 방법으로 컨테이너에 최적화된 구성 변경, 취약점 검토, 접근제어, 감사 기능을 제공합니다.

RHEL CoreOS는 OpenShift 플랫폼과 함께 릴리즈 및 수명주기가 적용됩니다. Fedora CoreOS는 RHEL CoreOS의 upstream 커뮤니티 버전으로 다양한 컨테이너화 사례를 수용 하고, 자유롭게 사용이 가능하지만 별도의 수명주기로 제공됩니다.

RHEL CoreOS (RHCOS) is a container optimized operating system. It is designed for OpenShift and developed and released with OpenShift. Akin to a software appliance, RHCOS is built to be managed by the OpenShift Machine Config Operator and Kubernetes API. Automated management enables us to spawn new nodes and ensure that the cluster is the single source of truth for provisioning configurations, including OS versions, and run-time configuration

Anirban Mukherjee, Director, Strategic Business Development, Asia Growth Markets (GEMS), Red Hat Asia Pacific

특징 및 이점

섹션 이동

Operator를 통한 중앙 구성 관리

RHEL CoreOS의 구성 변경은 OpenShift Machine Configuration Operator(MCO)를 통해 이루어 집니다.

1. File Integrity Operator(FIO - 파일 무결성 연산자)는 RHEL CoreOS의 쓰기 가능한 디렉토리를 모니터링 합니다.

2. Compliance Operator는 다양한 보안 및 규제 프레임워크 기술 준수, RHEL CoreOS 구성을 비롯한 클러스터 감사를 수행합니다.

CVE 및 이미지 스캔을 통한 취약점 관리

RHEL CoreOS는 CVE database 및 이미지 스캔을 통해 취약점을 관리합니다.

1. RHEL CoreOS를 포함한 Red Hat 제품의 일반적인 취약점에 대해서는 CVE* database 검사를 통해 관리 합니다.
- API 접근 및 검색 가능

2. RHEL CoreOS 초기 이미지 또는 컨테이너 이미지 스캔을 통해 이미지에 대한 취약점을 검토합니다.

3. RHACS(Red Hat Advanced Cluster Security)를 통해 관리 클러스터 내 배포된 이미지 취약점을 검토합니다.

4. OpenShift에 Container Security Operator를 통해 OpenShift namespace의 이미지 취약점을 검토합니다.

* Common Vulnerabilities and Exposures-CVE

권한, 인증 등 다양한 규칙 설정 및 감사

RHEL CoreOS는 OpenShift의 여러 계층에 대해 다양한 규칙을 설정하여 감사할 수 있습니다

1. RHEL CoreOS, API 서버, OAuth 서버와 같은 OpenShift 여러 계층 로그 감사

2. 권한, 인증, 로그인 상태 등 다양한 감사 규칙 설정 항목

RHACS를 통한 런타임 취약점 식별

RHEL CoreOS는 RHACS를 통해 런타임 컨테이너에 대한 취약점을 식별 및 보호할 수 있습니다

1. 정상적인 활동 기반 서비스 프로파일링 및 비정상적인 동작 식별

2. 처음 배포된 정상 작동 조건 기반 모든 배포 기준 설정. 기준 편차에 대한 알림 수신 여부 선택

3. ACS 정책을 통해 실행중인 컨테이너에 새 패키지가 추가되지 않도록 감시

다양한 인증파트너와 솔루션 제공

RHEL CoreOS는 다양한 인증 파트너와 솔루션을 제공 합니다.

  1. Red Hat Ecosystem 카탈로그, Red Hat Market Place에서 인증 파트너 솔루션 정보 확인

  2. RHEL CoreOS에 Agent를 제공하는 파트너 솔루션은 최신 상태로 유지

  3. 보안 인증 파트너 솔루션 예시 :

관련 자료 다운로드

교육 과정