이미지 보안
Update : 2023-09-21
Last updated
Update : 2023-09-21
Last updated
Container Image 보안 관련 실습을 진행하기에 앞서 ECR 에서 제공하는 Image Scanning 기능과 관련하여 환경 설정을 진행합니다. 아래의 명령을 실행하여 ECR 의 Scanning 과 관련할 설정을 변경하도록 합니다.
아래의 설정은 ECR Repository 에 Image 가 Push 되면 Enhanced Scanning Mode 를 사용하도록하며 Scanning 의 대상이 되는 Image 를 Filter(prod)로 제한하는 내용을 담고 있습니다.
AWS Management Console 의 ECR 메뉴 에서 아래와 같이 설정이 반영되어 있는 것을 확인합니다.
ECR 환경 설정이 정상적으로 이뤄졌다면 이제 Container Image 와 관련된 각종 실습을 진행하기 위하여 ECR Repository 를 생성하도록 하겠습니다.
아래의 명령을 이용하여 3개의 ECR Repository 를 생성하도록 하겠습니다. 각 Repository 는 Production, Sandbox, Shared Image 용 Repository 로 각각 사용될 예정입니다.
ECR Repository 가 정상적으로 생성되었는지 확인합니다.
단계 1에서 설정한 ECR Registry 의 Enhanced Scanning 기능을 확인하기 위하여 Container Image 를 Push 하여 해당 Container Image 의 취약점을 진단하는지 확인하는 과정을 실습합니다. 먼저, ECR Repository 에 Push 할 Container Image 를 Cloud9 으로 Pull 합니다. 아래의 명령을 이용하여 Log4j 취약점을 포함하고 있는 Container Image 를 Pull 한 후 ECR Repository 에 Push 하기 위하여 Tag 를 설정하도록 합니다.
주의 !!! 실습에 사용한 Container Image 는 취약점을 포함하고 있으므로 절대 실제 운영환경에서는 사용하면 안됩니다.
Container Image 가 정상적으로 다운로드되었다면 ECR Repository 에 Push 하기 위하여 아래와 같이 AWS CLI 를 이용하여 Login 하도록 합니다.
정상적으로 로그인이 되면 아래와 같은 결과를 확인 할 수 있습니다.
ECR Registry 에 Login 이 성공하였다면 아래의 명령을 이용하여 조금 전 다운로드한 Container Image 를 두 개의 Repository 에 Push 하도록 하겠습니다.
Cloud9 콘솔에서 Image 가 정상적으로 Push 되었다면 다음 단계를 진행합니다.
ECR Repository 에 Image 가 Push 되면 ECR 자체적으로 취약점 Scanning 을 시작합니다. 그리고 그 결과는 각 Image 가 Push 된 Repository 를 통해 확인할 수 있습니다 AWS Management Console 의 ECR 메뉴 에 접속하여 현재 생성되어 있는 3개의 Repository 중 "eks-security-prod" 와 "eks-security-sandbox" Repository 에 각각 조금 전 Push 한 Container Image 가 Upload 되어 있는 것을 확인합니다.
"eks-security-sandbox" Repository 의 경우 아래와 같이 "Scanning" 이 꺼져있는 것을 확인할 수 있습니다. 즉, "eks-security-sandbox" Repository 에 Push 되는 Container Image 들은 취약점 Scanning 이 적용되지 않는다는 것을 알 수 있습니다.
"eks-security-prod" Repository 의 경우에는 아래와 같이 "See Findings" 링크가 있는 것을 확인할 수 있습니다. 해당 링크를 클릭하여 탐지된 취약점 리스트를 확인하도록 하겠습니다.
정상적인 경우 아래와 같이 Enhanced Scanning 기능을 통해 해당 Container Image 에 포함되어 있는 "Log4j" 취약점을 포함한 다양한 취약점들이 탐지된 것을 확인할 수 있습니다.
ECR Repository 의 Enhanced Scanning 은 Amazon Inspector 와 통합되어 있는 기능으로 ECR Repository 뿐만 아니라 AWS Management Console 의 Inspector 메뉴 에서도 확인이 가능합니다. Amazon Inspector 메뉴 에 접속하여 아래와 같이 "eks-security-prod" Repository 에 대한 취약점 정보를 확인하도록 합니다.