[CKA] 51. Security Contexts

Date

2025/01/21

Docker Security

Process Isolation

Process Isolation이란 각 컨테이너는 독립적으로 실행되며, 다른 컨테이너나 호스트의 프로세스에 영향을 주지 않는다는 것을 뜻한다.

컨테이너는 호스트와 같은 커널을 공유하는 형태를 가지는데, 이는 가상 머신과 달리 컨테이너가 호스트로부터 완전히 격리되어 있지 않다는 것을 의미한다. 호스트와 컨테이너는 각자의 네임스페이스를 가진다. 컨테이너에서 실행되는 모든 프로세스는 사실상 호스트 실행되지만, 각자의 네임스페이스에서 실행된다. 이로 인해 Docker 컨테이너는 자신의 프로세스만을 볼 수 있고, 외부 또는 다른 네임스페이스에 있는 프로세스는 볼 수 없다.

예를 들어, docker run ubuntu sleep 3600 명령을 통해 우분투 컨테이너를 실행한다고 하자. Docker 컨테이너 내에서 프로세스를 나열하면 프로세스 ID가 1인 sleep 프로세스를 확인할 수 있다.

# Docker Container 내에서 프로세스 확인
$ ps aux
USER     PID     ...     COMMAND
root       1     ...     sleep 3600   
Bash
복사

반면, Docker 호스트에서는 호스트가 가진 모든 프로세스를 포함하여 자식 네임스페이스의 프로세스까지 모두 확인할 수 있다. 이때, 같은 프로세스일지라도 호스트에서의 프로세스 ID와 컨테이너 내에서의 프로세스 ID가 다르다.

# Host에서의 프로세스 확인
$ ps aus
USER     PID     ...     COMMAND
...
root    3802     ...     docker-containerd-shime -namespace m
root    3816     ...     sleep 3600
Bash
복사

이는 프로세스가 서로 다른 네임스페이스 내에서 서로 다른 프로세스 ID를 가질 수 있기 때문이다. 이러한 방식으로 Docker는 시스템 내의 컨테이너를 효과적으로 격리된다.

User Security

Users

호스트는 root 유저 한 명과 다수의 non-root 유저를 가진다. 기본적으로 Docker는 루트 사용자로서 컨테이너 내의 프로세스를 실행한다. 컨테이너 내외부 모두에서 프로세스는 루트 사용자로 실행된다.

User Instruction

컨테이너 내에서 프로세스가 루트 사용자로 실행되지 않게 하려면 docker run 명령의 --user옵션을 사용하여 사용자 ID를 지정할 수 있다.

# ID가 1000인 사용자로 실행
docker run --user=1000 ubuntu sleep 3600
Bash
복사

사용자 보안을 강화하는 또 다른 방법은 Docker 이미지 생성 시 사용자 ID를 정의하는 것이다. Dockerfile에 사용자 ID를 설정하여 이미지를 빌드할 수 있다. 이를 통해 사용자 ID를 명시하지 않고 해당 이미지를 실행할 경우, 프로세스는 지정된 사용자 ID로 실행된다.

# Dockerfile
FROM ubuntu
User 1000
Docker
복사

docker build -t my-ubuntu-image .
docker rub my-ubuntu-image sleep 3600
Bash
복사

Capabilities

Docker는 루트 사용자의 기능을 제한하는 보안 기능을 구현하여, 컨테이너 내의 루트 사용자가 호스트의 루트 사용자와 동일하지 않도록 한다. 즉, 컨테이너 내의 루트 사용자와 호스트의 루트 사용자는 동일한 권한을 갖지 않는다.

Docker는 기본적으로 컨테이너를 제한된 기능(Capabilities)을 가지고 실행한다. 따라서 컨테이너 내에서 실행되는 프로세스는 호스트를 재부팅하거나 호스트 또는 다른 컨테이너에 영향을 줄 수 있는 작업을 수행할 권한이 없다.

Docker는 Linux의 Capabilities를 사용하는데, 이는 파일 수정, 프로세스 생성 및 종료, 네트워크 관련 작업, 시스템 재부팅 등의 다양한 Linux 시스템 기능을 의미한다. 기능에 대한 전체 리스트는 /usr/include/linux/capability.h에서 확인할 수 있다.

Privilege

Docker가 지닌 사용자 권한을 변경시킬 수 있다. 필요에 따라 권한을 조정함으로써 호스트 시스템 및 다른 컨테이너에 대한 영향력을 조정할 수 있다.

Docker가 가지는 Capabilities를 추가 및 제외시키는 방법은 docker run 명령에 --cap-add, --cap-drop 옵션을 사용하는 것이다. 만일 모든 권한을 활성화하여 컨테이너를 실행하려면 --privileged 플래그를 사용할 수 있다.

# 기능 추가
docker run --cap-run MAC_ADMIN ubuntu
# 기능 제한
docker run --cap-drop KILL ubuntu
# 모든 권한 활성화
docker run --privileged ubuntu
Bash
복사

Security Contexts

쿠버네티스에서도 도커에서처럼 Linux의 Capabilities를 조정할 수 있다. 쿠버네티스에서 컨테이너는 Pod에 캡슐화되어, Pod Level과 Container Level에서 보안을 설정할 수 있다.

Pod Level

파드 수준에서 기능에 대한 설정을 할 경우, 파드 내 모든 컨테이너에 설정이 적용된다. security context를 구성하기 위해서는 spec.securityContext 필드를 추가한다.

apiVersion: v1
kind: Pod
metadata:
	name: web-pod
spec:
	securityContext:
		runAsUser: 1000   # 사용자 ID 설정
	containers:
		- name: ubuntu
			image: ubuntu
			command: ["sleep", "3600"]
YAML
복사

Container Level

컨테이너 수준에서 설정을 할 경우, 설정된 컨테이너에만 적용된다. 만일 파드 수준에서 구성이 되어 있다면, 컨테이너의 설정이 파드의 설정을 덮어쓴다.

정의 파일에서는 파드에서 사용한 securityContext 필드를 spec.containers 아래에 둬야 한다.

apiVersion: v1
kind: Pod
metadata:
	name: web-pod
spec:
	containers:
		- name: ubuntu
			image: ubuntu
			command: ["sleep", "3600"]
			securityContext:
				runAsUser: 1000        # 사용자 ID 설정
				capabilities:
					add: ["MAC_ADMIN"]   # 기능 추가
					drop: ["KILL"]       # 기능 제한
				# privileged: true     # 모든 권한 활성화
YAML
복사

주의할 점으로, capabilities는 컨테이너 레벨에서만 지원된다.