search

컨테이너 이미지 보안

지원 버전: Trivy 0.56+, Kubernetes 1.31, 1.32, 1.33 마지막 업데이트: 2026년 2월 22일

컨테이너 이미지 보안은 Kubernetes 보안의 첫 번째 방어선입니다. 이 문서에서는 이미지 스캐닝, 서명, 검증, 그리고 공급망 보안에 대해 다룹니다.

hashtag
목차

  1. 이미지 스캐닝 개요

  2. Trivy

  3. Amazon ECR 이미지 스캐닝

  4. Cosign/Sigstore를 사용한 이미지 서명

  5. Admission Control에서 이미지 검증

  6. 공급망 보안

  7. 기본 이미지 선택

  8. 이미지 레지스트리 모범 사례

  9. CI/CD 파이프라인 통합

hashtag
이미지 스캐닝 개요

hashtag
Shift-Left 보안

이미지 보안은 개발 프로세스 초기 단계에서 시작해야 합니다.

hashtag
스캐닝 대상

대상
설명
도구

OS 패키지

운영체제 패키지 취약점

Trivy, Grype, Clair

언어별 의존성

npm, pip, go modules 등

Trivy, Snyk

설정 오류

Dockerfile, K8s 매니페스트

Trivy, Checkov

시크릿

하드코딩된 비밀 정보

Trivy, Trufflehog

라이선스

오픈소스 라이선스

Trivy, FOSSA

hashtag
Trivy

hashtag
Trivy 개요

Trivy는 컨테이너, 파일시스템, Git 저장소 등을 스캔하는 종합 보안 스캐너입니다.

hashtag
Trivy 설치

hashtag
이미지 스캐닝

hashtag
파일시스템 스캔

hashtag
Trivy 설정 파일

hashtag
Trivy Operator (Kubernetes 통합)

hashtag
Amazon ECR 이미지 스캐닝

hashtag
기본 스캐닝 vs 향상된 스캐닝

기능
기본 스캐닝
향상된 스캐닝 (Inspector)

스캔 엔진

Clair

Amazon Inspector

스캔 빈도

푸시 시

지속적 스캔

취약점 DB

CVE

CVE + Amazon 위협 인텔리전스

비용

무료

Inspector 요금

언어 패키지

제한적

광범위 지원

AWS 통합

기본

Security Hub, EventBridge

hashtag
향상된 스캐닝 활성화

hashtag
스캔 결과 조회

hashtag
EventBridge를 통한 알림

hashtag
Cosign/Sigstore를 사용한 이미지 서명

hashtag
Cosign 개요

Cosign은 Sigstore 프로젝트의 일부로, 컨테이너 이미지에 서명하고 검증하는 도구입니다.

hashtag
Cosign 설치

hashtag
키 기반 서명

hashtag
키리스 서명 (OIDC 기반)

hashtag
GitHub Actions 통합

hashtag
Admission Control에서 이미지 검증

hashtag
Kyverno imageVerify

hashtag
Connaisseur

hashtag
공급망 보안

hashtag
SBOM (Software Bill of Materials) 생성

hashtag
SBOM 기반 취약점 검사

hashtag
SLSA (Supply chain Levels for Software Artifacts)

hashtag
기본 이미지 선택

hashtag
이미지 유형 비교

이미지 유형
크기
취약점
디버깅
사용 사례

distroless

매우 작음

매우 적음

어려움

프로덕션

Alpine

작음 (~5MB)

적음

가능

경량 앱

Chainguard

작음

매우 적음

제한적

보안 중심

Ubuntu/Debian

많음

쉬움

개발/레거시

Scratch

최소

없음

불가

정적 바이너리

hashtag
Distroless 이미지 사용

hashtag
Chainguard 이미지 사용

hashtag
Alpine 보안 강화

hashtag
이미지 레지스트리 모범 사례

hashtag
프라이빗 레지스트리 사용

hashtag
이미지 풀 정책

hashtag
불변 태그 정책 (Kyverno)

hashtag
CI/CD 파이프라인 통합

hashtag
완전한 이미지 보안 파이프라인

hashtag
요약

컨테이너 이미지 보안의 핵심:

  1. 스캐닝: Trivy, ECR 향상된 스캔으로 취약점 탐지

  2. 서명: Cosign/Sigstore로 이미지 무결성 보장

  3. 검증: Kyverno로 서명된 이미지만 배포 허용

  4. 공급망: SBOM, SLSA로 투명성 확보

  5. 기본 이미지: distroless, Chainguard 사용

  6. CI/CD 통합: 자동화된 보안 파이프라인 구축

hashtag
권장 사항

  • 모든 이미지에 취약점 스캔 적용

  • 프로덕션 이미지는 반드시 서명

  • latest 태그 대신 다이제스트 사용

  • distroless 또는 최소 기본 이미지 사용

  • SBOM 생성 및 관리 자동화

hashtag
참고 자료

이전EKS 보안 모범 사례다음런타임 보안

마지막 업데이트