씨솔트의 밑 빠진 독에 물 붓기 씨솔트의 밑 빠진 독에 물 붓기

이 포스트는 Kubecon의 Applying Policy Throughout The Application Lifecycle with Open Policy Agent 세션을 듣고 작성하였음을 밝힙니다. 내 어플리케이션이 정책을 따라가게 하려면? 정책이란, 이 환경에서 할 수 있는 것과 해서는 안되는 것을 정의하는 일이다. 예를 들어 우리 환경에서는 Go를 1.13 버전 이상으로만 사용해야 한다 같은 것이 정책이다. 이 정책을 여러 클라우드 네이티브 솔루션들에 걸쳐, 하나의 통합된 방식으로 유연하게 정의하고 적용할 수 있게 해주는 것이 OPA 이다. 그렇다면 이 OPA 정책을 어디에서 적용할 것인가 이야기해보기 위해 어플리케이션의 라이프사이클을 세 단계로 나누고 시작하려고 한다. Local Developme..

앞선 포스팅에서 OPA 와 Gatekeeper 의 개념에 대해서 살펴보았다. 그럼 Gatekeeper 에서 사용하는 Constraint와 ContraintTemplate을 조금 더 자세히 알아보려고 한다. 개념 Constraint: 한 시스템이 만족시켜야 하는 요구사항 세트. Enforcement Point: Contraint 가 강제되는 곳. Git hooks 이나 Kubernetes admission controllers, audit systems 이 그 예시. contraint 기반의 정책이 여러 곳에 공통으로 적용되도록. ContraintTemplate: Contraint를 정의하도록 해줌. expected input parameter 와 Rego 정책을 담음. 다시 풀어서 말하면, OPA에서 사..

OPA? 모든 조직에는 '정책'이라는 것이 있습니다. 어떤 정책은 거버넌스, 법적 요구사항 때문에 반드시 지켜야 하는 것이라면, 어떤 정책은 아키텍처적인 베스트 프랙티스를 유지하고 조직의 운영 컨벤션(convention) 때문에 필요하기도 합니다. 이런 요건들을 수작업으로 관리하면 휴먼 에러도 발생할 수 있고 무엇보다도 굉장히 따분하고 짜증나는 일입니다. 때때로는 이런 정책을 지키는 것 때문에 어플리케이션 개발의 속도가 늦어진다든지 하는 일이 발생하기도 해서, 정책과 컴플라이언스를 유지하는 것이 소위 말하는 agility와 함께 가기 어려운 것으로 느껴졌습니다. OPA는 정책을 통합하여 적용/관리하도록 도와주는 오픈소스 프로젝트입니다. 컴플라이언스 정책을 선언적(declarative) 언어를 이용해 코드..

이 글은 sysdig에서 작성한, _12 Container image scanning best practices to adopt in production _포스트를 번역했습니다. 번역 과정에서 sysdig 영업 성격의(...) 멘트들은 제하였으며, 이해를 돕기 위해 윤문과 문장 순서 변경 등의 작업을 거쳤습니다. 원본 포스트는 이 곳을 확인해주십시오. 아래 포스트에 포함된 모든 이미지는 sysdig 원본 블로그에서 가지고 왔음을 밝힙니다. Secure DevOps, DevSecOps는 보안과 모니터링을, 개발에서 프로덕션까지 이르는 어플리케이션 라이프사이클에 접목시킵니다. 이를 통해 개발 속도를 해하지 않으면서도 더 안전하고 안정적이고 성능이 더 좋은 어플리케이션을 만들 수 있는 것이죠. 이런 워크플로우..