컨테이너/K8s 진단 - Read-Only RootFS 미적용

점검 결과

Pod/컨테이너RootFS평가
app-prod읽기/쓰기위험!
web-server읽기/쓰기위험!
api-gateway읽기 전용안전

RootFS 보안 분석

apiVersion: v1 kind: Pod metadata: name: app-prod spec: containers: - name: app image: app:latest securityContext: readOnlyRootFilesystem: true # 미설정 = false runAsNonRoot: true runAsUser: 1000 [미설정 시 문제] - 컨테이너 내부 악성코드 설치 가능 - 시스템 라이브러리 변조 가능 - 백도어 생성 가능 - 권한 상승 도구 설치 가능 # 권장 설정 (읽기 전용) securityContext: readOnlyRootFilesystem: true # 쓰기 필요시 emptyDir 사용 volumeMounts: - name: tmp mountPath: /tmp - name: var-cache mountPath: /var/cache volumes: - name: tmp emptyDir: {} - name: var-cache emptyDir: {}

조치 가이드