KR102322312B1 - Container security management system using Kubernetes RBAC - Google Patents

Container security management system using Kubernetes RBAC Download PDF

Info

Publication number
KR102322312B1
KR102322312B1 KR1020210066263A KR20210066263A KR102322312B1 KR 102322312 B1 KR102322312 B1 KR 102322312B1 KR 1020210066263 A KR1020210066263 A KR 1020210066263A KR 20210066263 A KR20210066263 A KR 20210066263A KR 102322312 B1 KR102322312 B1 KR 102322312B1
Authority
KR
South Korea
Prior art keywords
account
container
unit
kubernetes
management
Prior art date
Application number
KR1020210066263A
Other languages
Korean (ko)
Inventor
임승민
Original Assignee
나무기술 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 나무기술 주식회사 filed Critical 나무기술 주식회사
Priority to KR1020210066263A priority Critical patent/KR102322312B1/en
Application granted granted Critical
Publication of KR102322312B1 publication Critical patent/KR102322312B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • H04L67/16
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

The present invention relates to a container security management system and a container security management method using Kubernetes role based access control (RBAC). According to one embodiment of the present invention, the container security management system using the Kubernetes RBAC includes: a storage unit that provides an external resource including a CPU, a memory, a network, and a storage space to one or more implemented virtual containers; a host operating system unit that provides a main operating system of a virtual cloud server that manages the containers, and provides operating systems to the one or more virtual containers, respectively; and a container control management unit that interworks with the virtual cloud server to control and manage a container management platform accessed from an outside, employs a Kubernetes orchestration tool, and controls and manages the virtual containers through the RBAC, wherein the container control management unit includes: an account verification unit for receiving an ID and a password to access the virtual container, and verifying whether an account is registered in the container control management unit in advance; an account impartment unit for selecting one of a cluster or a namespace role to impart the selected one to a newly opened account; and an account management unit for controlling and managing the account registered in the container control management unit. Accordingly, security of the virtual container is enhanced.

Description

쿠버네티스 RBAC(Role Based Access Control)를 이용한 컨테이너 보안 관리 시스템{Container security management system using Kubernetes RBAC}Container security management system using Kubernetes RBAC (Role Based Access Control)

본 발명은 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템 및 방법에 관한 것이다. 더욱 상세하게는 쿠버네티스의 오케스트레이션 도구와 RBAC(Role Based Access Control)를 사용하여 가상 컨테이너의 보안을 강화하기 위한 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템 및 방법에 관한 것이다.The present invention relates to a container security management system and method using Kubernetes RBAC. More particularly, it relates to a container security management system and method using Kubernetes RBAC for enhancing security of virtual containers using Kubernetes' orchestration tool and RBAC (Role Based Access Control).

컴퓨터 네트워크의 기술 발전에 따라, 각 단말의 독립적인 하드웨어 성능에 의존하던 기존의 컴퓨팅 환경은, 네트워크 상의 모든 컴퓨팅 자원을 활용하여 사용자 단말의 요청에 따라 해당 서비스를 간편하고 쉽게 사용하도록 제공하는 클라우드 컴퓨팅(Cloud Computing) 형태로 진화해왔다. 현재 IT 인프라 구축 시에, 클라우드 컴퓨팅 기술은 IT 자원을 서로 공유하고 유휴 자원을 효율적으로 사용할 수 있다는 장점 때문에 서버나 시스템 구성시 보편적으로 이용되고 있다. 클라우드 컴퓨팅의 핵심 기반 기술로 가상화(Virtualization) 기술을 꼽을 수 있으며, 서버 분야에서 많이 사용되는 공개형 서버 가상화 기술에는 하이퍼바이저(Hypervisor) 기반이라 불리는 Xen, KVM 등이 존재한다. 가상머신 기반의 서버 가상화 기술은 물리적 서버 위에 운영체제(이하 호스트 OS)를 설치하고, 그 위에 하이퍼바이저를 기반으로 자원을 분할하여 가상 머신을 생성한 뒤에 또 다시 운영체제(이하 게스트 OS)를 설치하고 원하는 응용 프로그램을 구동하는 방식이다. 이러한 방식은 하나의 물리적 시스템에 독자적으로 운영 가능한 다수의 서버들을 가질 수 있다는 장점이 있으나, 호스트 OS와 게스트 OS가 각각 독립적으로 작동 중인 경우에는 자원의 낭비가 크다는 단점이 있다.With the technological development of computer networks, the existing computing environment, which relied on the independent hardware performance of each terminal, utilizes all computing resources on the network to provide simple and easy use of the service according to the request of the user terminal. It has evolved in the form of (Cloud Computing). Currently, when constructing an IT infrastructure, cloud computing technology is commonly used when configuring servers or systems because of the advantages of sharing IT resources and efficiently using idle resources. Virtualization technology can be cited as a core base technology of cloud computing, and Xen and KVM, which are called hypervisor-based, exist as open server virtualization technologies widely used in the server field. Virtual machine-based server virtualization technology installs an operating system (hereafter, host OS) on a physical server, creates a virtual machine by dividing resources based on the hypervisor, and then installs the operating system (hereafter, the guest OS) again. How to run the application. Although this method has the advantage of being able to have a plurality of servers that can be independently operated in one physical system, there is a disadvantage in that resources are wasted greatly when the host OS and the guest OS are operating independently of each other.

이에 따라 최근 가상 머신 방식과 다른 방식의 가상화 기술인 컨테이너(Container) 방식이 유행하고 있다. 컨테이너 기반의 시스템은 운영체제 커널을 공유하기때문에 가상 머신 방식보다 훨씬 가벼워 이동성이 뛰어나고, 시동이 훨씬 빠르며, 운영체제 전체 부팅보다 메모리를 훨씬 적게 차지한다는 장점이 있다. 이와 같이 클라우드 서비스 환경에서는 CPU, Memory, 스토리지, 응용 프로그램 등의 필요한 자원이 가상화 기술로 제공되는 클라우드 시스템을 통해 원하는 시점에 원하는 만큼 가상의 머신 서버와 자원을 골라서 사용하게 되어 높은 경제성과 확장성 그리고 고도화된 서비스들도 제공받을 수 있게 됐으나, 보안과 안정성 그리고 서비스 성능 보장과 같은 문제가 생겨났다. Accordingly, the container method, which is a virtualization technology different from the virtual machine method, is recently popular. Since the container-based system shares the operating system kernel, it is much lighter than the virtual machine method, so it has excellent portability, starts up much faster, and occupies much less memory than the entire operating system boot. As described above, in the cloud service environment, you can select and use virtual machine servers and resources as much as you want at the desired time through the cloud system in which the necessary resources such as CPU, memory, storage, and application programs are provided with virtualization technology. Advanced services can also be provided, but problems such as security, stability, and guarantee of service performance have arisen.

대한민국 공개특허공보 제10-2016-0068108호Republic of Korea Patent Publication No. 10-2016-0068108

본 발명의 목적은 쿠버네티스의 오케스트레이션 도구와 RBAC(Role Based Access Control)를 사용하여 가상 컨테이너의 보안을 강화하기 위한 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템 및 방법을 제공하는 데 있다.An object of the present invention is to provide a container security management system and method using Kubernetes RBAC for enhancing security of virtual containers using Kubernetes orchestration tools and RBAC (Role Based Access Control).

상기 과제를 해결하기 위하여,In order to solve the above problem,

본 발명의 일실시 예에 따른 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템은 하나 이상 구현된 가상 컨테이너에 CPU, 메모리, 네트워크, 저장공간을 포함하는 외부자원을 제공하는 스토리지부;A container security management system using Kubernetes RBAC according to an embodiment of the present invention includes: a storage unit that provides external resources including CPU, memory, network, and storage space to one or more implemented virtual containers;

상기 컨테이너를 관리하는 가상 클라우드 서버의 주 운영체제를 제공하고, 하나 이상의 상기 가상 컨테이너에 각각 운영체제를 제공하는 호스트 운영체제부; a host operating system that provides a main operating system of a virtual cloud server that manages the containers, and provides an operating system to each of the one or more virtual containers;

상기 가상 클라우드 서버와 연동되어 외부에서 접속할 수 있는 컨테이너 관리 플랫폼을 제어관리하며, 쿠버네티스(Kubernetes) 오케스트레이션 도구를 적용하되, RBAC(Role Based Access Control)를 통해 상기 가상 컨테이너를 제어관리하는 컨테이너 제어관리부; 를 포함하고,Container control that controls and manages a container management platform that can be accessed from the outside in conjunction with the virtual cloud server, and applies a Kubernetes orchestration tool, but controls and manages the virtual container through RBAC (Role Based Access Control) Management; including,

상기 컨테이너 제어관리부는 가상 컨테이너에 접속하기 위해 ID 및 패스워드를 입력받아 상기 컨테이너 제어관리부에 사전에 등록된 계정 여부를 확인하는 계정확인부;The container control and management unit includes: an account verification unit that receives an ID and a password to access the virtual container and checks whether an account is previously registered with the container control and management unit;

신규 개설한 계정에 클러스터 또는 네임스페이스 Role 중에서 하나를 선택하여 부여하는 계정부여부; 및Whether to grant an account to a newly opened account by selecting one of a cluster or namespace role; and

상기 컨테이너 제어관리부에 등록된 계정을 제어관리하는 계정관리부; 를 포함할 수 있다.an account management unit for controlling and managing accounts registered in the container control management unit; may include.

또한, 본 발명의 일실시 예에 따른 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템에 있어서, 상기 계정관리부는, 관리자 계정 또는 일반 계정 중 적어도 어느 하나의 계정을 생성하는 계정생성부;In addition, in the container security management system using Kubernetes RBAC according to an embodiment of the present invention, the account management unit includes: an account generator for creating at least one of an administrator account and a general account;

상기 계정부여부에서 Role이 부여된 관리자 계정 중에서 계정 만료 여부를 판단하는 만료판단부;an expiration determination unit for determining whether an account expires among the administrator accounts to which the role is assigned in the account granting unit;

상기 계정생성부에서 생성된 계정 또는 상기 만료판단부에서 판단한 사용이 만료된 계정 중에서 계정 사용을 연장하는 계정연장부;an account extension unit for extending account use among the accounts created by the account creation unit or the accounts whose use has expired as determined by the expiration determination unit;

상기 만료판단부에서 계정 사용만료 여부를 판단한 계정에 한정하여 계정을 삭제하는 계정삭제부; 를 포함할 수 있다.an account deletion unit configured to delete an account limited to the account for which the account use has been determined by the expiration determination unit; may include.

또한, 본 발명의 일실시 예에 따른 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템에 있어서, 상기 계정생성부에서 생성되는 계정은 일반 계정 및 쿠버네티스 오케스트레이션 도구를 사용할 수 있는 관리자 계정을 각각 생성하고, 상기 관리자 계정에 클러스터 또는 네임스페이스 Role 중 어느 하나를 부여할 수 있다.In addition, in the container security management system using Kubernetes RBAC according to an embodiment of the present invention, the account created in the account generator creates a general account and an administrator account that can use the Kubernetes orchestration tool, respectively, , one of a cluster or namespace role can be assigned to the administrator account.

또한, 본 발명의 일실시 예에 따른 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템에 있어서, 상기 컨테이너 제어관리부는, 상기 만료판단부에서 판단한 사용 만료된 계정이 연장거부되면 상기 관리자 계정에 부여된 Role만 삭제할 수 있다.In addition, in the container security management system using Kubernetes RBAC according to an embodiment of the present invention, the container control and management unit, the role assigned to the administrator account when the expired account determined by the expiration determination unit is rejected for extension can only be deleted.

또한, 본 발명의 일실시 예에 따른 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템에 있어서, 상기 컨테이너 제어관리부는, 상기 만료판단부에서 계정 만료를 판단한 계정에 한정하여 계정을 일정 기간 이상 사용하지 않거나, 상기 컨테이너 제어관리부에서 상기 관리자 계정을 삭제를 요청한 경우, 관리자 계정 및 일반 계정을 함께 삭제할 수 있다.In addition, in the container security management system using Kubernetes RBAC according to an embodiment of the present invention, the container control and management unit does not use the account for more than a certain period of time by limiting the account for which the account expiration is determined by the expiration determining unit. , when the container control and management unit requests deletion of the administrator account, the administrator account and the general account may be deleted together.

본 발명의 일실시 예에 따른 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 방법은 (a) 컨테이너 제어관리부와 연동된 컨테이너 관리 플랫폼에 계정 ID 및 패스워드를 입력하는 단계;A container security management method using Kubernetes RBAC according to an embodiment of the present invention includes the steps of (a) inputting an account ID and password into a container management platform interworking with a container control management unit;

(b) 상기 컨테이너 관리 플랫폼에서 입력받은 계정에 한정하여 상기 컨테이너 제어관리부에서 계정 만료 여부를 판단하는 단계;(b) determining whether the account expires by the container control management unit limited to the account received from the container management platform;

(c) 상기 컨테이너 제어관리부에서 사용 기간 만료 여부를 판단하고, 사용 기간 중인 계정을 컨테이너 관리 플랫폼에 접속하는 단계; 를 포함하고,(c) determining whether the period of use has expired by the container control and management unit, and connecting an account during the period of use to the container management platform; including,

상기 (b) 단계는 상기 컨테이너 제어관리부에서 판단한 계정이 사용 만료가 되면 계정 사용 연장 여부를 상기 컨테이너 관리 플랫폼을 통해 입력받고, 계정 사용 연장 여부를 거부한 계정을 관리자 계정에 부여된 Role을 삭제할 수 있다.In step (b), when the account determined by the container control and management unit has expired, it is possible to receive an input of whether to extend the account through the container management platform, and delete the role assigned to the administrator account for the account that refused to extend the use of the account. have.

또한, 본 발명의 일실시 예에 따른 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 방법에 있어서, 상기 (a) 단계에서 컨테이너 관리 플랫폼에 접속할 계정이 없는 경우, 계정관리부에서 일반 계정 및 쿠버네티스 오케스트레이션 도구를 사용할 수 있는 관리자 계정을 각각 생성하여 각각의 계정에 Role을 부여할 수 있다.In addition, in the container security management method using Kubernetes RBAC according to an embodiment of the present invention, if there is no account to access the container management platform in step (a), the account management unit uses a general account and a Kubernetes orchestration tool You can create an administrator account that can use , and assign a role to each account.

또한, 본 발명의 일실시 예에 따른 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 방법에 있어서, 상기 (b) 단계에서 상기 컨테이너 관리 플랫폼을 통해 계정 사용 만료된 계정에 한정하여 계정 사용 연장 신청 여부를 계정관리부에서 조회하고, 계정을 일정 기간 이상 사용하지 않거나, 상기 컨테이너 제어관리부에서 상기 관리자 계정을 삭제를 요청한 계정의 관리자 계정 및 일반 계정을 삭제할 수 있다.In addition, in the container security management method using Kubernetes RBAC according to an embodiment of the present invention, in the step (b), whether to apply for an account extension is determined by limiting the account use to the expired account through the container management platform. The management unit may inquire about it, and the account may not be used for a certain period of time or more, or the administrator account and general account of an account that has requested deletion of the administrator account from the container control management unit may be deleted.

이러한 해결 수단은 첨부된 도면에 의거한 다음의 발명의 상세한 설명으로부터 더욱 명백해질 것이다.These solutions will become more apparent from the following detailed description of the invention based on the accompanying drawings.

이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이고 사전적인 의미로 해석되어서는 아니 되며, 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합되는 의미와 개념으로 해석되어야만 한다.Prior to this, the terms or words used in the present specification and claims should not be construed in their ordinary and dictionary meanings, and the inventor may properly define the concept of the term in order to best describe his invention. It should be interpreted as meaning and concept consistent with the technical idea of the present invention based on the principle that it is possible.

즉, 본 발명의 일실시 예에 따르면, 컨테이너 관리 플랫폼의 계정에 사용 만료 기간을 등록하여 만료시 관리자 계정에 부여된 Role을 삭제함으로써, 추후에 쿠버네티스 리소스에 접근할 수 있는 권한을 방지할 수 있으며, 컨테이너 관리 플랫폼을 사용하지 않는 계정이 될 경우 일반 계정 및 관리자 계정을 함께 삭제함으로써 쿠버네티스 리소스에 접근할 수 있는 권한을 사전에 방지할 수 있다.That is, according to an embodiment of the present invention, by registering a usage expiration period in the account of the container management platform and deleting the role granted to the administrator account upon expiration, the right to access Kubernetes resources in the future can be prevented. If the account does not use the container management platform, the right to access Kubernetes resources can be prevented in advance by deleting the general account and the administrator account together.

도 1은 본 발명의 일실시 예에 따른 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템의 가상 클라우드 서버를 나타내 보인 개략도.
도 2는 본 발명의 일실시 예에 따른 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템 클러스터 구성요소를 나타내 보인 블록도.
도 3은 본 발명의 일실시 예에 따른 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템의 컨테이너 제어관리부의 구성요소를 나타내 보인 블록도.
도 4 내지 도 6은 본 발명의 일실시 예에 따른 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 방법의 계정 생성 및 계정 관리 순서를 나타내 보인 순서도.1 is a schematic diagram showing a virtual cloud server of a container security management system using Kubernetes RBAC according to an embodiment of the present invention.
2 is a block diagram illustrating a container security management system cluster component using Kubernetes RBAC according to an embodiment of the present invention.
3 is a block diagram illustrating components of a container control management unit of a container security management system using Kubernetes RBAC according to an embodiment of the present invention.
4 to 6 are flowcharts illustrating an account creation and account management sequence of a container security management method using Kubernetes RBAC according to an embodiment of the present invention.

본 발명의 특이한 관점, 특정한 기술적 특징들은 첨부된 도면들과 연관되는 이하의 구체적인 내용과 일실시 예로부터 더욱 명백해 질 것이다. 본 명세서에서 각 도면의 구성요소들에 참조 부호를 부가함에 있어, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명의 일실시 예를 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.The specific aspects and specific technical features of the present invention will become more apparent from the following detailed description and embodiments in conjunction with the accompanying drawings. In the present specification, in adding reference numerals to the components of each drawing, it should be noted that the same components are given the same reference numerals as possible even if they are indicated on different drawings. In addition, in describing an embodiment of the present invention, if it is determined that a detailed description of a related well-known configuration or function may obscure the gist of the present invention, the detailed description thereof will be omitted.

또한, 본 발명의 구성요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 어떤 구성요소가 다른 구성요소에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성요소는 그 다른 구성요소에 직접적으로 연결되거나 또는 접속될 수 있지만, 각 구성요소 사이에 또 다른 구성요소가 "연결", "결합" 또는 "접속"될 수도 있다고 이해되어야 할 것이다.In addition, in describing the components of the present invention, terms such as first, second, A, B, (a), (b), etc. may be used. These terms are only for distinguishing the elements from other elements, and the essence, order, or order of the elements are not limited by the terms. When a component is described as being “connected”, “coupled” or “connected” to another component, the component may be directly connected to or connected to the other component, but another component may exist between each component. It should be understood that elements may be “connected,” “coupled,” or “connected.”

이하, 본 발명의 일실시 예를 첨부된 도면에 의거하여 상세히 설명하면 다음과 같다.Hereinafter, an embodiment of the present invention will be described in detail based on the accompanying drawings.

도 1에 도시된 바와 같이, 본 발명의 일실시 예에 따른 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템은 가상 컨테이너(4)에 CPU, 메모리, 네트워크, 저장공간을 포함하는 외부자원을 제공하는 스토리지부(1)와, 가상 컨테이너(4)에 운영체제를 제공하고, 가상 컨테이너를 관리하는 가상 클라우드 서버의 주 운영체제가 마련된 호스트 운영체제부(2)와, 가상 컨테이너(4)를 관리하는 컨테이너 제어관리부(3)를 포함하여 구성될 수 있다.As shown in FIG. 1 , the container security management system using Kubernetes RBAC according to an embodiment of the present invention provides a virtual container 4 with external resources including CPU, memory, network, and storage space. A branch unit 1, a host operating system unit 2 that provides an operating system to the virtual container 4, and a main operating system of a virtual cloud server that manages the virtual container is provided, and a container control management unit that manages the virtual container 4 ( 3) may be included.

스토리지부(1)는 가상 클라우드 서버에 설치된 CPU, 메모리, 네트워크, 저장공간을 가상 컨테이너(4)에 제공함으로써, 가상 컨테이너(4)안에 설치된 어플리케이션(5)이나 레지스트리(6)가 구동될 수 있도록 가상 클라우드 서버에서 외부자원을 대여해주는 기능을 수행할 수 있다. 이외에도 스토리지부(1)는 가상 컨테이너(4)에 자원을 대여해줄 수 있는 자원이 추가로 포함될 수 있으며, 그래픽카드, IP 주소가 여기에 해당될 수 있다.The storage unit 1 provides the CPU, memory, network, and storage space installed in the virtual cloud server to the virtual container 4 so that the application 5 or the registry 6 installed in the virtual container 4 can be driven. The virtual cloud server can perform the function of lending external resources. In addition, the storage unit 1 may additionally include a resource capable of lending a resource to the virtual container 4 , and may include a graphic card and an IP address.

호스트 운영체제부(2)는 가상 클라우드 서버에 설치된 호스트 운영체제를 포함하고, 가상 클라우드 서버에 설치된 호스트 운영체제를 하나 이상 구축된 가상 컨테이너(4)에 각각 제공될 수 있다. 즉, 가상 클라우드 서버에 설치된 호스트 운영체제와, 가상 컨테이너(4)에 제공되는 운영체제가 동일하나, 이에 한정하는 것은 아니며, 가상 컨테이너(4)에 제공되는 운영체제가 가상 클라우드 서버에 설치되어 별도로 제공될 수 있다.The host operating system unit 2 may include a host operating system installed in the virtual cloud server, and each of the host operating systems installed in the virtual cloud server may be provided to the virtual containers 4 in which one or more are built. That is, the host operating system installed in the virtual cloud server and the operating system provided to the virtual container 4 are the same, but not limited thereto, and the operating system provided to the virtual container 4 may be installed in the virtual cloud server and provided separately. have.

컨테이너 제어관리부(3)는 가상 클라우드 서버에 구현된 하나 이상의 가상 컨테이너(4)를 제어관리할 수 있도록 구성되고, 유저가 가상 컨테이너(4)에 접속할 수 있도록 컨테이너 관리 플랫폼이 가상 클라우드 서버와 연동될 수 있도록 구현될 수 있다. The container control management unit 3 is configured to control and manage one or more virtual containers 4 implemented in the virtual cloud server, and the container management platform is interlocked with the virtual cloud server so that a user can access the virtual container 4 . It can be implemented so that

또한, 컨테이너 제어관리부(3)는 쿠버네티스(Kubernetes) 오케스트레이션 도구를 구현하되, RBAC(Role Based Access Control)가 구현됨으로써, 쿠버네티스에서 제공하는 컨테이너 관리에 대한 사용 권한을 Role 기반으로 구현되며, 서비스 어카운트를 만들고 추가로 Role을 부여하여 쿠버네티스의 사용권한을 제어할 수 있다.In addition, the container control and management unit 3 implements a Kubernetes orchestration tool, but by implementing RBAC (Role Based Access Control), the permissions for container management provided by Kubernetes are implemented based on a role. , you can create a service account and assign additional roles to control the use rights of Kubernetes.

이러한 컨테이너 제어관리부(3)는 클러스터 전체에 엑세스 가능한 클러스터 Role(또는 관리자 Role)과 네임스페이스만 접근이 가능한 네임스페이스 Role이 포함되어 구현될 수 있다.The container control management unit 3 may be implemented by including a cluster role (or an administrator role) that can access the entire cluster and a namespace role that can access only the namespace.

도 2에 도시된 바와 같이, 클러스터 Role이 부여되면, 클러스터(10)에 포함되는 마스터노드(11), 워커노드(13), 네임스페이스(12)를 제어할 수 있는 권한이 부여되고, 네임스페이스 Role이 부여되면, 네임스페이스(12)만 제어할 수 있는 권한이 부여될 수 있다.As shown in FIG. 2 , when a cluster Role is granted, the authority to control the master node 11 , the worker node 13 , and the namespace 12 included in the cluster 10 is granted, and the namespace When the Role is assigned, the authority to control only the namespace 12 may be given.

여기서, 마스터노드(11)는 클러스터(10)에 속해 있는 전체 노드를 관리하는 노드이고, 워커노드(13)는 컨테이너가 실제로 배포되는 노드이며, 네임스페이스(12)는 쿠버네티스 클러스 안의 논리적인 구분 단위를 말한다. 즉, 클러스터 Role은 관리자에게 부여하는 Role이고, 네임스페이스 Role은 가상 컨테이너를 사용하는 유저에게 부여하는 Role이다.Here, the master node 11 is a node that manages all nodes belonging to the cluster 10, the worker node 13 is a node where containers are actually deployed, and the namespace 12 is a logical node in the Kubernetes cluster. refers to the unit of distinction. That is, the cluster role is the role given to the administrator, and the namespace role is the role given to the user who uses the virtual container.

이러한 컨테이너 제어관리부(3)는 도 3에 도시된 바와 같이, 가상 컨테이너를 접속하기 위해 ID 및 패스워드를 입력받아 컨테이너 제어관리부(3)에 사전에 등록된 계정 여부를 확인하는 계정확인부(21)와, 신규 개설한 계정에 클러스터 또는 네임스페이스 Role 중에서 하나를 선택하여 부여하는 계정부여부(22)와, 컨테이너 제어관리부(3)에 등록된 계정을 제어관리하는 계정관리부(23)를 포함하여 구현될 수 있다.As shown in FIG. 3 , the container control and management unit 3 receives an ID and a password to access the virtual container and checks whether an account is registered in advance with the container control and management unit 3 . and an account granting unit 22 that selects and grants a cluster or namespace role to a newly opened account, and an account management unit 23 that controls and manages accounts registered in the container control management unit 3 can be

계정확인부(21)는 컨테이너 관리 플랫폼에서 입력한 계정 ID 및 패스워드를 입력받아 컨테이너 제어관리부(3)에 등록된 계정 여부를 확인하는 기능을 수행하며, 컨테이너 제어관리부(3)에 등록된 계정이 아닌 경우, 컨테이너 관리 플랫폼에서 제공하는 신규가입을 통해 신규 계정을 생성할 수 있다. 이때, 신규 계정을 생성할 때, 계정만료 기간도 같이 설정할 수 있다.The account verification unit 21 receives the account ID and password input from the container management platform and performs a function of checking whether an account is registered in the container control management unit 3 , and the account registered in the container control management unit 3 is If not, you can create a new account through a new subscription provided by the container management platform. In this case, when creating a new account, the account expiration period can also be set.

여기서, 계정확인부(21)는 컨테이너 관리 플랫폼을 통해 신규 계정을 생성할 경우, 일반 계정 및 관리자 계정을 각각 생성하여 각각의 계정에 계정확인부(21)를 통해 Role을 부여할 수 있다. 여기서, 일반 계정은 컨테이너 관리 플랫폼에서 입력하는 계정 ID 및 패스워드를 말하며, 관리자 계정은 클러스터 또는 네임스페이스 Role 중 어느 하나의 Role을 부여하여 엑세스 권한 범위를 부여받을 수 있다.Here, when creating a new account through the container management platform, the account verification unit 21 may create a general account and an administrator account, respectively, and assign a role to each account through the account verification unit 21 . Here, the general account refers to an account ID and password input in the container management platform, and the administrator account can be given a range of access rights by granting either a cluster or a namespace role.

예컨대, 관리자 계정이 클러스터 Role을 부여하면, 클러스터 전체를 엑세스할 수 있는 권한이 부여되고, 제1 네임스페이스 Role을 부여하면, 클러스터 내 네임스페이스 전체를 부여할 수 있는 권한이 부여되며, 제2 네임스페이스 Role을 부여하면, 클러스터 내 네임스페이스 내에서 리소스 중 일부 권한이 부여되는 구조로 이루어질 수 있다. For example, if the administrator account grants a cluster role, access to the entire cluster is granted. If the first namespace role is granted, the authority to grant the entire namespace in the cluster is granted, and the second name When a space role is granted, it can be structured in a structure in which some of the resources are granted within the namespace within the cluster.

예컨대, 제2 네임스페이스 Role이 관리자 계정에 부여된 경우, 역할에 따라 네임스페이스의 일부 권한이 부여되는데, 네임스페이스 내에서 개발계 어플리케이션을 관리 및 스테이징 반영하는 일반 계정에는 제2 네임스페이스 Role의 일부(어플리케이션관리 및 스테이징에 관련된 네임스페이스 권한 부여)를 부여할 수 있고, 네임스페이스 내에서 스테이징에 있는 어플리케이션의 운영 환경을 배포하는 일반 계정에는 제2 스페이스 Role의 일부(운영 환경 배포에 관련된 네임스페이스 권한 부여)를 부여할 수 있다.For example, when the second namespace role is granted to the administrator account, some privileges of the namespace are granted according to the role. In the general account that manages and staging development applications within the namespace, a part of the second namespace role ( Namespace permission related to application management and staging can be granted, and part of the second space role (namespace permission related to operating environment deployment) can be granted to the general account that deploys the operating environment of the application in the staging within the namespace. ) can be given.

상기한 방식으로 일반 계정 및 관리자 계정이 생성되고, 클러스터 또는 네임스페이스 Role을 부여받은 계정은 컨테이너 제어관리부(3)에 등록될 수 있고, 컨테이너 제어관리부(3)에 등록된 계정은 계정관리부(23)를 통해 계정들이 제어관리할 수 있다.A general account and an administrator account are created in the above manner, and an account to which a cluster or namespace role is assigned may be registered in the container control management unit 3 , and an account registered in the container control management unit 3 may be registered in the account management unit 23 ) through which accounts can be controlled and managed.

계정관리부(23)는 계정생성부(24), 만료판단부(25), 계정연장부(26), 계정삭제부(27)를 포함하여 구성될 수 있다.The account management unit 23 may include an account creation unit 24 , an expiration determination unit 25 , an account extension unit 26 , and an account deletion unit 27 .

계정생성부(24)는 일반 계정 또는 관리자 계정 중 적어도 어느 하나의 계정을 생성할 수 있으며, 컨테이너 관리 플랫폼을 통해 생성된 일반 계정 및 계정부여부(22)에서 부여할 수 있는 관리자 계정을 생성할 수 있다.The account creation unit 24 may create at least one of a general account and an administrator account, and may create a general account created through the container management platform and an administrator account that can be granted by the account granting unit 22 . can

만료판단부(25)는 컨테이너 제어관리부(3)에서 등록된 계정 중에서 Role(클러스터 또는 네임스페이스 중 어느 하나의 Role)이 부여된 관리자 계정 중에서 계정 만료 여부를 판단하는 기능을 수행하며, 계정 만료가 된 계정은 계정연장부(26)를 통해 계정 사용을 연장할 수 있다. 이 때, 계정연장부(26)는 계정생성부(24)에서 생성된 계정에 계정만료 기간을 설정할 수 있다.The expiration determination unit 25 performs a function of determining whether an account expires among the administrator accounts to which a Role (either a role of a cluster or a namespace) is granted among the accounts registered in the container control management unit 3, and the account expiration The account used may be extended through the account extension unit 26 . In this case, the account extension unit 26 may set an account expiration period for the account created by the account creation unit 24 .

계정삭제부(27)는 사용기간이 만료된 계정을 삭제하는 기능을 수행하며, 만료판단부(25)에서 사용 만료 여부를 판단한 이후에 계정을 삭제할 수 있다, 구체적으로, 계정삭제부(27)는 만료판단부(25)에서 판단한 사용 만료된 계정에 한정하여 계정을 컨테이너 제어관리부(3)에서 사전에 설정된 기간 이상 사용하지 않거나, 컨테이너 제어관리부(3)에서 계정 삭제를 요청한 경우, 일반 계정 및 관리자 계정을 함께 삭제할 수 있다.The account deletion unit 27 performs a function of deleting an account whose usage period has expired, and may delete the account after the expiration determination unit 25 determines whether the usage has expired. Specifically, the account deletion unit 27 If the account is not used for more than the period set in advance by the container control and management unit 3, or the container control and management unit 3 requests to delete the account, limited to the account that has expired as determined by the expiration determination unit 25, the general account and You can also delete the administrator account.

한편, 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 방법에 있어서, 컨테이너 제어관리부(3)와 연동된 컨테이너 관리 플랫폼에 계정 ID 및 패스워드를 입력하는 단계와, 컨테이너 관리 플랫폼에서 입력받은 계정에 한정하여 컨테이너 제어관리부(3)에서 계정 만료 여부를 판단하는 단계와, 컨테이너 제어관리부(3)에서 사용 기간 만료 여부를 판단하고, 사용 기간 중인 계정을 컨테이너 관리 플랫폼에 접속하는 단계를 포함할 수 있다.On the other hand, in the container security management method using Kubernetes RBAC, inputting an account ID and password to a container management platform interlocked with the container control management unit 3, and controlling the container limited to the account input from the container management platform It may include the steps of determining whether the account is expired by the management unit 3 , determining whether the usage period has expired by the container control management unit 3 , and connecting the account during the usage period to the container management platform.

예컨대, 컨테이너 관리 플랫폼에 접속할 계정이 없는 경우, 도 4에 도시된 바와 같이, 컨테이너 관리 플랫폼 로그인 창에 함께 있는 계정 생성에서 계정 및 사용 만료 기간을 등록할 수 있다(S11,S12). 컨테이너 관리 플랫폼에서 생성된 계정은 컨테이너 관리 플랫폼에 로그인할 수 있는 일반 계정을 컨테이너 관리 플랫폼에 등록하고(S13), 쿠버네티스 오케스트레이션 도구를 사용할 수 있는 관리자 계정을 생성할 수 있다(S14).For example, if there is no account to access the container management platform, as shown in FIG. 4 , an account and an expiration period of use can be registered in the account creation in the container management platform login window (S11, S12). The account created in the container management platform may register a general account that can log in to the container management platform with the container management platform (S13), and create an administrator account that can use the Kubernetes orchestration tool (S14).

관리자 계정을 생성한 이후, 클러스터 Role 또는 네임스페이스 Role 중 어느 하나의 Role을 부여하며(S16, S17), 관리자 계정에 Role을 부여하게 되면 계정 생성 절차가 완료되어 컨테이너 관리 플랫폼에 로그인할 수 있다.After the administrator account is created, either the cluster role or the namespace role is assigned (S16, S17). If the role is assigned to the administrator account, the account creation procedure is completed and you can log in to the container management platform.

일반 사용자가 컨테이너 관리 플랫폼에 로그인을 하게되면, 도 5에 도시된 바와 같이, 컨테이너 관리 플랫폼에 계정 ID 및 패스워드를 입력하여 로그인을 시도하면(S21), 컨테이너 제어관리부(3)에서 계정만료여부를 만료판단부(25)를 통해 판단할 수 있으며(S22), 사용 만료가 되지 않은 계정은 로그인 완료될 수 있고(S23), 사용 만료된 계정으로 판단되면, 컨테이너 관리 플랫폼에 계정 만료를 팝업창 표시하여 사용 만료에 대하여 공지할 수 있다(S24).When a general user logs in to the container management platform, as shown in FIG. 5 , when an account ID and password are entered into the container management platform to log in (S21), the container control management unit 3 determines whether the account has expired. It can be determined through the expiration determination unit 25 (S22), and an account that has not expired can be logged in (S23). Expiration of use may be notified (S24).

이후, 컨테이너 제어관리부(3)는 컨테이너 관리 플랫폼을 통해 계정사용 연장여부를 입력받아 예컨대 계정 사용 연장을 거부하면, 쿠버네티스 오케스트레이션 도구를 사용할 수 있는 관리자 계정에 부여된 Role을 삭제할 수 있다(S26). 또한, 예컨대 계정 사용 연장을 승인하면 사용 만료된 계정에 사용 만료 기간을 추가로 설정하여 계정 사용 연장 신청을 승인할 수 있다(S27).Thereafter, the container control management unit 3 receives an input of whether to extend the account use through the container management platform and, for example, rejects the account use extension, may delete the role assigned to the administrator account that can use the Kubernetes orchestration tool (S26). ). Also, for example, if the account use extension is approved, the account use extension application may be approved by additionally setting an expiration period for the expired account ( S27 ).

한편, 컨테이너 관리 플랫폼에 등록된 계정을 관리하는 방법은 도 6에 도시된 바와 같이, 컨테이너 관리 플랫폼에 등록된 계정을 컨테이너 제어관리부(3)를 통해서 계정 사용 연장 신청을 조회하고(S31,S32), 계정 사용 연장을 신청한 하나 이상의 계정이 가상 클라우드 서버에 등록된 유저인지를 판단하고(S33), 가상 클라우드 서버에 등록된 유저인 경우, 일반 계정 및 관리자 계정의 사용 연장을 승인하여 관리자 계정에 부여된 Role 또한 새롭게 부여되거나, 기존에 부여된 Role의 사용 기간을 연장시킬 수 있다(S34,S35).On the other hand, the method of managing the account registered in the container management platform, as shown in FIG. 6 , inquires the account registered in the container management platform through the container control management unit 3 to request an account use extension (S31, S32) , it is determined whether one or more accounts that have applied for extension of account use are users registered in the virtual cloud server (S33), and if they are users registered in the virtual cloud server, the extension of use of general accounts and administrator accounts is approved to be added to the administrator account. The assigned role may also be newly assigned, or the period of use of an existing assigned role may be extended (S34, S35).

또한, 가상 클라우드 서버에 등록되지 않은 유저인 경우, 일반 계정 및 관리자 계정을 삭제하고, 관리자 계정에 부여된 Role 또한 삭제할 수 있다(S36,S37).In addition, in the case of a user not registered in the virtual cloud server, the general account and the administrator account may be deleted, and the role assigned to the administrator account may also be deleted (S36 and S37).

여기서, 가상 클라우드 서버에 등록된 유저 또는 가상 클라우드 서버에 등록되지 않은 유저를 판단하는 기준은 컨테이너 관리 플랫폼을 통해 로그인하는 유저가 퇴사자인지의 여부로 판단하나, 이에 한정하는 것은 아니다.Here, the criterion for determining the user registered in the virtual cloud server or the user not registered in the virtual cloud server is whether a user logging in through the container management platform is a retired person, but is not limited thereto.

즉, 본 발명의 일실시 예에 따르면, 컨테이너 관리 플랫폼의 계정에 사용 만료 기간을 등록하여 만료시 관리자 계정에 부여된 Role을 삭제함으로써, 추후에 쿠버네티스 리소스에 접근할 수 있는 권한을 방지할 수 있으며, 컨테이너 관리 플랫폼을 사용하지 않는 계정이 될 경우 일반 계정 및 관리자 계정을 함께 삭제함으로써 쿠버네티스 리소스에 접근할 수 있는 권한을 사전에 방지할 수 있다.That is, according to an embodiment of the present invention, by registering a usage expiration period in the account of the container management platform and deleting the role granted to the administrator account upon expiration, the right to access Kubernetes resources in the future can be prevented. If the account does not use the container management platform, the right to access Kubernetes resources can be prevented in advance by deleting the general account and the administrator account together.

이상 본 발명을 일실시 예를 통하여 상세히 설명하였으나, 이는 본 발명을 구체적으로 설명하기 위한 것으로, 본 발명에 따른 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템 및 방법은 이에 한정되지 않는다. 그리고 이상에서 기재된 "포함하다", "구성하다", 또는 "가지다", 등의 용어는 특별히 반대되는 기재가 없는 한 해당 구성요소가 내재될 수 있음을 의미하는 것이므로, 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것으로 해석되어야 하며, 기술적이거나 과학적인 용어를 포함한 모든 용어들은, 다르게 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다.Although the present invention has been described in detail through one embodiment, this is intended to describe the present invention in detail, and the container security management system and method using Kubernetes RBAC according to the present invention is not limited thereto. And, terms such as "include", "comprise", or "have" described above mean that the component may be embedded unless otherwise stated, so excluding other components is It should be construed as being able to further include other components rather than other components, and all terms including technical or scientific terms are generally understood by those of ordinary skill in the art to which the present invention belongs, unless otherwise defined. has the same meaning as being

또한, 이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형 가능하다. 따라서, 본 발명에 개시된 일실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 일실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.In addition, the above description is merely illustrative of the technical idea of the present invention, and various modifications and variations are possible by those skilled in the art to which the present invention pertains without departing from the essential characteristics of the present invention. Accordingly, one embodiment disclosed in the present invention is not intended to limit the technical spirit of the present invention, but to explain, and the scope of the technical spirit of the present invention is not limited by this one embodiment. The protection scope of the present invention should be construed by the following claims, and all technical ideas within the equivalent range should be construed as being included in the scope of the present invention.

1 - 스토리지부 2 - 호스트 운영체제부
3 - 컨테이너 제어관리부 4 - 가상 컨테이너
5 - 어플리케이션 6 - 레지스트리
10 - 클러스터 11 - 마스터노드
12 - 네임스페이스 13 - 워커노드
21 - 계정확인부 22 - 계정부여부
23 - 계정관리부 24 - 계정생성부
25 - 만료판단부 26 - 계정연장부
27 - 계정삭제부1 - storage unit 2 - host operating system unit
3 - Container control management unit 4 - Virtual container
5 - Application 6 - Registry
10 - Cluster 11 - Masternode
12 - Namespace 13 - Workernode
21 - Account verification section 22 - Account grant status
23 - Account Management Department 24 - Account Creation Department
25 - Expiration judgment unit 26 - Account extension unit
27 - Account Deletion Department

Claims (8)

하나 이상 구현된 가상 컨테이너에 CPU, 메모리, 네트워크, 저장공간을 포함하는 외부자원을 제공하는 스토리지부;
상기 컨테이너를 관리하는 가상 클라우드 서버의 주 운영체제를 제공하고, 하나 이상의 상기 가상 컨테이너에 각각 운영체제를 제공하는 호스트 운영체제부;
상기 가상 클라우드 서버와 연동되어 외부에서 접속할 수 있는 컨테이너 관리 플랫폼을 제어관리하며, 쿠버네티스(Kubernetes) 오케스트레이션 도구를 적용하되, RBAC(Role Based Access Control)를 통해 상기 가상 컨테이너를 제어관리하는 컨테이너 제어관리부; 를 포함하고,
상기 컨테이너 제어관리부는 가상 컨테이너에 접속하기 위해 ID 및 패스워드를 입력받아 상기 컨테이너 제어관리부에 사전에 등록된 계정 여부를 확인하는 계정확인부;
신규 개설한 계정에 클러스터 또는 네임스페이스 Role 중에서 하나를 선택하여 부여하는 계정부여부; 및
상기 컨테이너 제어관리부에 등록된 계정을 제어관리하는 계정관리부; 를 포함하며,
상기 계정관리부는, 관리자 계정 또는 일반 계정 중 적어도 어느 하나의 계정을 생성하는 계정생성부;
상기 계정부여부에서 Role이 부여된 관리자 계정 중에서 계정 만료 여부를 판단하는 만료판단부;
상기 계정생성부에서 생성된 계정 또는 상기 만료판단부에서 판단한 사용이 만료된 계정 중에서 계정 사용을 연장하는 계정연장부;
상기 만료판단부에서 계정 사용만료 여부를 판단한 계정에 한정하여 계정을 삭제하는 계정삭제부; 를 포함하는, 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템.
a storage unit that provides external resources including CPU, memory, network, and storage space to one or more implemented virtual containers;
a host operating system that provides a main operating system of a virtual cloud server that manages the containers, and provides an operating system to each of the one or more virtual containers;
Container control that controls and manages a container management platform that can be accessed from the outside in conjunction with the virtual cloud server, and applies a Kubernetes orchestration tool, but controls and manages the virtual container through RBAC (Role Based Access Control) Management; including,
The container control and management unit includes: an account verification unit for receiving an ID and a password to access the virtual container and confirming whether an account is previously registered with the container control and management unit;
Whether to grant an account to a newly opened account by selecting one of a cluster or namespace role; and
an account management unit for controlling and managing accounts registered in the container control management unit; includes,
The account management unit, an account generation unit for generating at least one account of the manager account and the general account;
an expiration determination unit for determining whether an account expires among the administrator accounts to which the role is assigned in the account granting unit;
an account extension unit for extending account use from among the accounts created by the account creation unit or the accounts whose use has expired as determined by the expiration determination unit;
an account deletion unit configured to delete an account limited to the account for which the account use has been determined by the expiration determination unit; Container security management system using Kubernetes RBAC, including.
 삭제delete 청구항 1에 있어서,
상기 계정생성부에서 생성되는 계정은 일반 계정 및 쿠버네티스 오케스트레이션 도구를 사용할 수 있는 관리자 계정을 각각 생성하고, 상기 관리자 계정에 클러스터 또는 네임스페이스 Role 중 어느 하나를 부여하는, 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템.
The method according to claim 1,
The account created in the account creation unit creates a general account and an administrator account that can use the Kubernetes orchestration tool, respectively, and assigns either a cluster or namespace role to the administrator account, using Kubernetes RBAC. Container Security Management System.
 청구항 3에 있어서,
상기 컨테이너 제어관리부는, 상기 만료판단부에서 판단한 사용 만료된 계정이 연장거부되면 상기 관리자 계정에 부여된 Role만 삭제하는, 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템.
4. The method according to claim 3,
The container security management system using Kubernetes RBAC, wherein the container control and management unit deletes only the role assigned to the administrator account when the expired account determined by the expiration determination unit is rejected.
 청구항 3에 있어서,
상기 컨테이너 제어관리부는, 상기 만료판단부에서 계정 만료를 판단한 계정에 한정하여 계정을 일정 기간 이상 사용하지 않거나, 상기 컨테이너 제어관리부에서 상기 관리자 계정을 삭제를 요청한 경우, 관리자 계정 및 일반 계정을 함께 삭제하는, 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템.
4. The method according to claim 3,
The container control and management unit deletes the administrator account and the general account together when the account is not used for a certain period of time or longer by limiting the account for which the expiration determination unit determines the account expiration, or when the container control and management unit requests to delete the administrator account. Container security management system using Kubernetes RBAC.
 청구항 1에 기재된 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 시스템을 이용한 컨테이너 보안 관리 방법에 있어서,
(a) 컨테이너 제어관리부와 연동된 컨테이너 관리 플랫폼에 계정 ID 및 패스워드를 입력하는 단계;
(b) 상기 컨테이너 관리 플랫폼에서 입력받은 계정에 한정하여 상기 컨테이너 제어관리부에서 계정 만료 여부를 판단하는 단계;
(c) 상기 컨테이너 제어관리부에서 사용 기간 만료 여부를 판단하고, 사용 기간 중인 계정을 컨테이너 관리 플랫폼에 접속하는 단계; 를 포함하고,
상기 (b) 단계는 상기 컨테이너 제어관리부에서 판단한 계정이 사용 만료가 되면 계정 사용 연장 여부를 상기 컨테이너 관리 플랫폼을 통해 입력받고, 계정 사용 연장 여부를 거부한 계정을 관리자 계정에 부여된 Role을 삭제하며,
상기 (a) 단계에서 컨테이너 관리 플랫폼에 접속할 계정이 없는 경우, 계정관리부에서 일반 계정 및 쿠버네티스 오케스트레이션 도구를 사용할 수 있는 관리자 계정을 각각 생성하여 각각의 계정에 Role을 부여하는, 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 방법.
In the container security management method using the container security management system using the Kubernetes RBAC according to claim 1,
(a) inputting an account ID and password into a container management platform linked with a container control management unit;
(b) determining whether the account expires by the container control management unit limited to the account received from the container management platform;
(c) determining whether the period of use has expired by the container control and management unit, and connecting an account during the period of use to the container management platform; including,
In the step (b), when the account determined by the container control and management unit expires, it is inputted through the container management platform whether to extend the account use, and the role assigned to the administrator account is deleted for the account that has rejected whether to extend the account use, ,
If there is no account to access the container management platform in step (a) above, the account management department creates a general account and an administrator account that can use the Kubernetes orchestration tool, respectively, and assigns a role to each account, Kubernetes RBAC How to manage container security using
 삭제delete 청구항 6에 있어서,
상기 (b) 단계에서 상기 컨테이너 관리 플랫폼을 통해 계정 사용 만료된 계정에 한정하여 계정 사용 연장 신청 여부를 계정관리부에서 조회하고, 계정을 일정 기간 이상 사용하지 않거나, 상기 컨테이너 제어관리부에서 상기 관리자 계정을 삭제를 요청한 계정의 관리자 계정 및 일반 계정을 삭제하는, 쿠버네티스 RBAC를 이용한 컨테이너 보안 관리 방법.
7. The method of claim 6,
In step (b), the account management unit inquires whether to apply for an extension of account use by limiting the account use to the expired account through the container management platform, and does not use the account for more than a certain period of time, or the container control management unit selects the administrator account How to manage container security using Kubernetes RBAC, which deletes the administrator account and general account of the account that requested deletion.
KR1020210066263A 2021-05-24 2021-05-24 Container security management system using Kubernetes RBAC KR102322312B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210066263A KR102322312B1 (en) 2021-05-24 2021-05-24 Container security management system using Kubernetes RBAC

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210066263A KR102322312B1 (en) 2021-05-24 2021-05-24 Container security management system using Kubernetes RBAC

Publications (1)

Publication Number Publication Date
KR102322312B1 true KR102322312B1 (en) 2021-11-05

Family

ID=78507795

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210066263A KR102322312B1 (en) 2021-05-24 2021-05-24 Container security management system using Kubernetes RBAC

Country Status (1)

Country Link
KR (1) KR102322312B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115022021A (en) * 2022-05-31 2022-09-06 广东浪潮智慧计算技术有限公司 Method, system, equipment and computer readable storage medium for accessing k8s
KR102569002B1 (en) 2022-12-16 2023-08-23 스트라토 주식회사 Apparatus and method for automatic optimization of virtual machine in multi-cluster environment
KR102569001B1 (en) 2022-12-16 2023-08-23 스트라토 주식회사 Apparatus and method for automatic optimization of virtual machine of cloud
WO2024009331A1 (en) * 2022-07-04 2024-01-11 Med Innovations S.R.L. Cloud service platform

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160068108A (en) 2014-12-04 2016-06-15 에스케이하이닉스 주식회사 Memory system including semiconductor memory device and management method thereof
KR20200027783A (en) * 2018-09-05 2020-03-13 주식회사 나눔기술 Integrated management system of distributed intelligence module
KR20200126794A (en) * 2019-04-30 2020-11-09 숭실대학교산학협력단 Container cluster system for authentication based on blockchain
KR102189301B1 (en) * 2020-04-22 2020-12-11 주식회사 한국정보보호경영연구소 System and method for providing blockchain based cloud service with robost security

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160068108A (en) 2014-12-04 2016-06-15 에스케이하이닉스 주식회사 Memory system including semiconductor memory device and management method thereof
KR20200027783A (en) * 2018-09-05 2020-03-13 주식회사 나눔기술 Integrated management system of distributed intelligence module
KR20200126794A (en) * 2019-04-30 2020-11-09 숭실대학교산학협력단 Container cluster system for authentication based on blockchain
KR102189301B1 (en) * 2020-04-22 2020-12-11 주식회사 한국정보보호경영연구소 System and method for providing blockchain based cloud service with robost security

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115022021A (en) * 2022-05-31 2022-09-06 广东浪潮智慧计算技术有限公司 Method, system, equipment and computer readable storage medium for accessing k8s
CN115022021B (en) * 2022-05-31 2024-04-26 广东浪潮智慧计算技术有限公司 Method, system, equipment and computer readable storage medium for accessing k8s
WO2024009331A1 (en) * 2022-07-04 2024-01-11 Med Innovations S.R.L. Cloud service platform
KR102569002B1 (en) 2022-12-16 2023-08-23 스트라토 주식회사 Apparatus and method for automatic optimization of virtual machine in multi-cluster environment
KR102569001B1 (en) 2022-12-16 2023-08-23 스트라토 주식회사 Apparatus and method for automatic optimization of virtual machine of cloud

Similar Documents

Publication Publication Date Title
KR102322312B1 (en) Container security management system using Kubernetes RBAC
US10176020B2 (en) Dynamic management of computing platform resources
US11102214B2 (en) Directory access sharing across web services accounts
KR101738400B1 (en) Mobile device locking with context
EP3770781A1 (en) Fast smart card logon and federated full domain logon
GB2538518A (en) Computer device and method for controlling access to a resource via a security system
US10223170B2 (en) Dynamic management of computing platform resources
US10666573B2 (en) Dynamic management of computing platform resources
CN111159134A (en) Multi-tenant-oriented distributed file system security access control method and system
US10255092B2 (en) Managed virtual machine deployment
WO2020135492A1 (en) Software hierarchical management system
CN115427952A (en) Keyless authentication scheme for computing services
CN115698998A (en) Secure resource authorization for external identities using remote subject objects
CN112019543A (en) Multi-tenant permission system based on BRAC model
US11048543B2 (en) Computer system and resource access control method for securely controlling access using roles with a plurality of users
US11366883B2 (en) Reflection based endpoint security test framework
WO2022066414A1 (en) Compositional reasoning techniques for role reachability analyses in identity systems
CN110708298A (en) Method and device for centralized management of dynamic instance identity and access
CN116707849A (en) Cloud service access authority setting method and cloud management platform for enclave instance
US11695777B2 (en) Hybrid access control model in computer systems
US11507408B1 (en) Locked virtual machines for high availability workloads
KR102436673B1 (en) Backup encryption system for files and folders in a virtual environment built on the basis of cloud infrastructure
US20230239302A1 (en) Role-based access control for cloud features
US11949680B2 (en) Framework for customer control and auditing of operator access to infrastructure in a cloud service
US11356438B2 (en) Access management system with a secret isolation manager

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant