피드로 돌아가기
Docker BlogSecurity
원문 읽기
Notary v1 기반 DCT 은퇴 및 OCI-native 서명 체계로의 전면 전환
Docker Content Trust: Retirement and Migration Guidance
AI 요약
Context
TUF 기반 Notary v1의 유지보수 중단 및 별도 Trust Infrastructure 운영에 따른 관리 복잡도 증가. OCI 표준 기반의 서명 도구 확산으로 인해 레거시 DCT 구조의 기술적 효용성 상실.
Technical Solution
- 별도 서버 기반의 Trust Store 구조에서 이미지와 서명을 동일 레지스트리에 저장하는 OCI-native 방식으로 전환
- OIDC Identity 기반의 단기 인증서를 활용하는 Sigstore/Cosign 도입을 통한 서명 자동화 구현
- PKI 모델 기반의 Notation 채택으로 기업 환경에 최적화된 인증서 관리 체계 구축
- Digest Pinning 방식을 통한 이미지 불변성(Immutability) 보장 및 Content Integrity 검증 강화
- Kyverno 및 Ratify 등의 Admission Controller를 연동하여 런타임 단계의 서명 검증 강제화
- SBOM 및 Provenance Attestation이 내장된 Docker Hardened Images 도입으로 신뢰 체인 확장
실천 포인트
1. DOCKER_CONTENT_TRUST 환경 변수 제거 및 0 설정 여부 확인
2. Tag 기반 Pull에서 SHA256 Digest 기반 Pull로 전환하여 이미지 불변성 확보
3. Cosign 또는 Notation 중 조직의 인증 체계(OIDC vs PKI)에 맞는 도구 선정
4. K8s Admission Controller를 통한 서명되지 않은 이미지 배포 차단 정책 설정