|
안녕하세요. OpsNow팀 입니다.
어느 새 무더위와 장마가 성큼 다가와 벌써 7월을 앞두고 있습니다.
항상 건강에 유의하시기 바라며 6월 레터 시작하겠습니다.
혹시 DevSecOps라는 말 들어보신 적 있으신가요?
DevOps에 보안(Security)을 추가해 적용하는 방법론인데요.
DevSecOps는 보안 안정성을 기반으로 빠른 개발, 배포, 테스트를 지원하기 위해 컨테이너가 중심이 됩니다.
컨테이너는 프로세스 단위의 격리 환경을 조성하고 있어 상호 간의 의존도가 낮고 기존 VM에 비해 사이즈가 작아서 배포가 빠르고 성능 손실이 거의 없어 DevOps 및 클라우드 네이티브 환경으로 애플리케이션을 실행하는 곳에서는 많이 채택하고 있는 기술입니다.
오늘은 컨테이너 애플리케이션을 개발하고 운영하고 있는 분들 관점에서 컨테이너를 안전하게 유지할 수 있도록 쿠버네티스 컨테이너 보안에 대해 살펴보겠습니다.
|
OpsHow 이야기
|
|
클라우드 네이티브 생태계가 발전하면서 클라우드 사용 방식도 바뀌고 있습니다.
보안 역시 기존의 엔드포인트 중심에서 클라우드 전체의 라이프 사이클을 아우르는 방향으로 변하고 있으며, 그 중심에 쿠버네티스가 있습니다.
쿠버네티스는 컨테이너화된 애플리케이션의 배포, 관리, 확장을 자동화하는 플랫폼으로 전 세계에서 가장 많이 사용하고 있어 사실상 컨테이너 보안을 위해서는 쿠버네티스 보안을 신경 써야 합니다.
|
(출처: Business research Insights)
|
|
KSPM(Kubernetes Security Posture Management) 등장 배경은?
|
|
쿠버네티스와 컨테이너화는 DevOps를 더 빠르고, 확장할 수 있도록 지원하지만, 추가적인 보안 위험도 수반합니다. 더 많은 컨테이너가 배포되면서 공격 표면이 확대되고 취약점 또는 구성 오류가 포함된 컨테이너를 식별하기가 더욱 어려워지고 있습니다.
보안 문제는 애플리케이션 개발과 배포를 지연시키거나 속도를 늦추는 요인으로 작용합니다. 그리고 보안 문제로 사고가 발생할 경우 매출 또는 고객 손실 그리고 비즈니스 운영에 추가적인 영향을 미칠 수도 있습니다.
사람의 실수와 자동 보안 검사의 부재로 종종 발생하는 구성 오류는 쿠버네티스 환경에 심각한 위험을 일으키고 보안 침해를 초래할 수 있는데, 이는 컨테이너의 동적 특성 때문에 구성 오류를 식별하고 일관된 보안 상태를 유지하기가 어렵기
때문입니다.
|
|
쿠버네티스 보안 관리가 어려운 이유는?
|
 |
|
1) 복잡성 : 쿠버네티스는 매우 복잡한 시스템으로 다양한 컴포넌트와 상호 작용하는 많은 구성 요소를 포함하여, 이 때문에 보안 구성과 정책을 설정하고 관리하는 것이 매우 복잡합니다.
2) 다양한 배포 모델 : 쿠버네티스 클러스터는 중요한 데이터를 처리하고 저장하는데 사용될 수 있으므로 보안이 강화되지 않으면 데이터 유출 위험이 증가하고, 개인정보보호 및 규정 요구 사항 충족이 어렵습니다.
3) 컨테이너 동적성 : 쿠버네티스는 컨테이너 기반 환경에서 운영되기 때문에, 컨테이너의 동적 생성 및 삭제로 보안 설정의 일관성을 유지하기가 어렵습니다. (수작업으로 하는 상상을 했더니 아찔해집니다.;;)
4) 이미지 기반의 애플리케이션 배포 방식 : 이미지를 기반으로 애플리케이션을 배포하기 때문에 신뢰할 수 없는 이미지를 사용하거나 악성 코드가 포함된 이미지를 배포할 경우 보안 위협이 발생할 수 있습니다.
|
|
그럼 쿠버네티스 보안은 어떻게 해야 할까요?
|
|
KSPM(Kubernetes Security Posture Management)은 쿠버네티스 클러스터 전체에서 보안 및 규정 준수 문제를 자동으로 식별하고 리소스의 구성 오류를 확인하는데 도움을 주는 쿠버네티스 보안 솔루션입니다.
컨테이너화는 복잡하고 동적성을 가지고 있기 때문에 쿠버네티스트 클러스터를 보호하는 것은 매우 복잡한 작업이 될 수 있습니다. 이때 필요한 것이 KSPM입니다.
KSPM은 모든 쿠버네티스 클러스터와 리소스가 정확하고 안전하게 구성되도록 보장하는 모든 기술과 프로세스를 쉽게 구축하고 실행할 수 있게 합니다.
또한, 지속해서 컨테이너 이미지를 검색하고, 클러스터 구성을 모니터링하고, 잠재적인 취약점을 찾고, 컨테이너화된 워크로드의 런타임(컨테이너를 실제로 실행하고 관리하는 도구 예, Docker) 동작을 평가합니다.
|
|
쿠버네티스 보안을 위해 KSPM을 도입/적용했을 때 이점은?
|
|
1) 보안 취약점 식별 및 해결
KSPM은 모든 쿠버네티스 클러스터 및 컨테이너화된 워크로드에 대해 강력한 보안을 제공하여 보안 문제가 없는지 확인합니다. 취약점, 잘못된 구성 및 기타 문제를 사전에 찾고 해결하여 잠재적인 보안 위협을 사전에 차단할 수 있습니다.
2) 네트워크 정책의 편차 식별
KSPM은 조직이 설정한 표준 네트워크 보안 정책과의 편차를 식별하고 악의적인 활동을 식별하는 데 도움을 줍니다. 이는 적절한 자격 증명이 있는 사용자만 쿠버네티스 리소스에 액세스할 수 있도록 체계적인 네트워크 격리 환경을 구성할 수 있습니다.
3) 규정 준수 문제 보고
ISMS-P, ISO, GDPR, HIPAA, PCI-DSS 등 모든 산업 규정에는 고유한 규정 준수 요구 사항이 있으며 조직은 이를 유지해야 합니다. KSPM은 이러한 요구 사항을 준수하는 데 도움이 되며 잠재적인 규정 준수 여부를 모니터링 합니다. 이를 통해서 규정 준수를
간편하게 관리할 수 있습니다.
4) 간소화된 사고 대응
KSPM의 가장 중요한 장점 중 하나는 환경 내에서 발생할 수 있는 모든 종류의 보안 위협에 대해 사고 대응을 자동화할 수 있다는 것입니다. 이는 조직이 심각한 영향을 미치기 전에 위협을 사전에 완화하는 데 도움이 됩니다.
5) 세분화된 가시성
KSPM 솔루션은 쿠버네티스 클러스터에 대한 세부적인 가시성을 제공하고 모든 통찰력과 보고서를 제공합니다. 이를 통해 팀/조직의 보안 의식을 높이고, 제공되는 정보는 정보에 입각한 결정을 내리고 이에 따라 조직의 보안 정책을 구성하고 학습할 기회까지 얻을 수 있습니다.
|
마지막으로
|
|
CSPM vs. KSPM의 차이점에 대해서 궁금하신 분들도 계실 것 같습니다.
|
|
KSPM에 대한 확실한 이해를 위해 CSPM과의 차이점을 설명하면서 마무리하려고 합니다.
CSPM(Cloud Security Posture Management)과 KSPM(Kubernetes Security Posture Management)은 모두 클라우드 환경에서 보안 상태를 관리하는 도구이지만, 그 적용 범위와 초점이 다릅니다.
쿠버네티스는 온프레미스에 설치할 수도 있고, 클라우드 관리 서비스를 이용할 수도 있습니다. 물론 쿠버네티스 환경이 CSP에서 제공하는 관리형 서비스로 실행되는 경우가 많아 KSPM이 CSPM의 구성 요소 중 하나다라고 생각하실 수도 있겠지만 쿠버네티스가 클라우드에서 실행되지 않고 온프레미스에서 실행된다면 CSPM 만으로는 관리가 어렵고 적용 범위 및 대상도 다르기 때문입니다.
| |
CSPM |
KSPM |
| 적용 범위 |
클라우드 인프라 전반 |
쿠버네티스 클러스터 |
| 적용 대상 |
가상머신, 스토리지, 네트워크, 데이터베이스 등 |
노트, 파드, 네임스페이스, 컨테이너 이미지 등 |
| 초첨 |
클라우드 인프라 전반의 보안 상태 및 평가 개선 |
쿠버네티스 보안 상태 및 평가 개선 |
| 주요 기능 |
- 클라우드 리소스 설정 오류 식별
- 규제 준수 검사 및 보고
- 보안 정책 위반 사항 점검
- 네트워크 보안 검사
- 권한 및 접근 제어 관리
|
- 쿠버네티스 구성 요소의 보안 취약점 식별
- 보안 정책 적용 및 모니터링
- 컨테이너 취약점 이미지 스캔
- 실시간 모니터링 및 이상 행위 탐지
- 보안 감사 및 규제 준수 지원
|
👉 CSPM과 KSPM에 대해 더 알아보기
|
