컨테이너 보안 은 보안 도구 및 정책을 구현하여 인프라, 소프트웨어 공급망, 런타임 및 그 사이의 모든 것을 포함하여 컨테이너의 모든 것이 의도한 대로 실행되도록 하는 프로세스입니다.
목차
컨테이너를 보안하는 과정은 연속적으로 진행됩니다. 개발 프로세스에 통합하고, 수동 접점수를 제거할 수 있도록 자동화하고, 기본 인프라의 유지보수 및 운영으로 확장해야 합니다. 이는 빌드 파이프라인 컨테이너 이미지와 런타임 호스트, 플랫폼 및 애플리케이션 계층을 보호할 수 있습니다. 지속적인 제공 수명 주기의 일부로 보안을 구현한다는 것은 기업이 지속적으로 증가하는 공격 표면에서 위험을 완화하고 취약점을 줄일 수 있음을 의미합니다.
컨테이너를 보호할 때 주요 고려 사항은 다음과 같습니다.
- 컨테이너 호스트의 보안
- 컨테이너 네트워크 트래픽
- 컨테이너 내에서 애플리케이션 보안
- 응용 프로그램 내에서 악의적인 행위
- 컨테이너 관리 스택 보안
- 응용 프로그램의 기본 계층
- 빌드 파이프라인의 무결성
사이버 보안의 목표는 구축한 의도한대로 작동하도록 하는 것입니다.
기업들이 주로 사용하는 알려진 컨테이너들: Docker®, Kubernetes®, Amazon Web Services™ (AWS), 와Microsoft®.
Docker 보호
컨테이너 보안을 시작하기 전에 해당 영역의 핵심 플레이어를 알아야 합니다. 컨테이너화 시장의 선두주자인 Docker는 응용 프로그램을 빌드, 관리 및 보호하기 위한 컨테이너 플랫폼을 제공합니다. 기존 애플리케이션에서 최신 마이크로서비스에 이르기까지, 고객은 Docker를 통해 어디서든 배포할 수 있습니다. 다른 컨테이너 플랫폼과 마찬가지로 적절한 보호가 필요합니다. Docker 컨테이너 보안에 대해 자세히 알아보십시오.
Kubernetes 보호
쿠버네티스는 다음으로 큰 플랫폼입니다. 쿠버네티스는 컨테이너화된 워크로드 및 서비스를 처리하기 위한 확장 가능한 휴대용 오픈 소스 플랫폼을 제공합니다. Kubernetes는 보안 기능을 제공하지만 Kubernetes 클러스터에 대한 공격이 증가함에 따라 보안을 유지하기 위한 전용 보안 솔루션이 필요합니다. Kubernetes 보안에 대해 자세히 알아보십시오.
Amazon Web Services(AWS)와 컨테이너 보안
다음은 Amazon Web Services(AWS)입니다. AWS는 컨테이너의 필요성과 개발자가 애플리케이션을 보다 빠르고 일관되게 제공합니다. Docker 컨테이너를 지원하는 확장성이 뛰어난 고성능 컨테이너 오케스트레이션 서비스인 Amazon ECS(Amazon Elastic Container Service)를 제공합니다. 자체 가상머신 및 컨테이너 환경 관리에 대한 종속성이 제거되고 AWS 컨테이너형 애플리케이션을 쉽게 실행하고 확장할 수 있습니다. 그러나 위의 다른 주요 업체와 마찬가지로 이 서비스의 모든 이점을 누리려면 보안이 필요합니다. AWS 컨테이너 보안에 대해 자세히 알아보십시오.
Microsoft Azure 컨테이너 인스턴스 보호
마지막으로 Microsoft® Azure™ Container Instances(ACI)가 있습니다. 이 솔루션을 통해 개발자는 기본 인프라를 실행하거나 관리할 필요 없이 Microsoft® Azure™ Public Cloud 에 컨테이너를 배포할 수 있습니다. Microsoft® Azure™ 포털을 사용하여 새 컨테이너를 간단히 스핀업할 수 있습니다. Microsoft는 기본 컴퓨터 리소스를 자동으로 프로비저닝하고 확장합니다. Azure Container Instances는 빠른 속도와 민첩성을 제공하지만 모든 이점을 제대로 활용하려면 보안을 유지해야 합니다.Microsoft Azure Container Instances 보안에 대해 자세히 알아보십시오.
이제 주요 플레이어에 대해 알아보았으니, 보안 방법에 대해 알아보겠습니다.
호스트 보호
호스트 보안은 운영 체제를 선택하는 것으로 시작합니다. 컨테이너를 실행하도록 최적화된 분산 운영 체제를 사용해야 합니다. Linux® 배포 또는 Microsoft® Windows®를 사용하는 경우 불필요한 서비스를 비활성화 또는 제거하고 일반적으로 운영 체제를 강화해야 합니다. 그런 다음 보안 및 모니터링 도구 계층을 추가하여 호스트가 예상대로 실행되고 있는지 확인하십시오. 이 상황에서는 응용 프로그램 제어 또는 침입 방지 시스템(IPS)과 같은 도구가 매우 유용합니다.
컨테이너가 프로덕션 환경에서 실행되면 다른 컨테이너 및 리소스와 상호 작용해야 합니다. 컨테이너의 모든 네트워크 트래픽이 IPS를 통과하도록 하여 내부 트래픽을 모니터링하고 보호해야 합니다. 보안 제어 배치 방법이 변경됩니다. 주변에 적은 수량의 기존 IPS 엔진을 구현하는 대신 모든 호스트에 IPS를 구현하면 성능에 큰 영향을 미치지 않으면 서 모든 트래픽을 효과적으로 모니터링 할 수 있습니다.
컨테이너 애플리케이션 보안
컨테이너가 프로덕션 환경에서 실행되면 지속적으로 응용 프로그램의 데이터를 처리하고 로그 파일, 캐싱 파일 등을 생성합니다. 보안 통제는 악의적인 행위가 아닌 일반적인 활동을 보장하는 데 도움이 됩니다. 컨테이너의 콘텐츠에서 실행되는 실시간 멀웨어 방어 컨트롤은 중요한 보안 항목입니다.
IPS는 가상 패치라는 중요한 역할을 합니다. 취약점이 원격으로 노출되면 IPS 엔진은 취약점을 악용하려는 시도를 감지하고 패킷을 삭제하여 애플리케이션을 보호합니다. 이렇게 하면 긴급 수정 프로그램을 배포하는 대신 해당 컨테이너의 다음 버전에서 근본 원인을 해결하는 데 필요한 시간이 필요합니다.
애플리케이션 모니터링
응용 프로그램을 컨테이너에 배포할 때 런타임 응용 프로그램 자체 보호(RASP) 보안 제어가 도움이 될 수 있습니다. 이러한 보안 제어는 애플리케이션 코드 내에서 실행되며 코드 내에서 주요 호출을 가로채거나 연결합니다.구조화된 쿼리 언어(SQL) 모니터링, 종속성 확인 및 수정, URL 검증 및 기타 제어와 같은 보안 기능 외에도 RASP는 보안에서 가장 큰 과제 중 하나인 근본 원인 식별을 해결할 수 있습니다.
이러한 보안 컨트롤은 응용 프로그램 코드 내에 위치함으로써 보안 문제와 이를 생성한 코드 라인을 연결하는 데 도움이 됩니다. 이러한 레벨은 보안 상태를 크게 향상시킵니다.
컨테이너 관리 스택 보안
보안 측면에서는 컨테이너 조정에 도움이 되는 관리 스택을 간과하는 경우가 많습니다. 컨테이너 배포에 대해 도움이 되는 두 가지 중요한 인프라, 즉 Amazon ECS 및 Kubernetes(컨테이너 배포를 조율하는 데 도움이 되는 프라이버시 컨테이너 레지스트리)로 끝납니다.
컨테이너 레지스트리와 Kubernetes를 함께 사용하면 환경에 재배치하기 전과 도중에 컨테이너에 대한 일련의 품질 및 보안 표준을 자동으로 시행할 수 있습니다.
레지스트리는 컨테이너 공유를 단순화하고 팀이 서로의 작업을 구축할 수 있도록 지원합니다. 그러나 각 컨테이너가 개발 및 보안 기준을 충족시키려면 자동화된 스캐너가 필요합니다. 레지스트리에서 사용하기 전에 각 컨테이너에 알려진 취약점, 멀웨어 및 노출된 기밀이 있는지 검사하면 다운 스트림 문제를 줄이는 데 도움이 됩니다.
더불어 레지스트리 자체를 보호해야 합니다. 강화된 시스템 또는 클라우드 서비스에서 실행해야 합니다. 서비스 시나리오에서도 책임공유모델을 이해하고 레지스트리에 액세스하기 위한 접근 방식을 구현해야 합니다.
오케스트레이션 측면에서 Kubernetes가 실행되고 환경 내에서 배포되면 팀이 환경을 최대한 활용할 수 있도록 많은 이점을 제공합니다. Kubernetes는 또한 포드(클러스터 수준 리소스) 및 네트워크 보안 정책과 같은 다양한 운영 및 보안 제어를 구현할 수 있는 기능을 제공하여 위험 허용 오차를 충족하기 위해 다양한 옵션을 적용할 수 있습니다.
안전한 애플리케이션 구축 : 컨테이너 스캔
빌딩 블록으로 사용한 컨테이너가 일반적인 위협으로부터 안전한지 확인하기 위해 컨테이너 이미지 검색 워크플로가 필요합니다. 이 도구 클래스는 컨테이너의 컨텐츠를 스캔하여 애플리케이션의 빌딩 블록으로 사용되기 전에 문제를 찾습니다. 또한 컨테이너가 실운영에 배치되기 전에 최종 점검도 수행합니다.
올바르게 구현되면 스캔은 코딩 프로세스의 자연스러운 부분이 됩니다. 애플리케이션과 컨테이너를 개발할 때 발생하는 모든 문제를 쉽고 빠르게 식별할 수 있는 완전 자동화된 프로세스입니다.
빌드 파이프라인의 무결성 보장
공격자들은 CI/CD(Continuous Integration/Continuous Delivery) 파이프라인의 초기 단계로 공격을 시작했습니다. 공격자가 빌드 서버, 코드 리포지토리 또는 개발자 워크스테이션을 손상시키는 경우 해당 워크스테이션은 훨씬 더 오랫동안 사용자 환경에 상주할 수 있습니다. 최신 상태로 유지되는 보안 컨트롤 세트가 필요합니다.
코드 리포지토리 및 분기 전략에서 시작하여 컨테이너 리포지토리까지 확장하여 파이프라인 전체에 액세스 제어 전략을 구현할 수 있습니다. 최소 권한의 원칙(필요한 작업을 수행하는 데 필요한 만큼의 액세스만 제공)을 구현하고 해당 액세스를 정기적으로 감사해야 합니다.
컨테이너 보안에 대한 도움은 어디에서 얻을 수 있습니까?
컨테이너를 보호하려면 포괄적 인 보안 접근 방식이 필요합니다. 조직 내 모든 팀의 요구를 충족시키고 있는지도 확인해야 합니다. DevOps 프로세스에 맞게 접근 방식을 자동화하고, 각 그룹을 보호하면서 마감일을 준수하고 애플리케이션을 신속하게 제공할 수 있도록 합니다. 마지막 순간에 워크플로우를 변경하면 보안을 배제되거나 보안 되지 않을 수 있습니다. Trend Vision One™ Container Security를 사용하면 보안 정책 및 런타임 스캔 규칙 집합을 구성하고 취약점 감지 및 보안 이벤트를 모니터링하며 Kubernetes 클러스터의 런타임 전 스캔을 위해 artifact 스캐너를 사용할 수 있습니다. 처음부터 신뢰할 수 있는 보안 제어 및 자동화된 프로세스를 구축하면 보안 문제를 해결하고 팀 간의 격차를 쉽게 해소할 수 있습니다.
Fernando Cardoso 는 트렌드마이크로의 제품 관리 부사장으로, 끊임없이 진화하는 AI 및 클라우드 세계에 중점을 두고 있습니다. 그는 네트워크 및 영업 엔지니어로 시작하여 데이터 센터, 클라우드, DevOps 및 사이버 보안 분야에서 자신의 기술을 연마했으며, 이는 계속해서 열정을 불러일으키고 있습니다.
자주 묻는 질문(FAQ)
컨테이너 보안의 컨테이너는 무엇입니까?
컨테이너는 애플리케이션과 그 종속성(코드, 런타임, 시스템 도구, 라이브러리 및 설정)을 하나의 휴대용 장치로 패키지화하는 가상화 기술입니다.
컨테이너 보안의 약어는 무엇입니까?
컨테이너 보안에 사용되는 가장 일반적인 약어는 일반적인 취약점 및 노출(CVE)과 지속적인 통합/지속적인 배포(CI/CD)입니다.
컨테이너를 보호하는 가장 좋은 방법은 무엇입니까?
컨테이너를 보호하는 가장 좋은 방법은 a) 컨테이너 내부에 있는 것을 보호하고, b) 제로 트러스트 보안 접근 방식을 채택하고, c) 환경을 지속적으로 모니터링하는 것입니다.
컨테이너 보안은 어떻게 작동합니까?
컨테이너 보안은 다양한 도구와 기술을 사용하여 개발부터 런타임까지 수명 주기의 모든 단계에서 컨테이너화된 애플리케이션을 보호합니다.
세 가지 기본 컨테이너 보안 요건은 무엇입니까?
컨테이너 보안의 세 가지 기본 단계는 개발 환경 보호, 기본 호스트 보안, 컨테이너 내부의 애플리케이션 보안입니다.
Kubernetes 보안의 4C는 무엇입니까?
쿠버네티스 컨테이너 보안의 4C는 클라우드, 컨테이너, 클러스터 및 코드입니다. 함께 쿠버네티스 컨테이너 환경을 보호하기 위한 4단계 접근 방식을 제공합니다.
컨테이너 보안을 어떻게 보장합니까?
컨테이너 보안을 위한 모범 사례에는 컨테이너 호스트 보안, 컨테이너 내부의 애플리케이션 보안 및 런타임 환경 모니터링이 포함됩니다.
컨테이너 보안에 사용되는 도구는 무엇입니까?
컨테이너 보안에는 이미지 스캐너, 취약점 평가 도구, 구성 및 규정 준수 도구, 네트워크 및 런타임 도구를 포함한 여러 가지 다양한 도구가 포함됩니다.
컨테이너 드리프트를 방지하는 가장 좋은 방법은 무엇입니까?
컨테이너 보안의 드리프트를 방지하는 가장 좋은 방법은 컨테이너가 가동되고 실행된 후 컨테이너를 사용하는 애플리케이션을 지속적으로 모니터링하는 것입니다.
컨테이너 보안의 기본은 무엇입니까?
컨테이너 보안의 기본 구성 요소는 개발 보안, 호스트 보안, 이미지 및 애플리케이션 보안, 런타임 모니터링입니다.