컨테이너 보안이란?

컨테이너 보안은 인프라, 소프트웨어 공급망, 런타임 등을 포함하여 컨테이너의 모든 것이 의도한 대로 실행되도록 보안 도구 및 정책을 구현하는 프로세스입니다.

컨테이너 보안

컨테이너를 보안하는 과정은 연속적으로 진행됩니다. 개발 프로세스에 통합하고, 수동 접점수를 제거할 수 있도록 자동화하고, 기본 인프라의 유지보수 및 운영으로 확장해야 합니다. 이는 빌드 파이프라인 컨테이너 이미지와 런타임 호스트, 플랫폼 및 애플리케이션 계층을 보호할 수 있습니다. 지속적인 제공 수명주기의 일환으로 보안을 구현하면 공격 영역에서 위험을 완화하고 취약점을 줄일 수 있습니다.

컨테이너를 보호할 때 주요 고려 사항은 다음과 같습니다.

  • 컨테이너 호스트의 보안
  • 컨테이너 네트워크 트래픽
  • 컨테이너 내에서 애플리케이션 보안
  • 응용 프로그램 내에서 악의적인 행위
  • 컨테이너 관리 스택 보안
  • 응용 프로그램의 기본 계층
  • 빌드 파이프라인의 무결성

사이버 보안의 목표는 구축한 의도한대로 작동하도록 하는 것입니다.

관련 명칭

기업들이 주로 사용하는 알려진 컨테이너들: Docker®, Kubernetes®, Amazon Web Services™(AWS) 및 Microsoft®.

Docker 보호

컨테이너 보안을 시작하기 전에 해당 영역의 핵심 플레이어를 알아야 합니다. 컨테이너화 시장의 선두주자인 Docker는 응용 프로그램을 빌드, 관리 및 보호하기 위한 컨테이너 플랫폼을 제공합니다. 기존 애플리케이션에서 최신 마이크로서비스에 이르기까지, 고객은 Docker를 통해 어디서든 배포할 수 있습니다. 다른 컨테이너 플랫폼과 마찬가지로 적절한 보호가 필요합니다. Docker 컨테이너 보안에 대해 자세히 알아보십시오.

Kubernetes 보호

Kubernetes는 꼭 알아둬야 하는 차세대 시스템입니다. Kubernetes는 컨테이너화된 워크로드 및 서비스를 처리하기 위한 확장 가능한 휴대용 오픈 소스 플랫폼을 제공합니다. Kubernetes는 보안 기능을 제공하지만 Kubernetes 클러스터에 대한 공격이 증가함에 따라 보안을 유지하기 위한 전용 보안 솔루션이 필요합니다. Kubernetes 보안에 대해 자세히 알아보십시오.

Amazon Web Services(AWS)와 컨테이너 보안

다음은 Amazon Web Services(AWS)입니다. AWS는 컨테이너의 필요성과 개발자가 애플리케이션을 보다 빠르고 일관되게 제공합니다. Docker 컨테이너를 지원하는 확장성이 뛰어난 고성능 컨테이너 오케스트레이션 서비스인 Amazon ECS(Amazon Elastic Container Service)를 제공합니다. 자체 가상머신 및 컨테이너 환경 관리에 대한 종속성이 제거되고 AWS 컨테이너형 애플리케이션을 쉽게 실행하고 확장할 수 있습니다. 그러나 위의 다른 주요 업체와 마찬가지로 이 서비스의 모든 이점을 누리려면 보안이 필요합니다. AWS 컨테이너 보안에 대해 자세히 알아보십시오.

Microsoft Azure 컨테이너 인스턴스 보호

마지막으로 Microsoft® Azure ™ 컨테이너 인스턴스(ACI)가 있습니다. 이 솔루션을 통해 개발자는 기본 인프라를 실행하거나 관리할 필요 없이 Microsoft® Azure™ 퍼블릭 클라우드에 컨테이너를 배포할 수 있습니다. Microsoft® Azure™ 포털을 사용하여 새 컨테이너를 간단하게 구현할 수 있습니다. 그러면 Microsoft가 기본 컴퓨팅 리소스를 자동으로 프로비저닝하고 확장합니다. Azure Container Instances를 사용하면 속도와 민첩성이 향상되지만 모든 이점을 제대로 활용하려면 보안이 필요합니다. 

보안을 확보하는 방법을 알아보고 각 솔루션 보안에 대한 자세한 내용은 위의 링크를 살펴보십시오. Microsoft Azure 컨테이너 인스턴스 보호에 대해 자세히 알아보십시오.

호스트 보호

호스트 보안은 운영 체제를 선택하는 것으로 시작합니다. 컨테이너를 실행하도록 최적화된 분산 운영 체제를 사용해야 합니다. Stock Linux® 배포판 또는 Microsoft® Windows®를 사용하는 경우 불필요한 서비스를 비활성화하거나 제거하고 운영 체제를 전반적으로 강화해야 합니다. 그런 다음 보안 및 모니터링 도구 계층을 추가하여 호스트가 예상대로 실행되고 있는지 확인하십시오. 이 상황에서는 응용 프로그램 제어 또는 침입 방지 시스템(IPS)과 같은 도구가 매우 유용합니다.

컨테이너가 프로덕션 환경에서 실행되면 다른 컨테이너 및 리소스와 상호 작용해야 합니다. 컨테이너의 모든 네트워크 트래픽이 IPS를 통과하도록 하여 내부 트래픽을 모니터링하고 보호해야 합니다. 보안 제어 배치 방법이 변경됩니다. 주변에 적은 수량의 기존 IPS 엔진을 구현하는 대신 모든 호스트에 IPS를 구현하면 성능에 큰 영향을 미치지 않으면 서 모든 트래픽을 효과적으로 모니터링 할 수 있습니다.

컨테이너 애플리케이션 보안

컨테이너가 프로덕션 환경에서 실행되면 지속적으로 응용 프로그램의 데이터를 처리하고 로그 파일, 캐싱 파일 등을 생성합니다. 보안 통제는 악의적인 행위가 아닌 일반적인 활동을 보장하는 데 도움이 됩니다. 컨테이너의 콘텐츠에서 실행되는 실시간 멀웨어 방어 컨트롤은 중요한 보안 항목입니다.

IPS는 가상 패치라는 중요한 역할을 합니다. 취약점이 원격으로 노출되면 IPS 엔진은 취약점을 악용하려는 시도를 감지하고 패킷을 삭제하여 애플리케이션을 보호합니다. 이렇게 하면 긴급 수정 프로그램을 배포하는 대신 해당 컨테이너의 다음 버전에서 근본 원인을 해결하는 데 필요한 시간이 필요합니다.

애플리케이션 모니터링

응용 프로그램을 컨테이너에 배포할 때 런타임 응용 프로그램 자체 보호(RASP) 보안 제어가 도움이 될 수 있습니다. 이러한 보안 제어는 응용 프로그램 코드 내에서 실행되며 종종 코드 내에서 키 호출을 가로채거나 연결합니다. RASP는 SQL(Structured Query Language) 모니터링, 종속성 검사 및 치료, URL 확인 및 기타 제어와 같은 보안 기능 외에도 보안의 가장 큰 문제 중 하나인 근본 원인 식별을 해결할 수 있습니다.

이러한 보안 컨트롤은 응용 프로그램 코드 내에 위치함으로써 보안 문제와 이를 생성한 코드 라인을 연결하는 데 도움이 됩니다. 이러한 레벨은 보안 상태를 크게 향상시킵니다.

컨테이너 관리 스택 보안

보안 측면에서는 컨테이너 조정에 도움이 되는 관리 스택을 간과하는 경우가 많습니다. 컨테이너 배포에 대해 도움이 되는 두 가지 중요한 인프라, 즉 Amazon ECS 및 Kubernetes(컨테이너 배포를 조율하는 데 도움이 되는 프라이버시 컨테이너 레지스트리)로 끝납니다.

컨테이너 레지스트리와 Kubernetes를 함께 사용하면 환경에 재배치하기 전과 도중에 컨테이너에 대한 일련의 품질 및 보안 표준을 자동으로 시행할 수 있습니다.

레지스트리는 컨테이너 공유를 단순화하고 팀이 서로의 작업을 구축할 수 있도록 지원합니다. 그러나 각 컨테이너가 개발 및 보안 기준을 충족시키려면 자동화된 스캐너가 필요합니다. 레지스트리에서 사용하기 전에 각 컨테이너에 알려진 취약점, 멀웨어 및 노출된 기밀이 있는지 검사하면 다운 스트림 문제를 줄이는 데 도움이 됩니다.

더불어 레지스트리 자체를 보호해야 합니다. 강화된 시스템 또는 클라우드 서비스에서 실행해야 합니다. 서비스 시나리오에서도 책임공유모델을 이해하고 레지스트리에 액세스하기 위한 접근 방식을 구현해야 합니다.

오케스트레이션 측면에서 Kubernetes가 실행되고 배포되면 팀이 환경을 최대한 활용할 수 있도록 보장하는 많은 이점이 있습니다. Kubernetes는 또한 포드(클러스터 수준 리소스) 및 네트워크 보안 정책과 같은 다수의 운영 및 보안 제어 기능을 구현하는 기능도 제공하여 위험 범위를 충족시키기 위해 다양한 옵션을 시행할 수 있습니다.

안전한 애플리케이션 구축 : 컨테이너 스캔

빌딩 블록으로 사용한 컨테이너가 일반적인 위협으로부터 안전한지 확인하기 위해 컨테이너 이미지 검색 워크플로가 필요합니다. 이 도구 클래스는 컨테이너의 컨텐츠를 스캔하여 애플리케이션의 빌딩 블록으로 사용되기 전에 문제를 찾습니다. 또한 컨테이너가 실운영에 배치되기 전에 최종 점검도 수행합니다.

올바르게 구현되면 스캔은 코딩 프로세스의 자연스러운 부분이 됩니다. 애플리케이션과 컨테이너를 개발할 때 발생하는 모든 문제를 쉽고 빠르게 식별할 수 있는 완전 자동화된 프로세스입니다. 

빌드 파이프라인의 무결성 보장

공격자들은 CI/CD(Continuous Integration/Continuous Delivery) 파이프라인의 초기 단계로 공격을 시작했습니다. 공격자가 빌드 서버, 코드 리포지토리 또는 개발자 워크스테이션을 손상시키는 경우 해당 워크스테이션은 훨씬 더 오랫동안 사용자 환경에 상주할 수 있습니다. 최신 상태로 유지되는 보안 컨트롤 세트가 필요합니다.

코드 리포지토리 및 분기 전략에서 시작하여 컨테이너 리포지토리까지 확장하여 파이프라인 전체에 액세스 제어 전략을 구현할 수 있습니다. 최소 권한의 원칙(필요한 작업을 수행하는 데 필요한 만큼의 액세스만 제공)을 구현하고 해당 액세스를 정기적으로 감사해야 합니다.

포괄적 접근 방식

컨테이너를 보호하려면 포괄적 인 보안 접근 방식이 필요합니다. 조직 내 모든 팀의 요구를 충족시키고 있는지도 확인해야 합니다. DevOps 프로세스에 맞게 접근 방식을 자동화하고, 각 그룹을 보호하면서 마감일을 준수하고 애플리케이션을 신속하게 제공할 수 있도록 합니다. 마지막 순간에 워크플로우를 변경하면 보안을 배제되거나 보안 되지 않을 수 있습니다. 처음부터 신뢰할 수 있는 보안 제어 및 자동화된 프로세스를 구축하면 보안 문제를 해결하고 팀 간의 격차를 쉽게 해소할 수 있습니다. 

관련 연구

관련 기사