AWS Container Security는 AWS와 고객 간의 공동 책임입니다. 고객의 책임에는 승인 제어, 취약성 관리 및 런타임 보호에 대한 포괄적인 접근 방식이 필요합니다.
AWS 컨테이너 보안
Amazon Web Services(AWS)는 모든 형태와 규모의 조직에 스토리지, 컴퓨팅 성능, 콘텐츠 전송 및 기타 기능을 제공하는 클라우드 서비스 공급자입니다. Amazon Web Services는 확장성 및 신뢰성과 함께 빠른 애플리케이션 설계 및 구현을 위해 설계되었습니다. 이 솔루션은 분석 및 스토리지에서 블록 체인 및 컨테이너에 이르기까지 다양합니다.
AWS의 컨테이너는 애플리케이션을 패키징, 배송 및 실행하는 간단한 방법을 제공하기때문에 많이 사용됩니다. 보안은 AWS에서 컨테이너 전략의 성공에 필수적입니다.
AWS 책임과 고객 책임
AWS는 컨테이너 인프라를 포함한 클라우드의 보안을 책임집니다. 클라우드 보안을 위해 개별 컨테이너, 데이터 및 전체 서비스 구성에 대한 적절한 보호를 설정하는 것은 각 조직의 몫입니다. Amazon의 Shared Responsibility Model은 자사의 책임이 어디에서 끝나고 회사의 책임이 시작되는지를 명확하게 정리하여 규정 준수와 보안을 보장하기 위해 필요할 수 있는 추가 서비스를 제공합니다.
고려할 사항
AWS 컨테이너를 보호할 때 고려해야 할 요소:
호스트 보호
컨테이너 호스트 운영 체제(OS)를 보호하는 것은 AWS에서 컨테이너를 보호하는데 중요합니다. 여러 컨테이너가 동일한 호스트를 공유하는 경우가 많기 때문에 호스트에 대한 위반은 잠재적으로 해당 호스트의 모든 컨테이너에 대한 액세스를 제공하며 사용자 환경 내에서도 가능합니다.
호스트를 선택할 때 각 호스트에 액세스 제어를 적용해야 하며 보안 및 지속적인 모니터링 도구도 추가해야 합니다. 이렇게 하면 호스트가 예상대로 실행되고 배포 후 취약점 방어가 가능합니다.
컨테이너 이미지 스캔
영상을 정기적으로 스캔하고 분석해야 하며, 빌드 단계에서 승인된 영상만 허용하고 프로덕션에서 호환되는 영상만 실행할 수 있습니다. 잘못 구성된 이미지는 공격자가 네트워크에 진입하는 가장 쉬운 방법 중 하나입니다. AWS는 고객이 파트너 솔루션을 활용하여 컨테이너 이미지 검색을 제공하도록 권장합니다.
일부 레지스트리에서 사용 가능한 모든 이미지의 무결성, 신뢰성 및 게시 날짜를 확인할 수 있는 소프트웨어도 있습니다.
액세스 및 권한 제한
빠른 작업 실행을 위해 개발자에게 관리자 권한을 부여하는 것이 편리할 수 있습니다. 이는 컨테이너와 전체 AWS 환경을 손상시킬 수 있는 가장 빠른 방법 중 하나입니다. 서비스에 대한 액세스를 제어하고 각 작업에 부여된 권한을 제한함으로써 내부에서 악의적인 공격의 가능성을 줄일 수 있습니다.
회사 내 직원의 역할이 변경되거나 완전히 제거 될 때 개별 액세스 및 권한을 조정하는 것이 중요합니다.
기밀을 안전하게 저장
비밀은 액세스 권한을 엄격히 제어하려는 암호, 인증서, API 키입니다. 이는 IT 운영팀과 개발자가 민감한 정보를 비공개로 유지하고 정확한 컨테이너에서 필요할 때만 액세스할 수 있는 안전한 애플리케이션을 보다 효과적으로 구축하고 실행할 수 있도록 설계되었습니다.
승인된 사용자만 액세스할 수 있도록 S3(Simple Storage Service) 버킷 또는 IAM(Identity and Access Management) 정책을 사용하여 S3에 기밀을 안전하게 저장할 수 있습니다. 타사 기밀 관리 공급자가 관리 할 수도 있습니다.
AWS 컨테이너 보안
AWS 컨테이너 보안에 대한 고객 책임은 이를 시행하기 위해 취하는 조치만큼 강력합니다. 컨테이너 수명 주기의 각 단계에 보안 모범 사례를 의도적으로 접목함으로써 회사는 클라우드의 모든 기밀과 민감한 애플리케이션 데이터가 안전하다는 것을 확신할 수 있습니다.