주요 콘텐츠로 건너뛰기
질문으로 돌아가기

컨테이너 보안이란 무엇인가요?

컨테이너 보안은 보안 도구와 정책을 사용하여 인프라, 소프트웨어 공급망, 시스템 도구, 시스템 라이브러리, 런타임을 포함한 컨테이너, 애플리케이션 및 성능을 사이버 보안 위협으로부터 보호하는 것입니다.

컨테이너 보안의 과제는 무엇인가요?

컨테이너는 기업 내에서 독립적으로 배포되지 않고 에코시스템에 존재합니다. 컨테이너 워크로드는 서버 및 가상 머신으로 구성된 기존 워크로드와 통합된 퍼블릭(AWS, GCP, Azure) 클라우드, 프라이빗 클라우드(VMware) 및 하이브리드 클라우드가 포함된 아키텍처의 일부로 배포되며 컴퓨팅 측에서 서버리스 구성 요소와 함께 작동합니다. 이러한 기업들은 또한 S3 버킷이나 RDS와 같은 서비스형 인프라(IaaS) 및 서비스형 플랫폼(PaaS) 서비스를 사용하고 있을 수도 있습니다. 따라서 컨테이너 워크로드는 엔터프라이즈 에코시스템의 일부로서 보안을 유지해야 합니다.

컨테이너는 일시적입니다: 컨테이너 수명 주기는 종종 초 단위로 측정되지만, 일반화를 어렵게 만드는 높은 수준의 가변성도 존재합니다. 보안팀은 몇 초 동안만 온라인 상태가 되는 컨테이너와 몇 주 동안 온라인 상태가 되는 컨테이너의 보안과 무결성을 고려해야 합니다.

컨테이너는 CI/CD DevOps 파이프라인에서 빌드 및 배포됩니다. 컨테이너 워크로드는 개발자가 주도하는 경향이 있습니다. 보안의 과제는 개발자가 본시큐어 애플리케이션을 제작할 수 있도록 역량을 강화하는 것입니다.

클라우드 보안 태세 관리(CSPM)

컨테이너용 CSPM

Skyhigh Security 는 컨테이너 런타임, 오케스트레이션 시스템(예: Kubernetes), 컨테이너 워크로드를 실행하는 IaaS 인프라, 스토리지 구성, 네트워크 구성, IAM 설정/역할 등에 대한 CIS 벤치마크 스캔 및 기타 모범 사례 평가를 제공할 수 있습니다. 도움이 됩니다:

  • 환경 구성이 위험의 원인이 아닌지 확인(CSPM)
  • 환경 구성이 시간이 지남에 따라 변동되어 의도치 않은 위험에 노출되지 않도록 합니다.

컨테이너에 대한 취약점 스캔

컨테이너는 타사 컴포넌트를 많이 활용합니다. 컨테이너 빌드의 모든 구성 요소는 알려진 취약점이나 악용 가능한 취약점이 있는지 평가해야 합니다.

취약점 스캔은 빌드 시 컨테이너에 포함된 구성 요소를 평가하고 주기적으로 스캔하여 알려진 위험을 노출하고 완화하여 악의적인 행위자가 컨테이너 워크로드에 침입할 위험을 줄입니다.

나노 세분화

복잡하고 동적인 워크로드의 동작을 보호하기 위해 알려진 모범 구성을 기반으로 컨테이너 간 통신을 살펴보세요:

  • 컨테이너의 일시적인 특성을 처리할 수 있는 방식으로 컨테이너 프로세스 간의 네트워크 통신 동작을 발견하고 모니터링하며, IP 주소와 같은 외부 요인에 의존하지 않습니다.
  • 비정상적인 통신을 감지하고 사용자 기본 설정에 따라 알림 또는 차단합니다.
  • 애플리케이션이 시간이 지남에 따라 발전함에 따라 컨테이너 버전 간의 통신 패턴의 변화를 감지하세요.
  • 알려진 나쁜 구성을 따라잡는 대신 알려진 좋은 구성을 활용하여 워크로드를 보호하세요.

Skyhigh Security 컨테이너 라이프사이클에 매핑된 솔루션

보안 때문에 개발자나 컨테이너와 같은 클라우드 친화적인 아키텍처의 채택 속도가 느려져서는 안 됩니다. Skyhigh Security 는 개발자가 애플리케이션을 유지 관리하는 데 사용하는 도구와 통합되는 원활하게 통합된 보안 플랫폼을 제공합니다. 컨테이너 보안은 적절하게 구성된 인프라와 오케스트레이션 엔진을 보장하고, 컨테이너에 포함된 코드의 익스플로잇 위험을 평가하며, 수명 주기 동안 빠르게 변화하는 컨테이너 워크로드의 환경을 처리할 수 있는 알려진 정상 네트워크 동작을 인증하는 유연한 소프트웨어 정의 방법을 통해 심층적인 방어 기능을 제공할 수 있습니다.

왼쪽으로 이동: DevOps에서 DevSecOps로의 전환

컨테이너는 매우 개발자 중심적인 워크로드 유형입니다. 개발자가 사용 중인 아키텍처와 서비스를 훨씬 더 직접 제어할 수 있기 때문에 보안팀은 정책을 수립하고, 모범 사례와 비교하여 배포를 평가하고, 모든 환경에서 발생하는 불가피한 편차를 모니터링할 수 있는 비동기식 방법이 필요합니다. 컨테이너와 마이크로서비스 아키텍처를 사용하면 이전에 엄격하게 제어되던 하드웨어 또는 가상 머신 기반 배포에 비해 변수의 수와 변화의 속도가 크게 증가했습니다. 컨테이너 수명 주기는 초 단위로 측정되는 경우가 많지만, 일반화하면 잠재적으로 위험할 수 있는 높은 수준의 가변성도 존재합니다. 보안팀은 몇 초 동안만 온라인 상태가 되는 컨테이너와 몇 주 동안 지속적으로 온라인 상태가 되는 컨테이너의 보안과 무결성을 고려해야 합니다. Skyhigh Security 에서 제공하는 BornSecure 컨테이너는 다음과 같은 기능을 제공합니다:

  • 클라우드 환경을 지속적으로 스캔하여 DevOps 파이프라인에 통합된 드리프트로 인한 위험을 감지하여 배포 전에 위험이 해결되도록 하는 클라우드 보안 태세 관리(왼쪽으로 이동).
  • 컨테이너 자체 내의 구성 요소에 대한 취약성 평가를 통해 기업이 알려진 익스플로잇이 포함된 코드를 DevOps 파이프라인에 배포하지 않도록 합니다(왼쪽으로 이동). Skyhigh Security 또한 컨테이너 아티팩트에 대한 주기적인 재검색을 통해 새로운 취약성이 이미 구축되어 운영 환경에서 실행되고 있는 컨테이너에 영향을 미치는 시점을 감지할 수 있습니다.

기존의 데브옵스 프로세스: 기존에는 애플리케이션을 프로덕션 환경에 배포할 때까지 보안을 고려하거나 검증하지 않았습니다.

오늘날 클라우드 네이티브 애플리케이션에는 본시큐어 컨테이너가 필요합니다: 애플리케이션이 빌드되거나 코드가 체크인될 때 개발자에게 보안 피드백을 제공하는 DevOps 파이프라인에 보안이 내장되어 있습니다.

컨테이너 보안 101 - 용어집

k8s 기반 Azure용 KS 엔터프라이즈 컨테이너 플랫폼 S/W 제품군. 도커 컨테이너를 사용하여 애플리케이션을 쉽게 생성, 배포 및 실행할 수 있도록 설계한 회사 및 도구의 이름입니다. 나노 세 분화 관찰된 행동을 기반으로 하는 유연하고 세밀한 =세분화입니다.
비정상 표준, 정상 또는 예상에서 벗어나는 것을 말합니다. 드리프트 시간이 지남에 따라 구성 변경 또는 관리 작업이 누적되어 알려진 올바른 구성에서 위험과 편차가 발생할 수 있습니다. 네트워크 공격 표면 공격 표면은 모든 프로토콜, 인터페이스, 배포된 소프트웨어 및 서비스를 포함하여 공격자가 공격을 성공적으로 수행하기 위해 악용할 수 있는 환경의 전체로 구성됩니다.
빌드 관찰 가능하고 가시적인 결과물이 있는 무언가를 구축합니다. 빌드는 소스 코드 파일을 컴퓨터에서 실행할 수 있는 독립형 소프트웨어 아티팩트로 변환하는 프로세스입니다. k8s 기반 Amazon용 EKS 엔터프라이즈 컨테이너 플랫폼 S/W 제품군. 파이프라인 개발자와 DevOps 전문가가 안정적이고 효율적으로 코드를 컴파일, 빌드 및 프로덕션 컴퓨팅 플랫폼에 배포할 수 있도록 지원하는 일련의 자동화된 프로세스입니다.
CICD 지속적 통합과 지속적 배포의 결합된 관행. k8의 광범위한 채택 이전의 독점 오케스트레이션을 사용하는 Amazon용 ECS 엔터프라이즈 컨테이너 플랫폼 S/W 제품군입니다. 권한 사용자에게 특정 활동만 허용하는 개념입니다. 예를 들어 일반 사용자는 일반적으로 운영 체제 파일을 변경할 수 없지만 시스템 관리자에게는 변경이 허용됩니다.
CIS 벤치마크 컨테이너 및 Kubernetes를 포함한 대상 시스템의 안전한 구성을 위한 모범 사례입니다. 이 벤치마크는 사이버 보안 전문가들의 합의를 통해 인터넷 보안 센터(CIS)라는 비영리 단체에서 개발했습니다. 임시 속성은 컨테이너를 정의하는 데 사용됩니다. 컨테이너는 평균 수명이 몇 시간으로 수명이 짧기 때문에 임시적이라고 합니다. 리포지토리( 리포지토리) 컨테이너 이미지 리포지토리는 관련 컨테이너 이미지의 모음으로, 일반적으로 동일한 애플리케이션이나 서비스의 여러 버전을 제공합니다.
컨테이너 코드와 모든 종속성을 패키지로 묶어 애플리케이션이 한 컴퓨팅 환경에서 다른 컴퓨팅 환경으로 빠르고 안정적으로 실행되도록 하는 소프트웨어의 표준 단위입니다. 컨테이너 이미지는 코드, 런타임, 시스템 도구, 시스템 라이브러리 및 설정 등 애플리케이션을 실행하는 데 필요한 모든 것을 포함하는 경량의 독립 실행형 소프트웨어 패키지입니다. 지문 인식 아티팩트와 아티팩트의 동작을 추적하는 기능을 통해 사용자는 빌드에 무엇이 들어갔는지, 해당 빌드가 어디에서 어떻게 사용되고 있는지 확인할 수 있습니다.

포렌식 보안 침해의 영향을 파악하고 억제하기 위한 사후 분석입니다.

 왼쪽으로 이동 보안 구성 및 취약성 검사를 DevOps 파이프라인에 통합합니다. 시스템이 가동될 때까지 기다리지 않고 코드를 확인하거나 빌드할 때 보안이 도입됩니다. 이를 통해 보안이 전통적으로 수행되던 프로덕션 환경의 보안이 (이전보다) 왼쪽으로 이동합니다.
컨테이너 레지스트리 컨테이너 이미지를 저장하는 리포지토리입니다. 컨테이너 이미지는 애플리케이션을 캡슐화하는 여러 파일로 구성됩니다. 개발자, 테스터 및 CI/CD 시스템은 애플리케이션 개발 과정에서 생성된 이미지를 저장하기 위해 레지스트리를 사용해야 합니다. 레지스트리에 저장된 컨테이너 이미지는 개발의 다양한 단계에서 사용할 수 있습니다. GKE k8s 기반 Google용 엔터프라이즈 컨테이너 플랫폼 S/W 제품군.

컨테이너를 정의하는 데 사용되는 불변 속성입니다. 개별 컨테이너는 한 번 생성되면 라이프사이클 동안 변경되지 않습니다.

 가상 머신(VM) 물리적 하드웨어 시스템에 생성된 자체 CPU, 메모리, 네트워크 인터페이스 및 스토리지를 갖춘 가상 컴퓨터 시스템으로 작동하는 가상 환경입니다. 하이퍼바이저라고 하는 소프트웨어는 컴퓨터의 리소스를 하드웨어에서 분리하고 적절하게 배포하여 VM에서 사용할 수 있도록 합니다.
컨테이너를 실행하고 노드에서 컨테이너 이미지를 관리하는 컨테이너 런타임 소프트웨어(예: Docker 엔진). k8s 쿠버네티스는 k8s(K - 여덟 글자 - S)라고도 합니다. 워크로드 클라우드 인스턴스에서 실행하려는 개별 기능 또는 작업의 양입니다.
데브옵스 시스템 개발 수명 주기를 단축하고 높은 소프트웨어 품질로 지속적인 배포를 제공하는 것을 목표로 하는 소프트웨어 개발(Dev)과 정보 기술 운영(Ops)을 결합한 일련의 관행입니다. 오픈소스 컨테이너 오케스트레이션 시스템인 Kubernetes(k8s ). 호스트 클러스터 전반에서 애플리케이션 컨테이너의 배포, 확장 및 운영을 자동화하기 위한 플랫폼을 제공합니다. 제로 트러스트는 절대 신뢰하지 않고 검증합니다. 제로 트러스트 보안은 네트워크 내부 또는 외부에서 기본적으로 아무도 신뢰하지 않으며 네트워크의 리소스에 액세스하려는 모든 사람에게 확인이 필요하다는 것을 의미합니다.
데브섹옵스 데브섹옵스는 데브옵스 프로세스 내에 보안 관행을 통합하는 관행입니다. 마이크로세그멘테이션 마이크로세그멘테이션 소프트웨어는 네트워크 가상화 기술을 사용하여 데이터 센터와 클라우드 배포에 매우 세분화된 보안 영역을 생성하여 각 개별 워크로드를 격리하고 별도로 보호합니다.

기타 주제

데이터 보안 태세 관리(DSPM) 소개

프록시란 무엇인가요?

토큰화 대 암호화

클라우드 보안 모범 사례에 대한 단계별 가이드

클라우드 워크로드 보호 플랫폼(CWPP)이란 무엇인가요?

클라우드 컴퓨팅 보안 문제

브라우저 격리란 무엇인가요?

클라우드 보안이란 무엇인가요?