컨테이너 보안이란 무엇인가요?

배경

컨테이너 보안은 IT 아키텍처의 변화하는 특성을 반영합니다. 클라우드 네이티브 컴퓨팅의 부상으로 애플리케이션 제작 방식이 근본적으로 바뀌었습니다. 기술 수요에 발맞춰 보안에 대한 접근 방식을 조정합니다.

과거에 사이버 보안은 하나의 경계를 보호하는 것을 의미했습니다. 컨테이너는 컨테이너화된 환경을 해석, 모니터링 및 보호하기 위해 특수 도구가 필요한 여러 계층의 추상화를 추가하여 이 개념을 쓸모없게 만듭니다.

컨테이너 생태계는 수많은 도구와 기존 플랫폼에 비해 해결해야 하는 고유한 문제를 고려할 때 이해하기 어려울 수 있습니다. 동시에 컨테이너 기술의 광범위한 채택은 CI/CD 파이프라인의 초기 단계부터 구축 및 런타임에 이르기까지 컨테이너를 보호하는 왼쪽으로 전환할 수 있는 기회를 제공합니다.

그러나 컨테이너 보안에 대해 자세히 알아보기 전에 컨테이너 관리에 사용되는 플랫폼에 대해 이해할 필요가 있습니다. 가장 크고 잘 알려진 플랫폼 중 하나인 Kubernetes에 초점을 맞추겠습니다.

쿠버네티스란 무엇인가요?

Kubernetes는 컨테이너 기반 인프라를 최적화하고 구현하는 데 도움이 되는 선도적인 오케스트레이션 플랫폼 중 하나입니다. 보다 구체적으로 애플리케이션 개발, 구축, 관리와 같은 프로세스를 자동화하여 컨테이너화된 워크로드를 관리하는 데 사용되는 오픈 소스 플랫폼입니다.

널리 채택된 오픈 소스 플랫폼으로서, 컨테이너화된 애플리케이션을 구축하는 조직에서는 Kubernetes 보안이 매우 중요합니다. 조직은 특히 타사 애플리케이션에 오픈 소스 코드를 통합할 때 안전한 환경을 구축해야 합니다. 광범위한 에코시스템과 컨테이너 관리를 위한 수많은 통합 기능을 갖춘 Kubernetes는 빌드 및 구축 파이프라인의 핵심에 보안을 통합하는 자동화되고 체계적인 프로세스를 생성할 수 있습니다. 조직은 RBAC, 파드 보안 정책, 네트워크 정책과 같은 Kubernetes의 기본 기능을 활용하여 탄력적인 컨테이너 오케스트레이션 인프라로 견고한 보안 태세를 구축하고 유지할 수 있습니다.

컨테이너의 이점

간단히 말해, 컨테이너를 사용하면 클라우드 네이티브 애플리케이션을 그 어느 때보다 쉽게 빌드, 구축, 확장할 수 있습니다. 클라우드 네이티브 앱 개발자에게 컨테이너의 가장 큰 장점은 다음과 같습니다:

1. 마찰을 제거합니다: 컨테이너로 패키지화된 애플리케이션 코드는 어디서나 실행할 수 있으므로 개발자는 테스트에서 프로덕션으로 애플리케이션 코드를 이동하는 데 따르는 많은 마찰을 피할 수 있습니다.
2. 애플리케이션 개발을 위한 신뢰할 수 있는 단일 소스: 애플리케이션과 관련된 모든 종속성은 컨테이너 내에 포함되어 있습니다. 이를 통해 애플리케이션을 가상 머신, 베어메탈 서버, 퍼블릭 클라우드에서 쉽고 동일하게 실행할 수 있습니다.
3. 빌드 시간 단축: 컨테이너의 유연성과 이동성 덕분에 개발자는 이전에는 달성할 수 없었던 생산성 향상을 이룰 수 있습니다.
4. 개발자를 위한 자신감: 개발자는 애플리케이션 또는 플랫폼이 모든 운영 체제에서 동일하게 실행된다는 사실을 알고 안심하고 애플리케이션을 구축할 수 있습니다.
5. 향상된 협업: 컨테이너를 사용하는 여러 팀이 다른 컨테이너에 패키지된 코드를 방해하지 않고 앱이나 서비스의 개별 부분을 작업할 수 있습니다.

다른 IT 아키텍처와 마찬가지로 클라우드 네이티브 애플리케이션에도 보안이 필요합니다. 컨테이너 환경은 이미지, 컨테이너, 호스트, 런타임, 레지스트리 및 오케스트레이션 플랫폼을 대상으로 하는 다양한 사이버 보안 문제를 야기하며, 이 모든 문제를 해결해야 합니다.

공격 표면 이해하기

쿠버네티스의 거대한 다계층 프레임워크를 생각해 보세요. 코드와 컨테이너부터 클러스터와 타사 클라우드 서비스에 이르기까지 각 계층은 각기 다른 보안 문제를 안고 있습니다.

Kubernetes 구축을보호하려면 기본 인프라(노드, 로드 밸런서 등), 구성 가능한 구성 요소, 클러스터에서 실행되는 애플리케이션을 보호해야 하며, 여기에는 기본 노드의 상태 유지와 API 및 Kubelet에 대한 액세스 제어가 포함됩니다. 또한 클러스터에서 악의적인 워크로드가 실행되는 것을 방지하고 엄격한 네트워크 제어를통해 워크로드 통신을 격리하는 것도 중요합니다.

컨테이너 런타임에는 컨테이너 내에서 권한 상승을 가능하게 하는 코딩 결함이 있을 수 있습니다. Kubernetes API 서버가 부적절하게 구성되어 공격자가 잠겨 있는 것으로 추정되는 리소스에 액세스할 수 있는 기회를 제공할 수 있습니다. 권한 상승 공격을 가능하게 하는 취약점은 컨테이너화된 애플리케이션 또는 Kubernetes 노드에서 실행되는 운영 체제 내에 존재할 수 있습니다.

이 시스템에서는 한 계층에서 문제가 발생하면 다른 계층에서 보안 문제가 발생하면 문제가 증폭됩니다.

물론 컨테이너에는 취약점이 있을 수 있습니다. 동시에 컨테이너는 가시성을 가릴 수 있습니다. 안전하지 않은 단일 이미지가 실행 중인 별도의 컨테이너로 여러 번 인스턴스화된다고 상상해 보세요. 하나의 균열이었던 요새는 이제 거대한 균열의 네트워크가 되어 있습니다.

컨테이너 구축이 증가함에 따라 시스템 운영 및 보안에 대한 가시성을 유지해야 하는 과제가 점점 더 어려워지고 있습니다. 이는 수많은 목표 중 하나인 가시성 유지에 불과합니다.

표 1에 자세히 설명되어 있는 그림 1은 컨테이너화된 애플리케이션의 공격 표면을 이해하기 위한 출발점을 제공합니다.

묘사가 단순화되었다는 점에 유의하세요. 실제로 공격자들은 컨테이너화된 애플리케이션의 취약점을 악용하기 위해 수많은 경로를 탐색하고 있습니다. 이 보안 스택을 방어하는 것이 다른 환경과 기술을 보호하는 것보다 반드시 어려운 것은 아닙니다. 컨테이너화는 조직이 안전하고 복원력 있는 인프라를 위해 해결해야 하는 고유한 보안 고려 사항을 제시할 뿐입니다.

표 1: 컨테이너 공격 표면 분석하기

다행히도 설계 및 프로세스 고려 사항과 기본 및 타사 보안 옵션을 통해 공격 표면의 각 계층을 강화하여 손상된 워크로드의 위험을 줄일 수 있습니다. 다각적인 전략이 필요하겠지만, 이 가이드의 목표는 바로 그 전략을 제공하는 것입니다.

컨테이너 보안 방법

컨테이너 사용자는 컨테이너화된 애플리케이션의 취약성 관리, 규정 준수, 런타임 보호, 네트워크 보안 요구 사항을 해결하기 위해 특별히 구축된 풀스택 보안을 확보해야 합니다.

컨테이너 네트워크 보안

컨테이너화된 애플리케이션은 크립토재킹, 랜섬웨어, 봇넷 C2와 같은 베어메탈 및 가상머신 기반 애플리케이션과 동일한 위험에 직면합니다. 컨테이너 네트워크 보안은 다양한 전략을 통해 원치 않는 통신을 선제적으로 제한하고 애플리케이션을 공격하는 위협을 방지합니다. 네트워크 보안의 핵심 구성 요소에는 안전하고 탄력적인 환경을 유지하기 위한 마이크로세그멘테이션, 액세스 제어, 암호화 및 정책이 포함됩니다. 지속적인 모니터링, 로깅, 정기적인 감사를 통해 잠재적인 보안 허점을 파악하고 수정할 수 있으며, 적시에 패치를 적용하여 플랫폼과 인프라를 최신 상태로 유지할 수 있습니다.

시프트-레프트 보안 툴은 알려진 취약점에 대해 구축 시 보호 기능을 제공하는 반면, 컨테이너화된 차세대 방화벽은 알려지지 않은 취약점과 패치되지 않은 취약점으로부터 보호합니다. 레이어 7 심층 패킷 검사를 수행하고 허용된 모든 트래픽을 스캔하여 멀웨어가 클러스터 내에 침입하여 확산되는 것을 식별 및 방지하고 데이터 유출 및 명령 및 제어(C2) 공격에 사용되는 악의적인 아웃바운드 연결을 차단합니다. ID 기반 마이크로 세그먼테이션은 레이어 3과 4에서 애플리케이션 간의 통신을 제한하는 데 도움이 됩니다.

컨테이너 런타임 보안

클라우드 네이티브 런타임 보안은 실행 중인 컨테이너의 새로운 취약점을 식별하고 이에 대해 애플리케이션을 보호하는 프로세스입니다. 컨테이너를 사용하는 조직은 향상된 런타임 보호 기능을 활용하여 이상 징후 탐지가 의존하는 행동 기준선을 설정해야 합니다. 런타임 보안은 기준선을 벗어나는 악성 프로세스, 파일 및 네트워크 동작을 식별하고 차단할 수 있습니다.

조직은 심층 방어 전략을 사용하여 OWASP Top 10과 같은 레이어 7 공격을 방지하기 위해 컨테이너화된 차세대 방화벽을 통해 컨테이너 네트워크 보안과 더불어 웹 애플리케이션 및 API 보안으로 런타임 보호를 구현해야 합니다.

컨테이너 등록 보안

컨테이너 빌드 단계에 보안을 적용한다는 것은 런타임에 사후 대응하는 대신 왼쪽으로 이동하는 것을 의미합니다. 빌드 단계의 보안은 취약성, 멀웨어, 안전하지 않은 코드를 제거하는 데 중점을 두어야 합니다. 컨테이너는 라이브러리, 바이너리, 애플리케이션 코드로 구성되어 있으므로 컨테이너 레지스트리를 보호하는 것이 중요합니다.

컨테이너 레지스트리 보안의 첫 번째 단계는 조직을 위한 공식 컨테이너 레지스트리를 설정하는 것입니다. 의심할 여지 없이 하나 이상의 레지스트리가 이미 존재합니다. 이를 찾아내고 보안 표준과 프로토콜을 설정하는 등 적절한 보안을 유지하는 것이 보안 팀의 역할입니다. 컨테이너 레지스트리 보안 표준의 가장 중요한 목표는 신뢰할 수 있는 이미지를 만드는 데 중점을 두어야 합니다. 이를 위해서는 무엇보다도 신뢰할 수 없는 레지스트리에서 컨테이너가 구축되는 것을 방지하는 정책에 대해 DevOps와 보안 팀이 조율해야 합니다.

레지스트리 내의 침입이나 취약점은 실행 중인 애플리케이션을 손상시킬 수 있는 쉬운 기회를 제공합니다. 취약성 상태의 변화에 대해 레지스트리를 지속적으로 모니터링하는 것은 여전히 핵심 보안 요구 사항입니다. 다른 요구 사항으로는 레지스트리를 호스팅하는 서버를 잠그고 보안 액세스 정책을 사용하는 것 등이 있습니다.

컨테이너 오케스트레이션 보안

컨테이너 오케스트레이션 보안은 권한 초과 계정, 네트워크를 통한 공격, 원치 않는 측면 이동으로 인한 위험을 방지하기 위해 적절한 액세스 제어 조치를 시행하는 프로세스입니다. 보안 및 인프라 팀은 Docker 및 Kubernetes 활동이 명시적으로 화이트리스트에 포함된 ID 액세스 관리(IAM) 와 최소 권한 액세스를활용하여 사용자가 적절한 역할에 따라 명령만 수행하도록 보장할 수 있습니다.

또한 조직은 포드 간 통신을 보호하고, 공격자가 환경을 측면으로 이동하는 것을 방지하여 피해를 제한하며, 공격으로부터 모든 프론트엔드 서비스를 보호해야 합니다.

호스트 운영 체제(OS) 보안

호스트 OS 보안은 사이버 공격으로부터 운영 체제(OS)를 보호하는 작업입니다. 클라우드 네이티브 앱 개발 기술이 성장함에 따라 호스트 보안에 대한 필요성도커지고 있습니다.

컨테이너 환경을 호스팅하는 OS는 보안과 관련하여 가장 중요한 계층일 것입니다. 호스트 환경을 손상시키는 공격은 침입자가 스택의 다른 모든 영역에 액세스할 수 있도록 허용할 수 있습니다. 그렇기 때문에 호스트의 취약점을 검사하고, CIS 벤치마크를 충족하도록 보안을 강화하고, 취약한 액세스 제어(Docker 명령, SSH 명령, sudo 명령 등)로부터 호스트를 보호해야 합니다.

컨테이너 보안 솔루션

컨테이너 환경을 보호하려면 잠재적인 취약성과 위협을 해결하기 위한 다계층적 접근 방식이 필요합니다. 최근 몇 년 동안 조직이 개발, 구축, 런타임 단계에서 컨테이너화된 애플리케이션과 인프라를 보호하기 위해 신뢰할 수 있는 컨테이너 보안 솔루션은 더욱 정교해지고 기능이 향상되었습니다. 최신 보안 도구는 침해 및 데이터 유출의 위험을 효과적으로 최소화하여 규정 준수를 촉진하고 안전한 환경을 유지하면서 DevSecOps 도입을 가속화합니다.

컨테이너 모니터링

레지스트리에서 취약점을 모니터링하는 기능은 컨테이너 보안을 유지하는 데 필수적입니다. 개발자가 컨테이너를 지속적으로 리핑하고 교체하기 때문에 보안 팀이 컨테이너에 시계열 스탬프를 적용할 수 있는 모니터링 도구는 컨테이너화된 환경에서 어떤 일이 발생했는지 파악하는 데 매우 중요합니다.

컨테이너 모니터링에 널리 사용되는 도구로는 Prometheus, Grafana, Sumo Logic, Prisma Cloud 등이 있습니다. Prisma Cloud는 클라우드 네이티브 및 기존 애플리케이션 모두에 대해 런타임 위협 탐지 및 이상 징후 분석을 제공합니다. 머신 러닝과 행동 분석을 활용하여 빌드부터 런타임까지 전체 컨테이너 수명 주기에서 의심스러운 활동을 식별합니다.

컨테이너 스캔 도구

컨테이너는 프로덕션 환경에 구축되기 전과 교체된 후 모두 지속적으로 취약점을 검사해야 합니다. 개발자가 실수로 알려진 취약점이 있는 라이브러리를 컨테이너에 포함시키는 것은 너무 쉽습니다. 또한 거의 매일 새로운 취약점이 발견된다는 사실을 기억하는 것도 중요합니다. 즉, 오늘은 완벽하게 안전한 컨테이너 이미지처럼 보이는 것이 내일은 모든 종류의 멀웨어가 유포되는 통로가 될 수 있습니다. 그렇기 때문에 컨테이너 이미지 신뢰 유지가 컨테이너 스캔 도구의 핵심 구성 요소입니다.

컨테이너 스캐닝 도구로는 Aqua Security, Anchore, Clair, Prisma Cloud 등이 있습니다. Prisma Cloud는 레지스트리와 CI/CD 파이프라인중에 컨테이너 이미지에 대한 심층 계층 취약성 스캔을 제공합니다. 알려진 취약점, 잘못된 구성, 멀웨어를 탐지하여 처음부터 안전한 컨테이너를 구축할 수 있도록 도와줍니다.

컨테이너 네트워크 보안 도구

일단 구축된 컨테이너는 독점 데이터나 컴퓨팅 리소스를 훔치려는 끊임없는 시도로부터 보호되어야 합니다. 컨테이너화된 차세대 방화벽, 웹 애플리케이션 및 API 보안(WAAS), 마이크로세그멘테이션 도구는 컨테이너(남북 및 동서)로 들어오고 나가는 모든 트래픽을 검사하고 보호하여 Kubernetes 환경에 대한 완전한 레이어 7 가시성과 제어를 제공합니다. 또한 컨테이너 방화벽은 컨테이너 인프라의 급변하는 규모와 수요에 따라 동적으로 확장되어 비즈니스 운영을 위한 보안과 대역폭을 보장합니다.

네트워크 보안 도구에는 Calico, Flannel, CNI 플러그인(예: Istio, Cilium), Kubernetes NetworkPolicy 및 Prisma Cloud가 있습니다. Prisma Cloud는 Kubernetes와 같은 컨테이너 오케스트레이션 플랫폼과 통합되어 네트워크 위협 탐지를 제공합니다. 컨테이너 간의 동서 방향 트래픽을 보호하고 환경 내에서 무단 측면 이동을 방지합니다.

정책 엔진

클라우드 보안 팀은 최신 도구를 사용하여 특정 마이크로서비스에 액세스할 수 있는 사람과 항목을 기본적으로 결정하는 정책을 정의할 수 있습니다. 조직은 이러한 정책을 정의하고 고도로 분산된 컨테이너 애플리케이션 환경 전반에서 일관되게 유지 관리할 수 있는 프레임워크가 필요합니다.

널리 사용되는 정책 엔진으로는 Cilium, OPA Gatekeeper, Neutrino, Kubernetes 네트워크 정책 API 및 Prisma Cloud가 있습니다. Prisma Cloud는 네트워크 액세스 제어, 리소스 제한, 이미지 서명 등 컨테이너 구축 전반에 걸쳐 보안 정책을 시행합니다. 이를 통해 일관된 보안 태세를 유지하고 조직의 표준을 준수할 수 있습니다.

적합한 솔루션 선택하기

컨테이너화된 환경을 보호하기 위한 솔루션을 선택할 때는 조직의 요구사항과 위험 영역을 고려하세요. 고급 위협 탐지, 취약성 관리 또는 엄격한 정책 시행이 필요하신가요? 기존 도구 및 인프라와의 통합을 평가합니다. 개발 파이프라인, 오케스트레이션 플랫폼 및 SIEM 시스템과의 원활한 통합은 판도를 바꾸고 있습니다.

효과적인 컨테이너 보안은 개별 도구를 넘어선다는 점을 기억하세요. 지속적인 모니터링, 선제적 스캔, 강력한 정책, 안정적인 네트워크 보안을 통해 계층화된 접근 방식을 구현하면 위협에 대한 컨테이너 환경의 복원력을 크게 향상시킬 수 있습니다.

컨테이너 보안 FAQ