컨테이너 보안: 쿠버네티스 보호를 위한 필수 가이드

현대의 사이버 보안 환경은 새로운 위협으로 가득 차 있습니다. 보안 침해는 피할 수 없습니다. 보안 침해는 침해 여부가 아니라 침해 시기의 문제입니다.

즉, 네트워크에 위협으로부터 안전한 환경이 존재한다고 가정할 수 없습니다. 컨테이너는 공격자들에게 점점 더 인기 있는 표적이 되고 있습니다. 강력한 데브옵스 도구이긴 하지만, 특히 다른 인프라에 계층화할 경우 고유한 보안 문제를 야기합니다.  

이 포스팅에서는 컨테이너 보안에 주의를 기울여야 하는 이유와 Illumio가 Kubernetes 환경을 보호하는 데 어떻게 도움이 되는지 설명해드리겠습니다.

컨테이너는 기본적으로 안전하지 않습니다.

컨테이너는 일반적으로 Kubernetes 또는 OpenShift에서 관리합니다. 역동적이고 수명이 짧다는 특성을 고려할 때, 많은 사람들이 Kubernetes 환경이 위협에 덜 취약할 것이라고 생각합니다. 이는 사실이 아닙니다.

컨테이너에 대한 보안 오해는 동일한 가정이 잘못된 것으로 빠르게 입증된 가상 머신의 초창기와 유사합니다. 컨테이너도 다른 환경과 마찬가지로 자체적인 보안 위협에 직면해 있습니다. 공격자는 금전적 이득, 데이터 스파이, 인프라 중단, 크립토마이닝, DDoS 공격을 위한 봇넷 배포 등 익숙한 목적을 염두에 두고 컨테이너를 침해합니다.

쿠버네티스는 클러스터를 보호하는 데 있어 몇 가지 고유한 문제에 직면해 있습니다:

컨테이너를 둘러싼 보안 위험은 여러 차례 입증된 바 있습니다:

• 실로스케이프, 힐데가드, cr8escape 멀웨어는 스레드 사칭이라는 기술을 사용하여 컨테이너를 통해 네트워크에 침입합니다. Kubernetes 클러스터를 직접 대상으로 하지 않습니다. 대신 클러스터를 사용하여 기본 노드로 '이스케이프'하고 거기서 악성 코드를 실행합니다. 이로 인해 인프라가 중단되어 호스팅된 전체 Kubernetes 클러스터가 아래에서 다운될 수 있습니다.

• 킨싱 멀웨어 는 악성 크립토마이닝 코드를 실행하기 위해 추가 파드를 배포하는 데 사용하는 컨테이너에서 일반적인 PostgreSQL 서버의 잘못된 구성을 찾습니다. 이 멀웨어는 데이터를 추출하지는 않지만 클러스터의 리소스를 무료로 사용하므로 소유자의 비용이 증가합니다.

• SolarWinds 및 CodeCov와 같은 공급망 공격은 기존의 보안 조치를 우회하는 외부 코드 저장소를 통해 Kubernetes 클러스터에 침투했습니다.  

쿠버네티스에서 멀웨어는 어떻게 확산되나요?

모든 사이버 위협에는 한 가지 공통점이 있습니다. 공격자는 일단 환경에 침입하면 다른 리소스로 측면으로 확산하여 결국 목표에 도달하는 것을 목표로 합니다.  

멀웨어는 환경에 관계없이 사람의 행동이나 열린 포트를 이용하여 확산됩니다.

안타깝게도 사이버 보안에서 가장 취약한 고리는 사람입니다. 교육 여부와 관계없이 사용자는 실수로 위험한 링크를 클릭해 멀웨어가 네트워크에 침입할 수 있습니다. 일단 내부에 침입하면 멀웨어는 다른 워크로드로 확산하기 위해 열린 포트를 검색합니다.  

멀웨어는 일반적으로 다른 워크로드에 페이로드를 전달하기 위해 개방형 RDP, SSH 또는 SMB 포트를 사용합니다. 마찬가지로, Kubernetes 클러스터에는 종종 NodePort와 Kubelet에서 사용하는 개방형 포트가 있어 공격자가 Kubernetes 워크로드를 통해 쉽게 확산시킬 수 있습니다.  ‍

Kubernetes 보호: 마이크로세그멘테이션과 위협 탐지의 결합

사이버 보안 업계는 전통적으로 탐지 및 대응 방식을 취해 왔습니다. 위협 헌팅 탐지 도구는 워크로드와 애플리케이션에서 비정상적인 동작이 있는지 모니터링합니다. 악의적인 것을 발견하면 보안팀은 위협을 근절하기 위해 노력합니다.  

하지만 이러한 탐지 도구가 아무리 빠르다고 해도 오늘날의 위협은 더 빠르게 확산될 수 있습니다. 더 심각한 문제는 침해가 탐지된 후에는 이미 환경을 통해 확산되었을 가능성이 높다는 것입니다. 조직은 탐지 도구가 100%% 효과적일 것이라고 기대할 수 없습니다.  

오픈 포트를 통해 워크로드 간에 침해가 확산된다는 사실을 알고 있습니다. 즉, 위협이 확산되는 것을 막기 위해 위협의 의도를 파악할 필요가 없습니다. 세그먼트를 먼저 모니터링하고 시행하는 것이 훨씬 더 효과적입니다.  

워크로드 간 통신을 제한하면 위협의 의도와 관계없이 위협이 확산되는 것을 방지할 수 있습니다. 그리고 탐지 도구가 위협을 식별할 시간을 주어야 합니다.

예를 들어, 누군가 집 문을 부수려고 하면 먼저 범죄자인지 물어본 다음 문을 잠글지 여부를 결정하지 않습니다. 먼저 문을 잠그고 나중에 질문합니다.

세분화는 모든 보안 아키텍처의 기본입니다. 위협의 목적을 파악하는 데 시간을 낭비하지 말고 위협의 경로를 즉시 차단하세요. 이렇게 하면 침해가 네트워크에 더 이상 확산되지 않도록 차단할 수 있습니다.

Kubernetes의 침해 방지를 위한 Illumio의 접근 방식

Illumio는 결국 Kubernetes를 포함한 모든 환경에서 침해가 발생할 것이라고 가정합니다. Illumio 플랫폼은 여러 가지 방법으로 Kubernetes 보안을 지원합니다.

사전 예방적 마이크로세분화 구축

모든 워크로드에 마이크로세그멘테이션을 적용함으로써 Illumio는 진입 지점에서 침해를 차단하여 네트워크 전체로 확산되는 것을 방지합니다. 즉, 조직은 운영에 영향을 주지 않으면서도 적극적인 침해 사고로부터 살아남을 수 있습니다.

타사 통합을 통한 탐지 및 격리 자동화

또한 Illumio는 타사 탐지 플랫폼과 통합하여 위협을 탐지하고 억제하는 프로세스를 자동화할 수 있습니다.  

제로데이 멀웨어가 일루미오가 허용하는 포트를 사용하는 경우, 이러한 통합은 이를 일루미오 플랫폼과 공유합니다. 이에 따라 Illumio는 악의적인 공격자가 악용하기 전에 보안 정책을 자동으로 적용하여 보안 격차를 해소하고 위험을 줄입니다. 

즉, 실시간 위협 인텔리전스를 기반으로 세분화된 세분화 제어를 구현하여 공격 표면을 줄이고 자동으로 침해를 차단할 수 있습니다. 

Kubernetes DevSecOps 간소화  

컨테이너화된 개발 주기 동안 사용되는 자동화 워크플로우의 일부로 보안 정책이 Kubernetes의 보안 운영에 필요합니다.  

Illumio를 사용하면 모든 환경에서 사용되는 동일한 글로벌 워크플로우 내에서 Kubernetes 가시성과 워크로드 적용을 얻을 수 있습니다.  

Illumio로 Kubernetes의 침해 방지

공격자는 Kubernetes를 포함한 모든 곳에 퍼지기를 원합니다. 확산을 막지 못하면 조직이 내일의 뉴스 헤드라인이 될 수도 있습니다.

일루미오는 보안 침해를 억제하고 위험을 줄이며 복원력을 구축하도록 지원하여 뉴스에서 벗어나게 해줍니다. 트래픽을 매핑하고 전체 하이브리드 멀티클라우드, Kubernetes 내부 및 외부에서 침해를 차단하세요.  

지금 바로 문의하여 Illumio로 컨테이너 환경의 보안 침해를 방지하는 방법을 알아보세요.