컨테이너 및 Kubernetes 환경 보안의 3대 과제 해결 방법

조직에서 개발 및 프로덕션 인프라에 대한 사고 방식을 바꾸면서 DevOps와 "shift-left" 접근 방식을 동시에 수용하고 계신가요? 여러분은 혼자가 아닙니다.

제한된 하드웨어 서버와 표준화된 개발 제품군을 갖춘 온프레미스 데이터 센터의 시대는 이제 백미러에 지나갔습니다. 개발자는 애플리케이션에 가장 적합한 클라우드, 클라우드 서비스 인스턴스 또는 도구를 자유롭게 활용할 수 있어야 합니다.  

이러한 새로운 유연성은 빠른 혁신을 촉진하지만, 끊임없이 변화하는 컨테이너와 Kubernetes 환경 전반에 걸쳐 일관되고 유연한 보안을 배포하는 데 있어 여러 가지 과제를 안고 있습니다.

컨테이너 및 Kubernetes 환경 보안의 3가지 과제

컨테이너와 Kubernetes 환경에는 네트워크의 다른 부분과 동일한 종류의 보안이 필요하지 않다는 일반적인 오해가 여전히 존재합니다. 이는 사실이 아닙니다. 컨테이너와 Kubernetes 환경을 보호하려는 보안 팀이 직면한 주요 어려움은 다음과 같습니다. 다음은 세 가지 주요 과제입니다:

1. 동적 컨테이너 및 Kubernetes 환경에 보안 정책 적용하기

마이크로서비스 아키텍처를 수용하고 컨테이너화된 Kubernetes 서비스를 선택하면 향상된 서비스 가용성, 원활한 업그레이드, 자동 확장, 플랫폼 이동성 등 다양한 이점을 누릴 수 있습니다. 그러나 컨테이너는 많은 작업이 자동화되고 때로는 단 몇 분 동안만 지속되는 반면 컨테이너 자체는 단 몇 초 동안만 존재하는 등 Kubernetes에 의해 조율되는 라이프사이클을 가지고 있습니다.  

이러한 동적 특성으로 인해 보안 관리자는 주로 인그레스 및 인그레스 지점에서 정책을 시행하는 데 집중해야 하는 어려움이 있습니다. 멀티클러스터 서비스 메시와 클라우드 간 서비스 메시 페더레이션의 등장으로 컨테이너를 어디서나 배포하고 서비스 메시를 통해 연결할 수 있게 되었습니다.  

서비스 메시가 확장됨에 따라 경계 방어에만 의존하는 것은 효과가 떨어집니다.

2. 전체 스택에 대한 적용 보장

퍼블릭 클라우드의 관리형 Kubernetes 서비스, 예를 들어 AWS Elastic Kubernetes Service(AWS EKS)를 자세히 살펴보면 네트워크 방화벽, 보안 그룹, 애플리케이션 로드 밸런서, Kubernetes 네트워크 정책 등 여러 적용 지점이 있으며, 각각 보안의 여러 측면에 기여하고 있습니다. 서비스 메시를 도입하면 권한 부여 정책의 계층이 추가됩니다.  

이러한 시행 지점은 클라우드 또는 플랫폼 팀, DevOps 팀, 애플리케이션 개발자 등 다양한 팀의 소유권에 속하는 경우가 많습니다. 클라우드 네이티브 보안은 여러 팀 간의 공동 책임으로 널리 인식되고 있습니다. 퍼블릭 클라우드 내의 Kubernetes 스택에서는 이러한 소유권 세분화가 특히 어려울 수 있습니다. 문제가 생깁니다: 어떻게 하면 네트워크와 애플리케이션 세분화를 빈틈 없이 보장할 수 있을까요?

3. 하이브리드 및 멀티 클라우드 환경 전반에서 일관된 정책 수립

많은 기업이 이 부분에서 심각한 장애물을 만나게 됩니다.  

대부분의 정책 제어는 일반적으로 특정 환경으로 제한되며 해당 범위 내에서만 세분화를 제공합니다. 하지만 오늘날의 복잡하고 상호 연결된 환경에서는 이러한 고립된 정책으로는 부족하고 멀웨어가 횡적으로 이동할 수 있는 취약점이 발생하는 경우가 많습니다. 더 복잡한 문제는 환경마다 워크로드마다 메타데이터와 속성의 집합이 다르다는 점입니다.  

이러한 모든 과제는 보안팀이 전체 공격 표면에서 엔드투엔드 가시성을 제공하는 솔루션을 고안해야 한다는 것을 의미합니다.

일루미오 코어 포 쿠버네티스가 이러한 문제를 해결하는 방법

보안팀은 Kubernetes용 Illumio Core를 통해 동적 환경 보안, 전체 스택에 걸친 정책 적용, 하이브리드 및 멀티클라우드 배포 전반에서 일관된 보안 정책 유지와 관련된 문제를 극복할 수 있습니다.

Kubernetes 컨트롤 플레인과의 통합: Illumio는 Kubernetes 컨트롤 플레인과 원활하게 통합되어 노드, 네임스페이스, 서비스, 워크로드, 파드의 생성 및 제거에 대한 정보를 수신합니다. 이를 통해 Illumio는 해당 정책을 동적으로 적용할 수 있습니다.

헬름 차트 설치: 일루미오는 일루미오 보안 솔루션에 필요한 모든 쿠버네티스 리소스와 구성을 캡슐화하는 헬름 차트를 제공하여 배포 프로세스를 간소화합니다. 이러한 차트는 특정 요구 사항을 충족하도록 헬름 값을 사용하여 사용자 지정할 수 있습니다. 헬름을 사용하면 Illumio는 DevOps 워크플로에 원활하게 통합됩니다.

레이블 기반 정책: Illumio의 레이블 기반 정책은 멀티 클라우드 환경에서 혼합 워크로드를 관리하는 데 특히 적합합니다. 관리자는 메타데이터와 속성을 공통 레이블 세트에 매핑하여 보안 평가에 대한 일관된 접근 방식을 보장할 수 있습니다.

클라우드 메타데이터 및 Kubernetes 레이블과 레이블 간 매핑: 일루미오를 사용하면 DevOps 사용자가 Kubernetes 노드 레이블에서 일루미오 레이블로 레이블 매핑을 지정할 수 있습니다. 이렇게 하면 기본 환경 정보를 레이블 세트에 매핑하는 프로세스가 간소화되어 노드가 클러스터에 추가될 때 정책이 쉽게 적용될 수 있습니다.

확장성 및 성능: 기업이 클라우드 및 애플리케이션 이니셔티브를 지속적으로 확장함에 따라 Illumio 솔루션은 철저한 테스트를 거쳤으며 향후 성장에 따른 수요를 충족하도록 확장할 수 있는 역량을 갖추고 있습니다.

지금 바로 문의하여 Illumio Core가 Kubernetes 배포를 보호하는 방법에 대해 자세히 알아보세요.