클라우드 네이티브 애플리케이션 구조
클라우드 네이티브 애플리케이션은 공격자가 이러한 애플리케이션에 접근하는 방식에 영향을 미치는 새롭고 독특한 구조를 가지고 있어 위협 환경이 변화하고 있습니다. 공격자들이 접근 방식을 바꾸고 6세대 공격으로 이동함에 따라 보안 실무자와 개발자는 클라우드 네이티브 애플리케이션을 방어하는 방법을 그에 맞게 조정해야 합니다.
조직을 위해 새로운 위협을 가장 효과적으로 예방하려면 이러한 새로운 위협에 더 많은 시간과 리소스를 할당해야 합니다. 리소스를 전략적으로 할당해야 하지만 새로운 위협 환경에서 어떤 위협이 가장 가능성이 높은지 먼저 이해해야 합니다.
클라우드 네이티브 애플리케이션 위협의 유형
클라우드 네이티브 애플리케이션의 컴퓨팅 서비스는 일시적으로 사용하도록 설계되어 수명이 짧은 경향이 있습니다. 이는 클라우드 네이티브 애플리케이션을 본질적으로 더 안전하게 만드는 여러 속성 중 하나입니다. 공격자는 시스템에 장기간 머무르는 것이 쉽지 않으므로 전술을 바꿔야 합니다. 성촉절 공격은 공격자가 예를 들어 신용카드 번호 몇 개만 훔친 다음 반복하는 훨씬 짧은 공격을 만드는 전략 중 하나입니다. 공격자는 클라우드 네이티브 애플리케이션의 자동 확장 기능을 활용하여 일시적인 공격에 이용합니다.
또 다른 접근 방식은 업스트림 공격 또는 우물 파기 공격으로, 공격자가 애플리케이션에서 보다 장기적인 지속성을 확보하는 것을 목표로 합니다. 클라우드 네이티브 애플리케이션은 많은 모듈과 라이브러리로 구성되는 경향이 있습니다. 단일 서버리스 함수에는 개발자의 작업 외에 다양한 소스의 수만 줄의 코드가 포함될 수 있습니다. 공격자는 일반적인 프로젝트에 악성 코드를 포함시키기 위해 노력합니다. 그러면 우물을 오염시킨 후 클라우드 애플리케이션에 있는 악성 코드가 집으로 전화를 걸어 지시를 받고 혼란을 일으킬 수 있습니다.
클라우드 네이티브 애플리케이션을 보호하는 방법
다행히도 클라우드 네이티브 애플리케이션은 공격하기 어려운 경향이 있습니다. 그러나 새로운 유형의 아키텍처인 만큼 새로운 보안 과제를 안고 있으며 개발자는 위험을 완화하기 위해 조치를 취해야 합니다. 다음은 클라우드 네이티브 애플리케이션을 보호하기 위한 몇 가지 모범 사례입니다:
- 기능 수준에서 경계 보안 적용애플리케이션을 호출 가능한 작은 구성 요소로 세분화하고 다양한 소스(예: 스토리지, 메시지 대기열, 데이터베이스)의 이벤트 기반 트리거를 사용하면 공격자는 더 많은 공격 대상과 공격 경로를 확보할 수 있습니다.
차세대 요구 사항을 해결하기 위해 웹 API 및 애플리케이션 보호(WAAP) 서비스를 고도화하는 것 외에도, 또 다른 클라우드 네이티브 보안 모범 사례는 기능 수준에서도 경계 보안을 적용하는 것입니다. 다른 소스 유형에 의해 트리거되는 기능에 특히 주의하세요.
- 각 기능에 적합한 최소한의 역할 만들기클라우드네이티브 리소스 간의 많은 상호 작용에 대한 역할을 설정해야 합니다. 각 서버리스 기능에 고유한 권한 집합을 할당하는 기능은 AppSec을 한층 더 강화할 수 있는 훌륭한 기회를 제공합니다.
기능 단위로 IAM을 수행하면 IAM은 앱 보안 도구가 됩니다. 각 기능에 적합한 최소한의 역할을 만드는 데 시간을 투자하세요. 또한, 각 함수가 실행 가능한 최소한의 권한으로 실행되도록 하여 구멍으로 인한 피해를 최소화하세요.
- 애플리케이션 종속성 보안함수에는종종 npm(Node.js)에서 가져온 종속성이 포함되어 있습니다, PyPI(Python), Maven(Java) 또는 기타 관련 리포지토리. 애플리케이션 종속성을 보호하려면 개발 중에 애플리케이션 보안을 트리거할 수 있는 기본 오케스트레이션 도구를 포함한 우수한 데이터베이스와 자동화된 도구에 액세스할 수 있어야 합니다. 이러한 도구를 지속적으로 실행하면 새로운 취약한 패키지가 사용되는 것을 방지하고 새로 공개된 이슈에 대한 알림을 받을 수 있습니다.
- 보안을 모두의 문제로 만들기
개발자, DevOps 및 앱 보안 팀 간의 긴밀한 파트너십을 구축하세요. 개발자가 보안을 소유하지 않지만 그렇다고 책임이 면제되는 것도 아닌 균형점을 찾아보세요(보안 코딩을 예로 들 수 있습니다). 오픈스택 재단의 COO인 마크 콜리어는 블룸버그의 기사에서 "모놀리식/폭포수에서 애자일/DevOps 로의 전환은 어떤 기술을 채택할 것인가보다는 프로세스와 조직 심리에 관한 문제"라고 말했습니다.
이 문제는 몇 년 동안 논의되어 왔으며 조만간 사라지지 않을 것입니다. 이는 기업이 반드시 해결해야 하는 큰 문제이며, 철학의 세대적 전환이 필요하기 때문에 이를 달성하는 데는 몇 년이 걸릴 것입니다."
클라우드 네이티브는 조직이 보안 및 개발을 관리하는 방식에 있어 다른 접근 방식을 필요로 하므로 회사 DNA의 일반적인 행동에 반하는 것처럼 느껴지더라도 팀에서 조기에 격차를 해소하는 것이 중요합니다. 이를 통해 각 부서는 이러한 변화를 촉진하고 진정한 영향력을 발휘할 수 있는 진정한 기회를 얻게 됩니다.
체크 포인트를 통한 클라우드 네이티브 애플리케이션 보안
운영팀은 개발자가 서버리스 속도로 작업하면서도 현실적이고 안전한 방식으로 애플리케이션을 배포할 수 있는 파이프라인을 만들어야 합니다.
이는 클라우드 네이티브 애플리케이션 및 마이크로서버로 마이그레이션할 때 고려해야 할 보안과 관련된 많은 항목 중 일부에 불과합니다. 이러한 전환을 최적화하고 가시성, 관찰 가능성, 보안 및 위협 차단을 강화하는 데 도움이 되는 새로운 도구가 매일 출시되고 있습니다. 클라우드 네이티브 보안을 해결하는 방법에 대한 자세한 내용은 체크 포인트 소프트웨어의 클라우드 보안 솔루션 가이드를 참조하세요.
피드백