상위 7가지 Kubernetes 보안 모범 사례

Kubernetes 보안 대 애플리케이션 보안 모범 사례

많은 경우, Kubernetes 보안 모범 사례는 일반적인 네트워크 및 애플리케이션 보안 모범 사례와 일치합니다. 예를 들어, 저장 및 전송 중인 데이터의 암호화는 K8을 비롯한 모든 프로덕션 환경에서 필수적인 요소입니다. 마찬가지로 비밀번호와 API 키와 같은 민감한 데이터를 적절히 처리하는 것도 필수입니다. 대부분의 엔터프라이즈 DevSecOps 팀은 이러한 기본 모범 사례를 알고 있으며 이를 잘 활용하고 있습니다.

여기서는 기본 사항을 넘어 엔터프라이즈 보안을 한 단계 더 발전시킬 수 있는 7가지 Kubernetes 보안 모범 사례를 살펴보겠습니다. 

#1. K8의 자세 관리 & 가시성을 우선시하기 

K8의 자세 관리와 가시성은 크게 두 가지를 효과적으로 수행할 수 있다는 것입니다:

• 모든 K8 클러스터와 컨테이너 워크로드를 안전하게 구성하세요. 
• 기업 내 모든 워크로드와 구성에 대한 세분화된 가시성을 지속적으로 확보하세요. 

물론 이러한 목표를 달성하는 것은 말처럼 쉬운 일이 아니며, 특히 멀티 클라우드 환경에서는 더욱 그렇습니다. 그렇다면 엔터프라이즈 보안팀은 Kubernetes 보안 태세와 가시성을 최적화하기 위해 구체적으로 무엇을 할 수 있을까요? 다음 모범 사례에서 이러한 단계 중 많은 부분을 다룰 것입니다. 그러나 전제 조건은 전사적으로 K8의 보안을 우선시하는 조직적 동의입니다. 

다음은 기업이 K8의 보안을 높은 수준으로 개선하기 위한 여정을 시작하기 위해 취할 수 있는 가장 영향력 있는 몇 가지 단계입니다. 

• 업계 모범 사례를 사용하여 Kubernetes 클러스터의 구성 의무화: 배포마다 미묘한 차이는 있지만, 모든 기업은 잘 정의된 컨테이너 보안 표준을 참조하여 K8 클러스터와 컨테이너 워크로드를 강화할 수 있습니다. 예를 들어, NIST 800-190 애플리케이션 컨테이너 보안 가이드(PDF) 및 CIS 벤치마크 는 전문가 지침을 제공하며 기업이 따라야 할 훌륭한 기준선입니다. 이와 같은 표준을 활용하면 전반적인 기업 보안 태세를 개선하는 데 큰 도움이 될 수 있습니다. 

• "왼쪽으로 이동" 및 자동화: 수동 구성은 감독 소홀과 인적 오류의 원인이 됩니다. "왼쪽 보안 시프트'는 개발 프로세스 초기에 보안을 통합하는 프로세스는 본질적으로 수동 구성을 제한하고 보안 모범 사례의 자동화를 장려하는 데 도움이 됩니다. 그 결과, DevSecOps 팀은 Kubernetes에 대한 보안 모범 사례를 CI/CD 파이프라인에 구축하여 일관되게 적용하고 원활하게 확장할 수 있습니다. 

• 마이크로 세분화 구현: 마이크로 세분화 의 컨테이너와 Kubernetes 클러스터는 기업 인프라 전반에 걸쳐 제로 트러스트 원칙을 적용하고 침해 발생 시 측면 이동을 제한하는 데 도움이 됩니다. 따라서 엔터프라이즈 워크로드 전반에 걸쳐 마이크로 세분화 정책을 구현하는 것은 전반적인 보안 태세를 최적화하는 데 매우 중요합니다. 

• 전사적으로 올바른 주석 및 라벨을 적용하세요: Kubernetes 레이블은 정책과 개체가 그룹화되는 방식과 워크로드가 배포되는 위치까지 지정합니다. 따라서 기업 클러스터 전체에서 일관된 라벨링을 사용하는 것은 강력한 보안 태세를 유지하는 데 필수적인 요소입니다. 마찬가지로, 워크로드에 대한 특정 주석을 요구하는 정책을 시행하고 워크로드를 배포할 수 있는 위치를 제한하기 위해 테인트 및 허용 오차를 지정하는 것은 DevSecOps 팀에게 필요한 전술적 단계입니다. 
• 지속적인 모니터링 활용: 특정 시점의 보안 감사, 펜 테스트, 취약성 스캔만으로는 더 이상 충분하지 않습니다. 끊임없이 반복되는 위협과 네트워크 경계를 따라잡기 위해 기업은 K8 클러스터 전반에서 위협, 침입, 안전하지 않은 구성을 지속적으로 모니터링하고 스캔해야 합니다. 

#2. 이미지 보증 구현

컨테이너 이미지는 K8 워크로드의 기본 구성 요소입니다. 안타깝게도 안전하지 않은 컨테이너 이미지는 널리 퍼져 있는 위협입니다. 사례: 2020년 분석에 따르면 Docker Hub에 있는 이미지의 절반 이상이 심각한 취약점이 있었습니다.. 결과적으로 이미지에 사용된 이미지가 K8s 클러스터 가 안전하고 신뢰할 수 있는 소스에서 가져오는 것이 중요한 Kubernetes 보안 모범 사례입니다. 

이미지 보증을 구현하려면 기업은 보안 툴을 활용해야 합니다:

• 개발 및 런타임 중에 이미지를 스캔합니다.
• 정책을 준수하지 않는 컨테이너의 배포를 방지합니다.
• 이미지 레이어를 해체하고 이미지 내의 패키지 및 종속성을 스캔합니다.
• 이미지에서 멀웨어, 취약성, 일반 텍스트의 비밀번호 및 암호화 키와 같은 안전하지 않은 구성이 있는지 확인합니다.

#3. 입학 컨트롤러로 정책 미세 조정하기

Kubernetes API 서버는 기업이 안전하지 않거나 악의적인 요청으로부터 보호해야 하는 공격 표면입니다. 입장 컨트롤러는 바로 이러한 기능을 수행하도록 설계된 코드 조각입니다. 

권한 부여 컨트롤러는 권한 부여 후 지속성 이전에 API 호출에 대해 작동하므로 인적 오류, 잘못된 구성 또는 계정이 손상된 경우 클러스터 수정으로부터 보호할 수 있습니다. 기업은 어드미션 컨트롤러를 사용하여 포드 업데이트, 이미지 배포, 역할 할당 등 다양한 작업을 제한하는 미세 조정된 정책을 정의할 수 있습니다. 

#4. WAAP로 웹 앱 및 API 보호

기존의 웹 애플리케이션 방화벽(WAF)과 침입 탐지 및 방지 시스템(IDS/IPS)은 최신 웹 앱과 API가 직면한 위협을 따라잡을 만큼 유연하거나 지능적이지 않습니다. 봇 및 제로 데이 공격과 같은 위협에 대응하기 위해 기업은 웹 애플리케이션 및 API 보호 기능을 사용해야 합니다(WAAP) 해결 방법. 

WAAP는 최신 클라우드 네이티브 애플리케이션을 염두에 두고 설계되었으며 다음과 같은 기능을 제공합니다:

• API 및 마이크로서비스 보호.
• 차세대 웹 애플리케이션 방화벽(NGWAF)이 내장되어 있습니다.
• 봇 및 DDoS 보호.
• 오탐을 줄이는 고급 속도 제한 기능을 제공합니다.

#5. 지능형 런타임 보호 솔루션 사용 

K8 보안에서 가장 어려운 균형 잡기 중 하나는 오탐을 제한하면서 악의적인 행동을 식별하고 실시간 공격으로부터 워크로드를 보호하는 것입니다. 균형을 맞추기 위해 기업은 여러 데이터 포인트를 사용하여 위협을 식별하고 완화하는 지능형 솔루션이 필요합니다. 이를 위해서는 런타임 보호에 대한 다음과 같은 세 가지 접근 방식이 필요합니다:

• 런타임 프로파일링: 모든 K8 클러스터는 서로 다르며 성능 기준선은 악의적인 행동을 탐지하는 데 중요합니다. 최신 런타임 보호 솔루션은 런타임 프로파일링을 수행하여 네트워크 흐름, 파일 시스템 활동 및 실행 중인 프로세스에 대한 정상 동작의 기준선을 설정합니다. 이러한 기준선은 위협 탐지 엔진이 컨텍스트를 통해 잠재적인 위협을 탐지하고 완화하여 전반적인 보안 상태를 개선하고 오탐을 제한하는 데 도움이 될 수 있습니다. 

• 악성 행위 시그니처 탐지: 알려진 악성 행동에 대한 강력한 데이터베이스를 통해 보안 도구가 일반적인 위협을 빠르고 정확하게 탐지할 수 있습니다. 관찰된 동작을 시그니처 데이터베이스와 비교하여 잘 알려진 위협이 네트워크를 침해할 기회를 갖기 전에 차단할 수 있습니다. 
• 안티멀웨어 엔진: 지능형 멀웨어 방지 엔진과 런타임 시 워크로드에 대한 지속적인 스캔은 런타임 보호의 중요한 구성 요소입니다. 안티멀웨어 엔진은 런타임 보안의 핵심이며 기업은 모든 워크로드를 지속적으로 스캔하여 가능한 한 빨리 위협을 탐지해야 합니다.  

#6. 최신 K8 침입 방어에 투자하기

IPS/IDS 기술 는 수년 동안 엔터프라이즈 보안의 필수 요소였으며, 컨테이너와 Kubernetes의 등장에도 변하지 않았습니다. 기본적으로 의심스러운 행동을 감지하고 이를 신고하거나 방지하는 도구는 항상 기업 보안의 초석이 될 것입니다. 변화된 것은 IPS/IDS가 보호해야 하는 자산의 동적 특성과 현대 기업이 직면한 위협입니다. 

Kubernetes용 최신 침입 방지 솔루션은 다음과 같은 기능을 수행할 수 있어야 합니다:

• K8s 포드에서 내부 포트 스캔.
• 계정, 애플리케이션 트래픽 흐름, K8 클러스터 운영과 관련된 데이터를 분석하세요. 
• 암호화폐 채굴과 같은 최신 위협을 탐지하세요. 

또한 최신 IPS/IDS는 멀티 클라우드 환경에서 작동하여 배포되는 모든 곳에서 K8 클러스터를 보호해야 합니다. 

#7. 시각화 및 정기적인 보고 강조

기업은 보안 태세의 현재 상태를 파악하기 위해 최신 보고서 및 시각화(예 대시보드)를 통해 전체 애플리케이션 인프라를 설명할 수 있습니다. 

모든 기업에 필요한 획일적인 KPI와 보고서는 존재하지 않으므로 사용자 지정은 효과적인 솔루션의 중요한 측면입니다. 그러나 엔터프라이즈급 K8s 보안 시각화 및 보고 솔루션에는 모든 클라우드에서 집계된 데이터, 드릴다운하여 더 세분화된 세부 정보를 표시하는 기능, 자산 및 알림에 대한 단일 창 개요가 포함되어야 합니다.

시각화 및 보고 도구를 평가할 때 대시보드와 높은 수준의 개요의 중요성을 간과하지 않는 것이 중요합니다. 많은 보고 도구의 가장 큰 문제 중 하나는 정보 과부하와 명확성 부족입니다. 정보가 너무 많아서 기업 차원에서 일관성을 유지할 수 없게 됩니다. 올바른 고급 시각화 및 보고서를 통해 기업은 전반적인 상황을 빠르고 효과적으로 평가할 수 있습니다. Serverless Security 자세를 취하고 어떤 결과에 먼저 집중해야 하는지 이해합니다.