2018.11.26

도커 및 쿠버네티스를 위한 콘테이너 보안 툴 7종

Serdar Yegulal | InfoWorld
도커 콘테이너를 이용하면 소프트웨어 개발자가 애플리케이션을 더 빨리 구축하고 더 유연하게 배포할 수 있다. 또한 개발자 소프트웨어를 더욱 안전하게 만들 수 있도록 돕기도 한다. 

콘테이너가 전체 애플리케이션 라이프사이클에서 보안을 강화하는 방법은 여러 가지가 있다. 콘테이너에 내장되는 소프트웨어 구성요소의 자동 분석, 콘테이너 클러스터와 여러 애플리케이션 버전을 아우르는 행동 정책, 그리고 취약성 데이터 추적 및 관리를 위한 기술 등이 대표적이다. 

하지만, 이 중 얼마나 많은 것들이 효과를 발휘하느냐는 또 다른 이야기라 할 수 있다. 쿠버네티스와 같은 도커 및 콘테이너 관리 시스템은 항상 기본은 하지만 그 이상을 보장해 주지는 않는다. 더 높은 수준의 보안 모니터링 및 시행을 위해서는 서드파티 툴을 활용해야 한다. 

최근 업데이트 된 7가지 콘테이너 보안 제품 및 서비스들을 정리했다. 이들은 클라우드와 자체 데이터센터 모두에서 취약점 탐지, 컴플라이언스 검사, 화이트리스트, 방화벽, 런타임 보호 등의 기능을 콘테이너에 제공한다.

아포레토(Aporeto)
아포레토는 아래에서 자세히 설명할 뉴벡터 제품과 비슷하게 런타임 보호에 집중한 솔루션이다. 아포레토는 쿠버네티스 워크로드를 보호하기 위한 마이크로 서비스 보안 제품과, 분산 환경에서 실행되는 애플리케이션을 보호하기 위한 클라우드 네트워크 방화벽 시스템을 제공한다.

쿠버네티스의 워크로드를 보호함으로써 아포레토는 온-프레미스 및 관리 환경(구글의 쿠버네티스 엔진 등)을 모두 보호할 수 있다. 모든 리소스에는 애플리케이션 주위의 신뢰 체인이 손상되지 않도록 하는 데 사용되는 서비스 ID가 할당된다. 서비스 ID는 애플리케이션용 포드가 실제로 어디에 있는지 관계없이 애플리케이션 동작을 시행하는 데 사용된다.

아포레토 가격 정책은 계좌를 등록한 후 요청하면 받아볼 수 있다. 무료 평가는 30일간 가능하다.

아쿠아 콘테이너 시큐리티 플랫폼(Aqua Container Security Platform)
아쿠아 콘테이너 시큐리티 플랫폼은 리눅스 콘테이너와 윈도우 콘테이너에 대한 컴플라이언스 및 런타임 보안을 제공한다.

Dl 엔드-투-엔드 콘테이너 보안 관리자를 통해 관리자는 보안 정책과 위험 프로파일을 애플리케이션에 적용하고, 이러한 프로파일을 다른 애플리케이션 빌드 파이프라인에 연결할 수 있다. 이미지 스캐닝 기능은 빌드 및 CI/CD 도구와 통합 가능하다. 

또한 아쿠아 콘테이너 시큐리티 플랫폼을 통해 관리자는 애플리케이션 컨텍스트를 사용하여 런타임 시 애플리케이션 세그먼트 네트워크를 사용할 수 있다. 아쿠아 플랫폼은 하시코프 볼트(Hasicorp Vault)와 같은 비밀 관리 도구와 연동 가능하며, 소프트웨어 구성 요소에서 메타데이터에 액세스할 수 있는 그라파스(Grafas) API를 지원한다. 

아쿠아 플랫폼은 애플리케이션의 그라파스 스토어에서 발견한 모든 취약성 정보를 기록할 수 있으며, 아쿠아 정책은 보안 사건 및 소프트웨어 문제에 그라파스 정의 데이터를 사용한다.

아쿠아 콘테이너 시큐리티 플랫폼은 온프레미스 또는 클라우드 내 구축에 사용할 수 있다. 무료 평가판 또는 오픈소스 https://www.aquasec.com/products/open-source-projects/ 버전은 사용할 수 없지만, 아쿠아는 이 플랫폼에서 파생된 여러 오픈소스 도구를 출시하고 있다.

아토믹 시큐어드 도커(Atomic Secured Docker)
아토믹 시큐어드 도커는 우분투, 센트OS 및 레드햇 엔터프라이즈 리눅스를 위한 대체 리눅스 커널로, 잠재적인 공격을 상쇄하기 위해 다양한 강화 전략을 사용한다. 사용자 랜드 메모리에 대한 강화된 사용 권한 등, 여러 가지 보호 기능들이 아토믹코프(Atomicorp)의 보안 커널 제품 일반 라인에서 파생되어 있다. 콘테이너 브레이크아웃 보호와 같이 도커용으로 특별히 설계된 것들도 있다.

아토믹 시큐어드 도커는 직접 구매를 통해 구입할 수 있다. AWS 호스팅 센트OS, 애저 호스팅 센트OS 및 우분투 버전은 AWS 및 애저 마켓에서 구매 가능하다.

뉴벡터(NeuVector)
뉴벡터는 전체 쿠버네티스 클러스터를 보호하도록 설계된 도구다. 레드햇 오픈시프트(OpenShift) 및 도커 엔터프라이즈 에디션(Docker Enterprise Edition)과 같은 기존 쿠버네티스 관리 솔루션과 연동되며, 젠킨스(Jenkins) 플러그인이 개발돼 있어, 배포의 모든 단계에서 애플리케이션을 보호할 수 있다.

여기 소개한 다른 솔루션들과 마찬가지로, 뉴벡터는 기존 코드를 수정하지 않고 기존 쿠버네티스 클러스터에 콘테이너로 배치되는 특징을 가지고 있다. 클러스터에 뉴벡터를 추가하면 호스팅된 모든 콘테이너를 검색하고 연결 및 동작을 상세히 설명하는 맵이 생성된다. 애플리케이션 증가 및 감소로 인한 모든 변경 사항을 탐지하고 고려하므로, (콘테이너 중단 또는 새로운 취약성을 포함한) 위협 요소에 대한 실시간 검색이 여전히 유효하다.

뉴벡터의 가격은 구동 중인 도커 호스트의 수에 기반해 책정되며, 연 9,950달러에서 시작한다. 무료 체험 버전도 제공하고 있다.

시스딕 시큐어(Sysdig Secure)
시스딕 시큐어는 콘테이너 런타임 환경을 모니터링하고 이러한 환경에서 포렌식 결과를 얻기 위한 일련의 도구를 제공한다. 시스딕 시큐어는 시스딕의 다른 도구들(예를 들어 시스딕 모니터)과 함께 직접 작동하도록 설계ehoT다.

환경에 대한 정책은 애플리케이션, 콘테이너, 호스트 또는 네트워크 작업별로 설정하고 적용하는 것이 가능하다. 시스딕 시큐어로 추적되는 모든 이벤트는 호스트나 콘테이너 또는 오케스트레이터 렌즈(일반적으로 쿠버네티스)를 통해 볼 수 있다. 모든 콘테이너의 명령 내역을 기록하고 검토할 수 있으며, 클러스터 전반의 포렌식 전반을 마치 트위스트락(Twistlock)의 ‘사건 탐색기’(incident explorer) 기능과 유사한 방식으로 기록 및 재생할 수 있다.

시스딕 시큐어는 유료로만 구매 가능하며, 클라우드 버전과 온-프레미스 버전이 제공된다.

테너블닷아이오 콘테이너 시큐리티(Tenable.io Container Security)
테너블닷아이오 콘테이너 시큐리티는 데브옵스 팀에게 실제 생산 과정보다는 빌드 프로세스 중 콘테이너 보안에 대한 가시성을 제공하는 데 초점을 맞췄다.

빌드 시 말웨어, 취약점 및 정책 컴플라이언스를 중점적으로 콘테이너 이미지를 검사한다. 이미지 또는 이미지의 어떤 요소가 위험 신호를 보내면, 개발자는 문제의 특성과 문제가 발생한 정확한 위치(예컨대 다중 레이어 이미지에서 특정 레이어)에 대해 알림을 받을 수 있어 다음 단계를 신속하게 수정할 수 있다.

테너블닷아이오 콘테이너 시큐리티는 일반적인 CI/CD 빌드 시스템 및 콘테이너 이미지 레지스트리에서 작동하며, 실행 중인 모든 콘테이너 이미지의 현재 상태, 그리고 정책 적용 상태 및 저장소 동작을 보여주는 대시보드 뷰를 제공한다.

테너블닷아이오 콘테이너 시큐리티의 가격 정책은 별도로 요청해 받아 볼 수 있다. 60일 간의 무료 체험판도 존재한다.

트위스트락 (Twistlock)
트위스트락은 도커 엔터프라이즈와 같은 "핵심" 콘테이너 제품에서 다루지 않는, 여러 가지 콘테이너 보안 제어 기능을 추가하고 있다. 이러한 보안 제어 기능에는 다음과 같은 것들이 포함된다.

- 콘테이너에 HIPAA 및 PCI 규칙을 적용하기 위한 컴플라이언스 컨트롤
- 젠킨스 등 빌드 도구에 대한 컴플라이언스 경고.
- 클라우드 네이티브 애플리케이션 방화벽
- 유효하거나 유효하지 않은 콘테이너 동작의 분석에 기초한 런타임 공격 보호.
- 쿠버네티스의 CIS 벤치마크에 대한 지원. 이를 통해 쿠버네티스에서 관리하는 디플로이먼트를 쿠버네티스 보안을 위한 일반적인 기준과 비교 및 확인이 가능하다.

2018년 8월에 출시된 트위스트락 2.5에는 런타임 오버헤드를 줄이는 새로운 포렌식 기법(일례로, 콘테이너 외부에 사전 및 사후 콘테이너 상태 정보를 저장할 수 있게 되었다), 네임스페이스(namespace), 팟(pods), 그리고 콘테이너 매핑을 위한 실시간 시각화 도구 향상 기능이 추가됐다. 또한 서버리스 컴퓨팅 시스템을 위한 보안도 추가됐다.

트위스트락은 유료 엔터프라이즈 에디션으로 제공되고 있다. 한때 무료 30일 평가판이 제공 되기도 했지만 현재는 중단된 상태다. ciokr@idg.co.kr
 

2018.11.26

도커 및 쿠버네티스를 위한 콘테이너 보안 툴 7종

Serdar Yegulal | InfoWorld
도커 콘테이너를 이용하면 소프트웨어 개발자가 애플리케이션을 더 빨리 구축하고 더 유연하게 배포할 수 있다. 또한 개발자 소프트웨어를 더욱 안전하게 만들 수 있도록 돕기도 한다. 

콘테이너가 전체 애플리케이션 라이프사이클에서 보안을 강화하는 방법은 여러 가지가 있다. 콘테이너에 내장되는 소프트웨어 구성요소의 자동 분석, 콘테이너 클러스터와 여러 애플리케이션 버전을 아우르는 행동 정책, 그리고 취약성 데이터 추적 및 관리를 위한 기술 등이 대표적이다. 

하지만, 이 중 얼마나 많은 것들이 효과를 발휘하느냐는 또 다른 이야기라 할 수 있다. 쿠버네티스와 같은 도커 및 콘테이너 관리 시스템은 항상 기본은 하지만 그 이상을 보장해 주지는 않는다. 더 높은 수준의 보안 모니터링 및 시행을 위해서는 서드파티 툴을 활용해야 한다. 

최근 업데이트 된 7가지 콘테이너 보안 제품 및 서비스들을 정리했다. 이들은 클라우드와 자체 데이터센터 모두에서 취약점 탐지, 컴플라이언스 검사, 화이트리스트, 방화벽, 런타임 보호 등의 기능을 콘테이너에 제공한다.

아포레토(Aporeto)
아포레토는 아래에서 자세히 설명할 뉴벡터 제품과 비슷하게 런타임 보호에 집중한 솔루션이다. 아포레토는 쿠버네티스 워크로드를 보호하기 위한 마이크로 서비스 보안 제품과, 분산 환경에서 실행되는 애플리케이션을 보호하기 위한 클라우드 네트워크 방화벽 시스템을 제공한다.

쿠버네티스의 워크로드를 보호함으로써 아포레토는 온-프레미스 및 관리 환경(구글의 쿠버네티스 엔진 등)을 모두 보호할 수 있다. 모든 리소스에는 애플리케이션 주위의 신뢰 체인이 손상되지 않도록 하는 데 사용되는 서비스 ID가 할당된다. 서비스 ID는 애플리케이션용 포드가 실제로 어디에 있는지 관계없이 애플리케이션 동작을 시행하는 데 사용된다.

아포레토 가격 정책은 계좌를 등록한 후 요청하면 받아볼 수 있다. 무료 평가는 30일간 가능하다.

아쿠아 콘테이너 시큐리티 플랫폼(Aqua Container Security Platform)
아쿠아 콘테이너 시큐리티 플랫폼은 리눅스 콘테이너와 윈도우 콘테이너에 대한 컴플라이언스 및 런타임 보안을 제공한다.

Dl 엔드-투-엔드 콘테이너 보안 관리자를 통해 관리자는 보안 정책과 위험 프로파일을 애플리케이션에 적용하고, 이러한 프로파일을 다른 애플리케이션 빌드 파이프라인에 연결할 수 있다. 이미지 스캐닝 기능은 빌드 및 CI/CD 도구와 통합 가능하다. 

또한 아쿠아 콘테이너 시큐리티 플랫폼을 통해 관리자는 애플리케이션 컨텍스트를 사용하여 런타임 시 애플리케이션 세그먼트 네트워크를 사용할 수 있다. 아쿠아 플랫폼은 하시코프 볼트(Hasicorp Vault)와 같은 비밀 관리 도구와 연동 가능하며, 소프트웨어 구성 요소에서 메타데이터에 액세스할 수 있는 그라파스(Grafas) API를 지원한다. 

아쿠아 플랫폼은 애플리케이션의 그라파스 스토어에서 발견한 모든 취약성 정보를 기록할 수 있으며, 아쿠아 정책은 보안 사건 및 소프트웨어 문제에 그라파스 정의 데이터를 사용한다.

아쿠아 콘테이너 시큐리티 플랫폼은 온프레미스 또는 클라우드 내 구축에 사용할 수 있다. 무료 평가판 또는 오픈소스 https://www.aquasec.com/products/open-source-projects/ 버전은 사용할 수 없지만, 아쿠아는 이 플랫폼에서 파생된 여러 오픈소스 도구를 출시하고 있다.

아토믹 시큐어드 도커(Atomic Secured Docker)
아토믹 시큐어드 도커는 우분투, 센트OS 및 레드햇 엔터프라이즈 리눅스를 위한 대체 리눅스 커널로, 잠재적인 공격을 상쇄하기 위해 다양한 강화 전략을 사용한다. 사용자 랜드 메모리에 대한 강화된 사용 권한 등, 여러 가지 보호 기능들이 아토믹코프(Atomicorp)의 보안 커널 제품 일반 라인에서 파생되어 있다. 콘테이너 브레이크아웃 보호와 같이 도커용으로 특별히 설계된 것들도 있다.

아토믹 시큐어드 도커는 직접 구매를 통해 구입할 수 있다. AWS 호스팅 센트OS, 애저 호스팅 센트OS 및 우분투 버전은 AWS 및 애저 마켓에서 구매 가능하다.

뉴벡터(NeuVector)
뉴벡터는 전체 쿠버네티스 클러스터를 보호하도록 설계된 도구다. 레드햇 오픈시프트(OpenShift) 및 도커 엔터프라이즈 에디션(Docker Enterprise Edition)과 같은 기존 쿠버네티스 관리 솔루션과 연동되며, 젠킨스(Jenkins) 플러그인이 개발돼 있어, 배포의 모든 단계에서 애플리케이션을 보호할 수 있다.

여기 소개한 다른 솔루션들과 마찬가지로, 뉴벡터는 기존 코드를 수정하지 않고 기존 쿠버네티스 클러스터에 콘테이너로 배치되는 특징을 가지고 있다. 클러스터에 뉴벡터를 추가하면 호스팅된 모든 콘테이너를 검색하고 연결 및 동작을 상세히 설명하는 맵이 생성된다. 애플리케이션 증가 및 감소로 인한 모든 변경 사항을 탐지하고 고려하므로, (콘테이너 중단 또는 새로운 취약성을 포함한) 위협 요소에 대한 실시간 검색이 여전히 유효하다.

뉴벡터의 가격은 구동 중인 도커 호스트의 수에 기반해 책정되며, 연 9,950달러에서 시작한다. 무료 체험 버전도 제공하고 있다.

시스딕 시큐어(Sysdig Secure)
시스딕 시큐어는 콘테이너 런타임 환경을 모니터링하고 이러한 환경에서 포렌식 결과를 얻기 위한 일련의 도구를 제공한다. 시스딕 시큐어는 시스딕의 다른 도구들(예를 들어 시스딕 모니터)과 함께 직접 작동하도록 설계ehoT다.

환경에 대한 정책은 애플리케이션, 콘테이너, 호스트 또는 네트워크 작업별로 설정하고 적용하는 것이 가능하다. 시스딕 시큐어로 추적되는 모든 이벤트는 호스트나 콘테이너 또는 오케스트레이터 렌즈(일반적으로 쿠버네티스)를 통해 볼 수 있다. 모든 콘테이너의 명령 내역을 기록하고 검토할 수 있으며, 클러스터 전반의 포렌식 전반을 마치 트위스트락(Twistlock)의 ‘사건 탐색기’(incident explorer) 기능과 유사한 방식으로 기록 및 재생할 수 있다.

시스딕 시큐어는 유료로만 구매 가능하며, 클라우드 버전과 온-프레미스 버전이 제공된다.

테너블닷아이오 콘테이너 시큐리티(Tenable.io Container Security)
테너블닷아이오 콘테이너 시큐리티는 데브옵스 팀에게 실제 생산 과정보다는 빌드 프로세스 중 콘테이너 보안에 대한 가시성을 제공하는 데 초점을 맞췄다.

빌드 시 말웨어, 취약점 및 정책 컴플라이언스를 중점적으로 콘테이너 이미지를 검사한다. 이미지 또는 이미지의 어떤 요소가 위험 신호를 보내면, 개발자는 문제의 특성과 문제가 발생한 정확한 위치(예컨대 다중 레이어 이미지에서 특정 레이어)에 대해 알림을 받을 수 있어 다음 단계를 신속하게 수정할 수 있다.

테너블닷아이오 콘테이너 시큐리티는 일반적인 CI/CD 빌드 시스템 및 콘테이너 이미지 레지스트리에서 작동하며, 실행 중인 모든 콘테이너 이미지의 현재 상태, 그리고 정책 적용 상태 및 저장소 동작을 보여주는 대시보드 뷰를 제공한다.

테너블닷아이오 콘테이너 시큐리티의 가격 정책은 별도로 요청해 받아 볼 수 있다. 60일 간의 무료 체험판도 존재한다.

트위스트락 (Twistlock)
트위스트락은 도커 엔터프라이즈와 같은 "핵심" 콘테이너 제품에서 다루지 않는, 여러 가지 콘테이너 보안 제어 기능을 추가하고 있다. 이러한 보안 제어 기능에는 다음과 같은 것들이 포함된다.

- 콘테이너에 HIPAA 및 PCI 규칙을 적용하기 위한 컴플라이언스 컨트롤
- 젠킨스 등 빌드 도구에 대한 컴플라이언스 경고.
- 클라우드 네이티브 애플리케이션 방화벽
- 유효하거나 유효하지 않은 콘테이너 동작의 분석에 기초한 런타임 공격 보호.
- 쿠버네티스의 CIS 벤치마크에 대한 지원. 이를 통해 쿠버네티스에서 관리하는 디플로이먼트를 쿠버네티스 보안을 위한 일반적인 기준과 비교 및 확인이 가능하다.

2018년 8월에 출시된 트위스트락 2.5에는 런타임 오버헤드를 줄이는 새로운 포렌식 기법(일례로, 콘테이너 외부에 사전 및 사후 콘테이너 상태 정보를 저장할 수 있게 되었다), 네임스페이스(namespace), 팟(pods), 그리고 콘테이너 매핑을 위한 실시간 시각화 도구 향상 기능이 추가됐다. 또한 서버리스 컴퓨팅 시스템을 위한 보안도 추가됐다.

트위스트락은 유료 엔터프라이즈 에디션으로 제공되고 있다. 한때 무료 30일 평가판이 제공 되기도 했지만 현재는 중단된 상태다. ciokr@idg.co.kr
 

X