벤더 기고 | 쿠버네티스 및 컨테이너 보안을 위한 업틱스의 핵심 기능 7가지

많은 조직이 쿠버네티스 및 컨테이너 여정의 시작 단계에 있다. 그러나 배포를 확장하는 과정에서 복잡성 문제에 직면하는 일부 앞선 기업들도 있다. 컨테이너화 된 애플리케이션은 상당한 이점을 제공하지만 동시에 새로운 유형의 보안 문제 또한 초래한다.

업틱스(Uptycs)는 단일 플랫폼, UI 및 데이터 모델에서 위협, 취약성, 잘못된 구성, 민감 데이터 노출 및 컴플라이언스 의무에 대한 대응을 우선순위화 함으로써 클라우드 및 온프레미스 컨테이너 워크로드의 위험을 줄인다. 

또 업틱스는 쿠버네티스 컨트롤 플레인(Kubernetes control plane) 공격과 관련된 컨테이너 런타임에 대한 위협 탐지 기능을 제공한다. 그리고 이 제품은 레지스트리의 컨테이너 이미지에서의 취약성, 맬웨어, 자격 증명, 비밀 키 및 기타 중요 정보 스캐닝을 지원한다. 이러한 기능들은 아마존 엘라스틱 쿠버네티스 서비스(Amazon Elastic Kubernetes Service), 애저 쿠버네티스 서비스(Azure Kubernetes Service) 및 구글 쿠버네티스 엔진(Google Kubernetes Engine)와 같은 관리형 서비스뿐만 아니라 자체 관리형 쿠버네티스 배포에도 사용 가능하다. 

전반적으로 업틱스 솔루션군은 팀 간 조율 강화, 쿠버네티스 및 컨테이너 배포의 데이터 사일로 제거, 위협 탐지 및 대응 시간 단축, 잘못된 구성 및 취약성과 같은 리스크의 신속한 식별을 지원한다. 

리눅스 컨테이너 배포와 eBPF
eBPF(extended Berkeley Packet Filter) 기술은 업틱스 컨테이너 런타임 관측가능성의 기반이다. 업틱스 센서는 eBPF를 사용해 리눅스 커널의 프로세스, 파일 및 소켓 이벤트를 캡처한다. eBPF는 대용량 이벤트 데이터 모니터링을 위한 실시간 관찰가능성, 속도 및 편의를 제공한다. 

또한 eBPF는 리눅스 커널과 상호 작용하는 안전한 방법이며 오딧디 프레임워크(auditd framework)에 연결하는 것보다 더 선호되는 대안이다. JIT(just-in-time, JIT) 컴파일러이기도 하다. 바이트 코드가 컴파일 된 후에는 모든 방법에 대해 바이트코드가 새로 해석되기 보다는 eBPF가 호출된다. 

업틱스는 eBPF를 통해 리눅스 커널에 프로브를 삽입해 관심 이벤트를 모니터링한다. 이는 센서가 시작되고 정보를 사용자 공간 프로세스에 재전달 하는 과정에서 진행되므로 심층적 보안 모니터링에 필요한 리소스 활용을 상당히 감소시킨다. eBPF는 이러한 프로세스에 맞춰 쉽게 구성되며 어떤 배포 지연도 발생시키지 않는다. 

또한 프로세스 추적을 위한 강력하고 액세스가 가능한 단일 통합 추적 프레임워크를 제공한다. eBPF 사용은 추가 계층 추가 없이도 환경의 기능 풍부성(feature richness)을 높인다. 마찬가지로 eBPF 코드가 커널에서 직접 실행되므로 다른 추적기와 같이 데이터를 덤프(dump)하지 않고 eBPF 이벤트 간에 데이터를 저장할 수 있다.  

컨테이너 런타임 위협 탐지
컨테이너 배포 확장은 팀이 보안 및 보호하는 임시 자산(ephemeral assets)의 증가를 의미한다. 업틱스는 eBPF를 통해 수집된 상세 원격 측정을 사용해 실시간으로 악의적 행동을 감지해 마이터 어택 프레임워크(Mitre Attack framework)에 맵핑 할 수 있다. 또한 업틱스는 실행 중인 노드 및 컨테이너에서 위협을 탐지해 프로세스 이벤트, 파일 이벤트, DNS 조회, 소켓 이벤트 등을 포괄하는 세분화된 컨테이너 및 노드 원격 측정을 캡처한다.  

데이터는 실시간으로 SQL 테이블로 정규화 되어 수백 개의 신호를 묶는 복잡한 탐지 프레임워크를 원활히 구성할 수 있다. 200개 이상의 야라 규칙(Yara rules)은 바이너리에서 맬웨어 서명을 스캐닝 하는 한편, 1,300개 이상의 동작 규칙(behavioral rules)은 실시간 이벤트 원격 측정의 신호를 모니터링한다 

쿠버네티스 컨트롤 플레인 잠그기
쿠버네티스 컨트롤 플레인은 공격자가 노리는 고가치 표적(high-value target)이다. 공격자는 컨트롤 플레인에서 특권 컨테이너(privileged containers)를 생성하고, 구성 표준을 캡처하며, 클라우드 인프라에 더 깊이 들어갈 수 있다. 업틱스의 경우, 포드, 배포, 컨피그맵(configmaps), 인그레스(ingress), RBAC 등에 걸친 모든 쿠버네티스 오브젝트(Kubernetes objects)를 포함하는 50개 이상의 원격 측정 테이블을 캡처한다. 

이러한 원격 측정은 단일 소스를 통해 컴플라이언스, 위협 및 취약성에 대한 다중 클러스터 가시성을 제공한다. 매크로 보기에서 네임스페이스, 포드 및 워크로드에 이르기까지, 업틱스 원격 측정의 목표는 컴플라이언스 가시성에서 런타임 위협에 이르기까지 모든 인프라 질문에 답하는 것이다. 

예를 들어, 손상된 쿠버네티스 컨트롤 플레인에서 공격자는 특수 권한 컨테이너를 찾거나 직접 만든다. 업틱스는 쿠버네티스 클러스터에서 생성되는 특수 권한 포드에 대한 명령을 모니터링해 이러한 공격 생성 시 공격자를 차단하는 한편, 사용자가 과도한 권한이 부여된 배포가 아닌 적절한 권한이 부여된 불변의 컨테이너를 구축하도록 권장한다. 

컨트롤 플레인 및 데이터 플레인 데이터의 통합
공격자 행위 추적을 위해서는 쿠버네티스 인프라의 각기 다른 섹션에서 수집된 데이터를 상호 연관시키는 게 상당히 중요하다. 공격자는 지속적으로 인프라 전반을 살펴 컨테이너 탈출 공격을 시도하곤 한다. 반면 기업은 이러한 여러 데이터 소스를 함께 캡처, 저장 및 처리하는 데 어려움을 겪는다. 실행 중인 컨테이너 및 쿠버네티스 컨트롤 플레인 전반에 걸친 런타임 위협을 상호 연관시키려면 상당한 노력을 필요로 한다.

업틱스는 컨트롤 플레인 및 데이터 플레인에서 데이터를 캡처해 이러한 소스를 실시간으로 결합하여 즉각적 탐지 기능을 제공한다. 

개발자 친화적 레지스트리 스캐닝
레지스트리 스캐닝(Registry scanning)은 데브옵스 보안의 중요 요소다. 배포 속도는 점차 빨라지고 있으므로 컨테이너 이미지가 런타임 도달 전에 골든(golden) 상태가 되는 게 상당히 중요하다. 부담은 더 좌측으로 이동하고 있으며, 보안팀은 데브옵스 프로세스 지원을 위한 안정적이고 원활한 방법이 필요하다. 취약성 탐지만으로는 더 이상 충분치 않다. 취약성의 우선순위 설정 방법이 필요하다. 

개발, 운영 및 보안 팀에 걸친 수정작업 조율은 쉽지 않다. 업틱스의 경우, 이러한 팀들을 위한 안내 목적으로 취약점의 종류뿐만 아니라 수정작업 방법 표시를 위한 중요한 컨텍스트를 스마트 지표를 통해 제공한다. 심각도 점수 제공만으로는 충분치 않다. 팀들은 네트워크 포트가 인터넷에 개방되어 있는지 혹은 해당 소프트웨어가 실제로 실행되고 있는지 여부를 인지해야 한다. 

업틱스는 컨테이너 레지스트리에서 6만 개의 리눅스 CVE 및 700만 개의 지표를 스캐닝 할 수 있다. 자동 스캐닝의 경우, 레지스트리 보안 태세의 원활한 모니터링 및 업데이트를 위해 게시됨에 따라 새로운 CVE를 통합한다. 지원되는 레지스트리에는 제이프로그 아티팩토리(JFrog Artifactory), 아마존 일래스틱 컨테이너 레지스트리, 구글 컨테이너 레지스트리, 애저 컨테이너 레지스트리 및 도커 허브 등이 있다. 

임베디드 시크릿의 발견
퍼블릭 및 임베디드 시크릿은 공격자의 일반적인 진입점이 되고 있다. 공격자가 파워셸(PowerShell) 스크립트에 포함된 하드 코딩 된 자격 증명을 도용해 우버를 침해했던 2022년 후반의 사건이 한 사례다.
https://cyber-reports.com/2022/09/17/uber-hack-linked-to-hardcoded-secrets-spotted-in-powershell-script/   
업틱스를 사용할 경우, 젠킨스(Jenkins), 깃랩(GitLab) 및 깃허브 액션(GitHub Actions)의 CI/CD 파이프라인에 통합된 야라 규칙 및 100개 이상의 정규식 기반 경고(regex-based alerts)를 활용해 이미지에서 임베디드 시크릿을 스캐닝해 찾아낼 수 있다. 또한 시크릿이 발견되었을 경우, 이미지 빌드가 프로덕션에 도달하지 못하게 함으로써 개발팀에 더 많은 지원을 제공할 수 있다. 

쿠버네티스 배포를 위한 NSA 하드닝 검사
쿠버네티스 컨트롤 플레인은 컨테이너 배포를 위한 중앙 명령 및 제어 API 서버다. 따라서 최고 수준의 보안이 필요하며 런타임에서의 이미지 보호 및 강화가 더욱 필요하다. NSA와 CSIA가 포드 보안 및 네트워크 세분화를 위한 공개된 구성을 통해 K8 및 컨테이너 런타임 배포 보안 강화에 대한 광범위한 지침을 발표한 이유다. 

이러한 표준은 실행 중인 컨테이너를 다운 시키기 위한 디도스 공격, 암호화 요소로의 전환을 위한 컨테이너 탈취, 데이터 유출과 같은 3가지의 핵심 공격자 목표로 인한 위협을 완화한다. 

업틱스는 이러한 NSA 지침 규칙을 컴플라이언스 규칙으로 변환했다. 예를 들어, ‘호스트PID 액세스가 있는 컨테이너 거부’ 규칙 세트의 적용은 규칙 세트를 활성화하는 것만큼이나 쉽다. 그런 다음 쿠버네티스 플레인에서 컨테이너가 실행된 후, 공격자가 권한 에스컬레이션을 위해 컨테이너를 변경하거나 해당 컨테이너가 골든 이미지에서 벗어나지 않도록 런타임은 지속적으로 NSA 하드닝 검사 목록에 따라 검증될 것이다. 

* Ganesh Pai는 업틱스 CEO이자 설립자다. ciokr@idg.co.kr