Offcanvas

������������������

'대세' 쿠버네티스, 문제는 '보안'··· 베스트 보안 프랙티스 5가지

세상에 등장한 지 6년이 채 되지 않았지만 ‘쿠버네티스’는 널리 사랑받는 컨테이너 오케스트레이션 프로그램으로 자리 잡았다. 하지만 인기를 얻는 만큼이나 원치 않는 유명세를 치르기 마련이다. 쿠버네티스를 사용한다면 보안에 만전을 기해야 한다. 물론 쉽지 않다.   클라우드 및 인프라 모니터링 업체 데이터독(Datadog)에 따르면 쿠버네티스가 컨테이너 시장을 지배하고 있다. 이 회사는 “컨테이너를 사용하는 데이터독 고객 가운데 45%가 쿠버네티스를 쓴다”라고 설명했다. 또한 데이터독은 마라톤(Marathon)과 도커스웜 모드(Docker swarm mode) 같은 다른 컨테이너 오케스트레이션 프로그램의 시장점유율은 감소했다고 덧붙였다.  퍼블릭 클라우드 부문에서도 쿠버네티스는 인기가 많다. 데이터독은 “자사 집계에 의하면 애저에서 컨테이너를 운용하는 데이터독 고객 중 약 80%가 현재 쿠버네티스를 사용한다”라고 말했다.  하지만 인기를 얻는 만큼이나 원치 않는 유명세를 치르기 마련이다. 이를테면 윈도우 사용자라면 잘 알겠지만 프로그램의 인기가 높을수록 공격받을 확률은 올라간다. 쿠버네티스도 마찬가지다. 쿠버네티스를 사용한다면 보안에 만전을 기해야 한다. 물론 쉽지 않다. 최근 쿠버네티스를 관장하는 CNCF(Cloud Native Computing Foundation)는 보안 업체 트레일 오브 비츠(Trail of Bits), 아트레디스 파트너스(Atredis Partners)에 보안 감사를 요청했다.  트레일 오브 비츠는 “일부 구성 요소의 기본값 설정이 복잡하거나 운영 통제가 누락되는 등 쿠버네티스 구성 및 배포 측면에서 적지 않은 문제가 있다”라고 지적했다.  정말 쉽지 않은 일이다. 그래도 노력을 멈출 순 없다. 여기서는 쿠버네티스를 안전하게 만드는 5가지 방법을 살펴본다. 1. 컨테이너 자체가 안전한지 확인한다 컨테이너가 엉망이라면 쿠버네티스 역시 안전할 수 없다. 지난해, 보안 업체 스니크(Sn...

쿠버네티스 컨테이너 보안 퍼블릭 클라우드 데이터독 마라톤 도커 도커스웜모드 AWS 마이크로소프트 애저 구글 클라우드 플랫폼 CNCF 리눅스 커널 역할 기반 액세스 제어 RBAC 클러스터 쿠버네티스 시크릿 API 네트워크

2020.09.02

세상에 등장한 지 6년이 채 되지 않았지만 ‘쿠버네티스’는 널리 사랑받는 컨테이너 오케스트레이션 프로그램으로 자리 잡았다. 하지만 인기를 얻는 만큼이나 원치 않는 유명세를 치르기 마련이다. 쿠버네티스를 사용한다면 보안에 만전을 기해야 한다. 물론 쉽지 않다.   클라우드 및 인프라 모니터링 업체 데이터독(Datadog)에 따르면 쿠버네티스가 컨테이너 시장을 지배하고 있다. 이 회사는 “컨테이너를 사용하는 데이터독 고객 가운데 45%가 쿠버네티스를 쓴다”라고 설명했다. 또한 데이터독은 마라톤(Marathon)과 도커스웜 모드(Docker swarm mode) 같은 다른 컨테이너 오케스트레이션 프로그램의 시장점유율은 감소했다고 덧붙였다.  퍼블릭 클라우드 부문에서도 쿠버네티스는 인기가 많다. 데이터독은 “자사 집계에 의하면 애저에서 컨테이너를 운용하는 데이터독 고객 중 약 80%가 현재 쿠버네티스를 사용한다”라고 말했다.  하지만 인기를 얻는 만큼이나 원치 않는 유명세를 치르기 마련이다. 이를테면 윈도우 사용자라면 잘 알겠지만 프로그램의 인기가 높을수록 공격받을 확률은 올라간다. 쿠버네티스도 마찬가지다. 쿠버네티스를 사용한다면 보안에 만전을 기해야 한다. 물론 쉽지 않다. 최근 쿠버네티스를 관장하는 CNCF(Cloud Native Computing Foundation)는 보안 업체 트레일 오브 비츠(Trail of Bits), 아트레디스 파트너스(Atredis Partners)에 보안 감사를 요청했다.  트레일 오브 비츠는 “일부 구성 요소의 기본값 설정이 복잡하거나 운영 통제가 누락되는 등 쿠버네티스 구성 및 배포 측면에서 적지 않은 문제가 있다”라고 지적했다.  정말 쉽지 않은 일이다. 그래도 노력을 멈출 순 없다. 여기서는 쿠버네티스를 안전하게 만드는 5가지 방법을 살펴본다. 1. 컨테이너 자체가 안전한지 확인한다 컨테이너가 엉망이라면 쿠버네티스 역시 안전할 수 없다. 지난해, 보안 업체 스니크(Sn...

2020.09.02

도커 컴포즈 스펙, 개방형 표준으로 깃허브에 공개

다중 컨테이너용 애플리케이션 생성에 활용되는 도커의 이 시스템을 이제 깃허브에서 누구나 사용할 수 있게 됐다.  도커가 다중 컨테이너 애플리케이션을 정의하기 위해 만든 시스템인 도커 컴포즈(Docker Compose)가 이제 개방형 표준으로 개발된다.    새로운 표준 규격인 ‘컴포즈 스펙(Compose Specification)’은 컴포즈에서 생성한 앱이 여러 다중 컨테이너 정의 시스템에서 작동할 수 있도록 하기 위한 것이다. 예를 들어 다중 컨테이너 정의 시스템에는 쿠버네티스(Kubernetes) 및 아마존 엘라스틱 컨테이너 서비스(Amazon Elastic Container Service)와 같은 플랫폼이 있다.  지금까지 컴포즈는 도커가 먼저 설치돼 있어야 했고, 파일 형식 레퍼런스로만 존재했다. 또한 오픈소스 기반이었지만 계속해서 도커(회사)에 의해 개발 및 관리됐으며, 도커(제품)에서만 사용됐다. 도커의 계획은 이 규격을 개방형 표준으로 제공하는 것은 물론, 툴을 개발하고 새로운 표준 지원을 확장하는 데 기여하고자 하는 오픈소스 지지자들을 확보하려는 것이다. 컴포즈는 쿠버네티스 헬름(Kubernetes Helm)과 같은 다른 다중 컨테이너 앱 솔루션보다 복잡하지 않으며, 컨테이너를 앱으로 조정할 수 있는 기능만 필요한 개발자들에게 여전히 인기가 있다. (컨테이너 오케스트레이션 툴인 도커 스웜 모드(Docker swarm mode)는 쿠버네티스를 대체할 수 있는 경량화된 시스템이라는 장점이 있다.) 도커 컴포즈로 생성된 일반적인 복합 애플리케이션의 예는 깃허브에서 쉽게 사용해볼 수 있다.    --------------------------------------------------------------- 도커 인기기사 ->도커 101 : 가장 중요한 질문 8가지 -> 프리뷰 | 윈도우 서버 2016에서 '도커' 실행해보니 -> CIO는 컨테이너 기술을 수용할 준비가 되지 ...

오픈소스 아마존 엘라스틱 컨테이너 서비스 도커컴포즈 도커스웜모드 다중컨테이너 쿠버네티스 도커 깃허브 컨테이너 애저 AWS 마이크로소프트 쿠버네티스헬름

2020.04.08

다중 컨테이너용 애플리케이션 생성에 활용되는 도커의 이 시스템을 이제 깃허브에서 누구나 사용할 수 있게 됐다.  도커가 다중 컨테이너 애플리케이션을 정의하기 위해 만든 시스템인 도커 컴포즈(Docker Compose)가 이제 개방형 표준으로 개발된다.    새로운 표준 규격인 ‘컴포즈 스펙(Compose Specification)’은 컴포즈에서 생성한 앱이 여러 다중 컨테이너 정의 시스템에서 작동할 수 있도록 하기 위한 것이다. 예를 들어 다중 컨테이너 정의 시스템에는 쿠버네티스(Kubernetes) 및 아마존 엘라스틱 컨테이너 서비스(Amazon Elastic Container Service)와 같은 플랫폼이 있다.  지금까지 컴포즈는 도커가 먼저 설치돼 있어야 했고, 파일 형식 레퍼런스로만 존재했다. 또한 오픈소스 기반이었지만 계속해서 도커(회사)에 의해 개발 및 관리됐으며, 도커(제품)에서만 사용됐다. 도커의 계획은 이 규격을 개방형 표준으로 제공하는 것은 물론, 툴을 개발하고 새로운 표준 지원을 확장하는 데 기여하고자 하는 오픈소스 지지자들을 확보하려는 것이다. 컴포즈는 쿠버네티스 헬름(Kubernetes Helm)과 같은 다른 다중 컨테이너 앱 솔루션보다 복잡하지 않으며, 컨테이너를 앱으로 조정할 수 있는 기능만 필요한 개발자들에게 여전히 인기가 있다. (컨테이너 오케스트레이션 툴인 도커 스웜 모드(Docker swarm mode)는 쿠버네티스를 대체할 수 있는 경량화된 시스템이라는 장점이 있다.) 도커 컴포즈로 생성된 일반적인 복합 애플리케이션의 예는 깃허브에서 쉽게 사용해볼 수 있다.    --------------------------------------------------------------- 도커 인기기사 ->도커 101 : 가장 중요한 질문 8가지 -> 프리뷰 | 윈도우 서버 2016에서 '도커' 실행해보니 -> CIO는 컨테이너 기술을 수용할 준비가 되지 ...

2020.04.08

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8