Offcanvas

RBAC

'대세' 쿠버네티스, 문제는 '보안'··· 베스트 보안 프랙티스 5가지

세상에 등장한 지 6년이 채 되지 않았지만 ‘쿠버네티스’는 널리 사랑받는 컨테이너 오케스트레이션 프로그램으로 자리 잡았다. 하지만 인기를 얻는 만큼이나 원치 않는 유명세를 치르기 마련이다. 쿠버네티스를 사용한다면 보안에 만전을 기해야 한다. 물론 쉽지 않다.   클라우드 및 인프라 모니터링 업체 데이터독(Datadog)에 따르면 쿠버네티스가 컨테이너 시장을 지배하고 있다. 이 회사는 “컨테이너를 사용하는 데이터독 고객 가운데 45%가 쿠버네티스를 쓴다”라고 설명했다. 또한 데이터독은 마라톤(Marathon)과 도커스웜 모드(Docker swarm mode) 같은 다른 컨테이너 오케스트레이션 프로그램의 시장점유율은 감소했다고 덧붙였다.  퍼블릭 클라우드 부문에서도 쿠버네티스는 인기가 많다. 데이터독은 “자사 집계에 의하면 애저에서 컨테이너를 운용하는 데이터독 고객 중 약 80%가 현재 쿠버네티스를 사용한다”라고 말했다.  하지만 인기를 얻는 만큼이나 원치 않는 유명세를 치르기 마련이다. 이를테면 윈도우 사용자라면 잘 알겠지만 프로그램의 인기가 높을수록 공격받을 확률은 올라간다. 쿠버네티스도 마찬가지다. 쿠버네티스를 사용한다면 보안에 만전을 기해야 한다. 물론 쉽지 않다. 최근 쿠버네티스를 관장하는 CNCF(Cloud Native Computing Foundation)는 보안 업체 트레일 오브 비츠(Trail of Bits), 아트레디스 파트너스(Atredis Partners)에 보안 감사를 요청했다.  트레일 오브 비츠는 “일부 구성 요소의 기본값 설정이 복잡하거나 운영 통제가 누락되는 등 쿠버네티스 구성 및 배포 측면에서 적지 않은 문제가 있다”라고 지적했다.  정말 쉽지 않은 일이다. 그래도 노력을 멈출 순 없다. 여기서는 쿠버네티스를 안전하게 만드는 5가지 방법을 살펴본다. 1. 컨테이너 자체가 안전한지 확인한다 컨테이너가 엉망이라면 쿠버네티스 역시 안전할 수 없다. 지난해, 보안 업체 스니크(Sn...

쿠버네티스 컨테이너 보안 퍼블릭 클라우드 데이터독 마라톤 도커 도커스웜모드 AWS 마이크로소프트 애저 구글 클라우드 플랫폼 CNCF 리눅스 커널 역할 기반 액세스 제어 RBAC 클러스터 쿠버네티스 시크릿 API 네트워크

2020.09.02

세상에 등장한 지 6년이 채 되지 않았지만 ‘쿠버네티스’는 널리 사랑받는 컨테이너 오케스트레이션 프로그램으로 자리 잡았다. 하지만 인기를 얻는 만큼이나 원치 않는 유명세를 치르기 마련이다. 쿠버네티스를 사용한다면 보안에 만전을 기해야 한다. 물론 쉽지 않다.   클라우드 및 인프라 모니터링 업체 데이터독(Datadog)에 따르면 쿠버네티스가 컨테이너 시장을 지배하고 있다. 이 회사는 “컨테이너를 사용하는 데이터독 고객 가운데 45%가 쿠버네티스를 쓴다”라고 설명했다. 또한 데이터독은 마라톤(Marathon)과 도커스웜 모드(Docker swarm mode) 같은 다른 컨테이너 오케스트레이션 프로그램의 시장점유율은 감소했다고 덧붙였다.  퍼블릭 클라우드 부문에서도 쿠버네티스는 인기가 많다. 데이터독은 “자사 집계에 의하면 애저에서 컨테이너를 운용하는 데이터독 고객 중 약 80%가 현재 쿠버네티스를 사용한다”라고 말했다.  하지만 인기를 얻는 만큼이나 원치 않는 유명세를 치르기 마련이다. 이를테면 윈도우 사용자라면 잘 알겠지만 프로그램의 인기가 높을수록 공격받을 확률은 올라간다. 쿠버네티스도 마찬가지다. 쿠버네티스를 사용한다면 보안에 만전을 기해야 한다. 물론 쉽지 않다. 최근 쿠버네티스를 관장하는 CNCF(Cloud Native Computing Foundation)는 보안 업체 트레일 오브 비츠(Trail of Bits), 아트레디스 파트너스(Atredis Partners)에 보안 감사를 요청했다.  트레일 오브 비츠는 “일부 구성 요소의 기본값 설정이 복잡하거나 운영 통제가 누락되는 등 쿠버네티스 구성 및 배포 측면에서 적지 않은 문제가 있다”라고 지적했다.  정말 쉽지 않은 일이다. 그래도 노력을 멈출 순 없다. 여기서는 쿠버네티스를 안전하게 만드는 5가지 방법을 살펴본다. 1. 컨테이너 자체가 안전한지 확인한다 컨테이너가 엉망이라면 쿠버네티스 역시 안전할 수 없다. 지난해, 보안 업체 스니크(Sn...

2020.09.02

기고 | 역할 기반 접근 관리를 구현하는 5단계

RBAC은 조직에서 자신의 역할에 따라 사용자에게 시스템 접근 권한을 할당하는 개념이다. 모든 직원에게 동일한 시스템 접근 권한이 주어질 필요한 게 아니라는 점을 기억하는 것이 중요하다. 오늘날 사이버보안에서 목격하는 온갖 고도화된 공격 시나리오에 아랑곳없이, 여전히 사소한 것들 때문에 무너지는 사례가 계속되고 있다.    2017년 버라이즌 데이터 침해 사건 조사 보고서(2017 Verizon Data Breach Investigations Report)에 따르면 81%의 해킹 관련 보안 침해는 훼손된 인증 정보와 연관이 있었다. 게다가, 2018년의 크라우드스트라이크 침입 서비스 사례 책자(Crowdstrike Intrusion Services Casebook 2018)에 나온 것처럼 사소한 실패가 시스템 전체에 영향을 줄 수 있다. 이 책자에서는 거대 다국적 의류 회사 이용자가 커피숍에 앉아 공공 네트워크에서 작업한 사례를 서술했다. 이 이용자의 인증 정보는 훼손되었고, 이는 회사 인프라 전체의 훼손으로 이어졌다.  간단해 보이는 접근 관리가 왜 이렇게까지 어려운 것일까? 아마도 이는 그냥 겉으로만 단순해 보이기 때문일 것이다. 예를 들어, 직원 20명과 5대의 시스템을 가진 회사를 생각해보자. 각 시스템에 대해 어떤 이용자는 파일을 읽기만 하고, 어떤 사용자는 파일을 읽고 쓸 수 있으며, 어떤 사용자는 관리자 접근 권한을 갖고, 어떤 사용자는 접근 권한이 아예 없을 수 있다. 이런 소규모 환경에서도 접근 설정의 변수는 어마어마하다.  게다가 일반 소기업에서 접근 권한 관리는 기껏해야 형식적이고, 심지어 일부 기업에서는 ‘하나로 통일된’ 경우도 있다. 이 단순한 문제는 사실 전혀 단순하지 않다. 그러나, 이를 제대로 하지 못하면 시스템을 적당히 안전하게 유지할 가능성조차 아주 희박해진다.  이 문제에 대한 해법은 전혀 새롭지 않다. 이는 정보 보안이 그렇게 주목받지 않았던 197...

컴플라이언스 CSO 규제 권한 RBAC 역할 기반 접근 관리

2019.01.09

RBAC은 조직에서 자신의 역할에 따라 사용자에게 시스템 접근 권한을 할당하는 개념이다. 모든 직원에게 동일한 시스템 접근 권한이 주어질 필요한 게 아니라는 점을 기억하는 것이 중요하다. 오늘날 사이버보안에서 목격하는 온갖 고도화된 공격 시나리오에 아랑곳없이, 여전히 사소한 것들 때문에 무너지는 사례가 계속되고 있다.    2017년 버라이즌 데이터 침해 사건 조사 보고서(2017 Verizon Data Breach Investigations Report)에 따르면 81%의 해킹 관련 보안 침해는 훼손된 인증 정보와 연관이 있었다. 게다가, 2018년의 크라우드스트라이크 침입 서비스 사례 책자(Crowdstrike Intrusion Services Casebook 2018)에 나온 것처럼 사소한 실패가 시스템 전체에 영향을 줄 수 있다. 이 책자에서는 거대 다국적 의류 회사 이용자가 커피숍에 앉아 공공 네트워크에서 작업한 사례를 서술했다. 이 이용자의 인증 정보는 훼손되었고, 이는 회사 인프라 전체의 훼손으로 이어졌다.  간단해 보이는 접근 관리가 왜 이렇게까지 어려운 것일까? 아마도 이는 그냥 겉으로만 단순해 보이기 때문일 것이다. 예를 들어, 직원 20명과 5대의 시스템을 가진 회사를 생각해보자. 각 시스템에 대해 어떤 이용자는 파일을 읽기만 하고, 어떤 사용자는 파일을 읽고 쓸 수 있으며, 어떤 사용자는 관리자 접근 권한을 갖고, 어떤 사용자는 접근 권한이 아예 없을 수 있다. 이런 소규모 환경에서도 접근 설정의 변수는 어마어마하다.  게다가 일반 소기업에서 접근 권한 관리는 기껏해야 형식적이고, 심지어 일부 기업에서는 ‘하나로 통일된’ 경우도 있다. 이 단순한 문제는 사실 전혀 단순하지 않다. 그러나, 이를 제대로 하지 못하면 시스템을 적당히 안전하게 유지할 가능성조차 아주 희박해진다.  이 문제에 대한 해법은 전혀 새롭지 않다. 이는 정보 보안이 그렇게 주목받지 않았던 197...

2019.01.09

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13