IT 프로젝트 구축 중 데이터베이스 보안을 어떻게 보장하나요?

#클라우드 네이티브 배경#

클라우드 컴퓨팅은 정보기술 발전과 서비스 모델 혁신의 집약적 표현이다. 이는 정보기술 발전에 있어 중요한 변화이자 피할 수 없는 추세이다. . "새로운 인프라"의 배치가 가속화되고 기업 디지털 변혁이 점진적으로 심화됨에 따라 클라우드 사용을 심화하고 클라우드 컴퓨팅 효율성을 더욱 향상시키는 방법이 이 단계에서 클라우드 컴퓨팅 개발의 초점이 되었습니다. 클라우드 네이티브는 고효율, 안정성, 신속한 대응이라는 특징을 바탕으로 클라우드 컴퓨팅 성능을 크게 향상시켰으며 기업 디지털 비즈니스 애플리케이션 혁신의 원동력이 되었습니다. 무역 세계화 과정에서 클라우드 네이티브 기술은 클라우드 컴퓨팅 대중화와 기업의 디지털 전환을 돕고 있습니다.

CNCF(Cloud Native Computing Foundation)는 클라우드 네이티브를 다음과 같이 정의합니다. 클라우드 네이티브 기술은 조직이 퍼블릭 클라우드, 프라이빗 클라우드, 하이브리드 클라우드와 같은 새로운 동적 환경에서 탄력적으로 확장 가능한 클라우드 컴퓨팅을 구축하고 실행할 수 있도록 지원합니다. 클라우드 네이티브의 대표적인 기술로는 컨테이너, 서비스 메시, 마이크로서비스, 불변 인프라, 선언적 프로그래밍 API 등이 있습니다.

#CloudSecurityeraMarketDevelopment#

클라우드 보안은 클라우드 컴퓨팅 시장과 거의 함께 발전해 왔으며, 클라우드 인프라 투자의 급속한 성장은 의심할 여지 없이 클라우드 보안 발전의 기반을 제공할 것입니다. IDC 데이터에 따르면 2020년 글로벌 클라우드 보안 지출은 클라우드 IT 지출의 1.1%에 불과했으며, 이는 현재 클라우드 보안 지출이 충분하지 않음을 나타냅니다. 이 비율이 5%로 증가한다고 가정하면 2020년 글로벌 클라우드 보안 시장 공간은 가능합니다. 53억 2천만 달러에 도달하여 2023년에는 108억 9천만 달러에 도달할 것입니다.

해외 클라우드 보안 시장 : 기술 혁신과 합병·통합이 활발하다. 전반적으로 해외 클라우드 보안 시장은 기술 혁신이 활발하고 합병과 통합이 잦은 등 급속한 발전 단계에 있다. 한편으로는 클라우드 보안 기술 혁신이 활발히 이루어지며 융합과 발전의 추세를 보이고 있다. 예를 들어, 종합 보안 기업 PaloAlto의 Prisma 제품군은 CWPP, CSPM, CASB라는 세 가지 클라우드 보안 기술 제품을 통합하여 SASE, 컨테이너 보안, 마이크로 격리와 같은 일련의 클라우드 보안 기능과 포괄적인 솔루션을 제공합니다. 반면, 신흥 클라우드 보안 기업은 빠르게 발전하고 있으며, 동시에 기존 보안 공급업체도 자체 연구 및 합병을 통해 클라우드 보안 레이아웃을 강화하고 있습니다.

국내 클라우드 보안 시장: 시장 공간이 넓고 아직은 기술 후속 단계이다. 시장 규모 측면에서 중국정보통신기술학원(China Academy of Information and Communications Technology)의 데이터에 따르면 우리나라의 전체 클라우드 컴퓨팅 시장 규모는 2019년 1,334억 5천만 위안에 달했으며 성장률은 38.6%였습니다. 2020년부터 2022년까지 여전히 빠른 성장 단계에 있을 것으로 예상되며, 2023년에는 시장 규모가 3,754억 2천만 위안을 넘어설 것으로 예상됩니다. 보안 투자가 클라우드 컴퓨팅 시장 규모의 3~5%를 차지한다는 중립적인 가정하에 중국의 클라우드 보안 시장 규모는 2023년 112억6000만~187억7000만 위안에 이를 것으로 예상된다. 기술 발전 측면에서 중국은 클라우드 컴퓨팅 개발 단계와 클라우드 네이티브 기술 범위에서 여전히 해외 시장에 뒤처져 있습니다. 국내 CWPP 기술은 널리 사용되는 반면, CASB, CSPM 등 일부 신흥 클라우드 보안 기술은 덜 널리 사용됩니다. 그러나 국내 퍼블릭 클라우드 시장의 발전이 가속화됨에 따라 클라우드 네이티브 기술이 점점 더 널리 사용되고 있습니다. CASB, SCPM, SASE와 같은 신흥 기술도 중국에서도 점점 더 널리 사용될 것으로 믿습니다.

#클라우드 보안은 네이티브 개발 추세를 보여줍니다#

클라우드 네이티브 기술은 클라우드 컴퓨팅 시장에서 점차 새로운 트렌드로 자리 잡고 있으며 이로 인해 발생하는 보안 문제는 더욱 복잡해졌습니다. 컨테이너, 서비스 그리드, 마이크로서비스 등으로 대표되는 클라우드 네이티브 기술은 사회 전반의 IT 인프라, 플랫폼, 애플리케이션 시스템에 영향을 미치고 있으며, IT/OT 통합, IT/CT 통합 등 산업 인터넷에도 침투하고 있습니다. 5G, 엣지컴퓨팅 등 새로운 인프라 점점 더 많은 클라우드 네이티브 애플리케이션이 구현됨에 따라 관련 보안 위험과 위협도 지속적으로 나타나고 있습니다. Docker/Kubernetes 및 기타 서비스 노출 문제, Tesla Kubernetes 클러스터 마이닝 사고, Docker Hub의 컨테이너 이미지가 "중독"되어 마이닝 프로그램에 주입됨, Microsoft Azure 보안 센터에서 대규모 Kubernetes 마이닝 사고 감지, Graboid 웜 마이닝 일련의 보안 전파사고 등 클라우드 네이티브에 대한 공격이 속속 등장하고 있다.

다양한 보안 위험에서 클라우드 네이티브 기술의 보안 상황을 엿볼 수 있는데, 클라우드 네이티브 환경에는 아직 시급하게 해결해야 할 보안 문제가 많다. 클라우드 네이티브 기술을 구현하는 과정에서 보안은 반드시 고려해야 할 중요한 요소입니다.

# 클라우드 네이티브 보안 정의#

클라우드 네이티브 보안 개념에 대해 국내와 해외 기관 및 기업마다 우리나라 업계의 현 상황과 문제점을 토대로 조금씩 다른 해석을 하고 있습니다. 클라우드 네이티브 및 클라우드 컴퓨팅 보안과 유사하게 클라우드 네이티브 보안에는 "클라우드 네이티브 환경을 위한 보안"과 "클라우드 네이티브 특성을 갖춘 보안"이라는 두 가지 의미도 포함됩니다.

클라우드 네이티브 환경의 보안을 위해 클라우드 네이티브 환경의 인프라, 오케스트레이션 시스템 및 마이크로서비스의 보안을 보호하는 것이 목표입니다. 이러한 유형의 보안 메커니즘에는 반드시 클라우드 기반 기능(예: 컨테이너화 및 오케스트레이션)이 있는 것은 아닙니다. 기존 모드나 심지어 하드웨어 장치에도 배포할 수 있지만 역할은 점점 더 대중화되는 클라우드 기반 환경을 보호하는 것입니다.

클라우드 네이티브 특성을 지닌 보안이란 탄력성, 민첩성, 경량화, 오케스트레이션 등 클라우드 네이티브 특성을 지닌 다양한 보안 메커니즘을 의미합니다. 클라우드 네이티브는 컨테이너화, 리소스 조정, 마이크로서비스를 통해 전통적인 개발 및 운영 시스템을 재구성하여 온라인 비즈니스 속도와 변화를 가속화하는 개념적 혁신이므로 클라우드 네이티브 시스템의 다양한 뛰어난 기능은 보안 제조업체에도 큰 영감을 가져올 것입니다. 보안 제품 및 플랫폼을 재구성하고 제공 및 업데이트 모델을 변경합니다.

#클라우드 네이티브 보안 개념 구축#

기존 보안 보호 구축에 존재하는 문제점을 완화하기 위해 클라우드 컴퓨팅을 더욱 안전하고 신뢰할 수 있는 정보 인프라로 추진하고, 클라우드 컴퓨팅을 활용하면서 국내외 제3자 기관과 서비스 제공업체에서는 클라우드 보안을 핵심으로 구축하고 개발하는 것을 제안해 왔습니다.

Gartner는 클라우드 네이티브 사고로 클라우드 보안 시스템 구축을 옹호합니다

클라우드 네이티브 사고를 기반으로 Gartner가 제안하는 클라우드 보안 시스템은 8가지 측면을 다룹니다. 그 중 인프라 구성, ID 및 액세스 관리는 클라우드 서비스 제공업체가 기본 기능으로 제공합니다. 나머지 6개 부분에는 지속적인 클라우드 보안 상황 관리, 포괄적인 시각화, 로깅, 감사 및 평가, 워크로드 보안, 애플리케이션, PaaS 및 API 보안이 포함됩니다. 확장된 데이터 보호, 클라우드 위협 탐지 등 고객은 보안 제품을 기반으로 구현해야 합니다.

Forrester는 퍼블릭 클라우드 플랫폼의 기본 보안 기능을 평가합니다.

Forrester는 퍼블릭 클라우드 플랫폼 기본 보안(PCPNS)이 세 가지 주요 범주와 37가지 측면에서 측정되어야 한다고 믿습니다. 제공되는 제품과 기능, 그리고 향후 전략 기획을 살펴보면 첫 번째는 데이터센터 보안, 내부 인력 등 클라우드 서비스 제공업체의 자체 보안 역량과 구축을 검토하는 것이고, 두 번째는 도움말 및 문서화, 권한 부여 및 인증 등 클라우드 플랫폼의 기본 보안 기능. 세 번째는 컨테이너 보안, 데이터 보안 등 사용자에게 제공되는 기본 보안 제품입니다.

Safety Dog는 4가지 업무 보호 시스템으로 클라우드 네이티브 보안을 구축합니다.

(1) 클라우드 네이티브 기술의 구체적인 구현을 기반으로 최소한의 권한과 심층적인 방어를 수행하고 구현합니다. 기본 환경의 다양한 구성 요소는 "안전한 왼쪽 이동" 원칙을 구현하고 보안 기준을 구성하여 문제가 발생하기 전에 예방할 수 있습니다. 마이크로서비스 아키텍처 웹 애플리케이션과 서버리스 애플리케이션을 보호하기 위해 애플리케이션 보안 문제에 중점을 둡니다.

(2) DevSecOps 구축은 클라우드 네이티브 애플리케이션의 라이프사이클을 중심으로 이루어지며, 현재 클라우드 네이티브 환경의 핵심 기술 스택인 'K8S + Docker'를 분석의 예로 사용합니다. 우리는 컨테이너의 전체 수명주기 동안 "구성 보안", 프로젝트 구축 중 "이미지 보안", 프로젝트 배포 중 "컨테이너 액세스", 그리고 클라우드 컴퓨팅의 "컴퓨팅"과 "네트워크"의 세 가지 요소에 주의해야 합니다. 컨테이너의 운영 환경”과 “스토리지”와 같은 보안 문제.

(3) 공격 전, 공격 중, 공격 후의 보안 구현 지침을 중심으로 구축되었으며, 보안 구현을 기반으로 공격 전, 공격 중, 공격 후의 3단계에 걸쳐 탐지 및 방어 작업을 수행할 수 있습니다. 지침.

(4) 기존 클라우드 보안 기술을 변환하고 포괄적으로 적용합니다. "클라우드 네이티브 보안"은 독립적인 제안으로 간주되어서는 안 되며, 클라우드에 대한 호스트 보안, 미세 격리 등에 대한 추가 지원을 제공해야 합니다. 기술은 클라우드 네이티브 보안을 강화할 수 있습니다.

#클라우드 네이티브 보안 새로운 위험#

클라우드 네이티브 아키텍처의 보안 위험에는 클라우드 네이티브 인프라 자체의 보안 위험뿐만 아니라 상위 인프라의 새롭고 확장된 보안 위험도 포함됩니다. 클라우드 네이티브 변환 후 레이어 애플리케이션 보안 위험. 클라우드 네이티브 환경은 심각한 보안 위험 문제에 직면해 있습니다. 공격자가 악용할 수 있는 중요한 공격 표면에는 컨테이너 보안, 오케스트레이션 시스템, 소프트웨어 공급망 등이 포함되지만 이에 국한되지는 않습니다. 중요한 공격 표면 보안 위험 문제는 아래에 요약되어 있습니다.

#클라우드 네이티브 보안 문제 정렬#

질문 1: 컨테이너 보안 문제

클라우드 네이티브 애플리케이션과 서비스 플랫폼을 구축하는 과정에서 컨테이너 기술은 다음에 의존합니다. 높음 탄력성과 민첩성이라는 특성이 클라우드 네이티브 애플리케이션 시나리오에서 중요한 기술 지원이 되었기 때문에 컨테이너 보안도 클라우드 네이티브 보안의 중요한 초석입니다.

(1) 컨테이너 이미지는 안전하지 않습니다

Sysdig의 보고서에서는 사용자의 프로덕션 환경에서 공용 이미지 웨어하우스가 가장 큰 컨테이너 이미지와 같은 소프트웨어 소스로 사용될 것이라고 언급했습니다. 도커 허브. 한편으로 많은 오픈 소스 소프트웨어는 Docker Hub에 컨테이너 이미지를 게시합니다. 반면 개발자는 일반적으로 공공 창고에서 컨테이너 이미지를 직접 다운로드하거나 이러한 기본 이미지를 기반으로 자체 이미지를 사용자 정의하는 경우 전체 프로세스가 매우 편리하고 효율적입니다. 하지만 Docker Hub의 이미지 보안은 이상적이지 않습니다. 고위험 취약점이 있는 공식 이미지가 많기 때문에 이러한 고위험 취약점이 있는 이미지를 사용하면 컨테이너 및 호스트에 대한 침입 위험이 크게 높아집니다.

현재 컨테이너 이미지의 보안 문제에는 주로 다음 세 가지 사항이 포함됩니다.

1. 안전하지 않은 타사 구성 요소

컨테이너화된 애플리케이션의 실제 개발 프로세스에서는 거의 구축되지 않습니다. 처음부터 이미지를 사용하는 대신 기본 이미지 위에 자신만의 프로그램과 코드를 추가한 다음 최종 비즈니스 이미지를 패키징하여 온라인으로 실행하면 많은 개발자가 기본 이미지에 얼마나 많은 구성 요소가 포함되어 있는지 알지 못합니다. 이미지, 포함된 구성 요소가 많을수록 취약점이 더 많아질 수 있습니다.

2. 악성 이미지

공개 이미지 웨어하우스에 제3자가 업로드한 악성 이미지가 있을 수 있습니다. 이러한 악성 이미지를 사용하여 컨테이너를 만들 경우 컨테이너와 애플리케이션에 영향을 미칠 수 있습니다. 보안

3. 민감한 정보 유출

개발 및 디버깅의 편의를 위해 개발자는 구축 시 데이터베이스 비밀번호, 인증서, 키 등과 같은 민감한 정보를 구성 파일에 저장합니다. 이미지에 이러한 민감한 정보가 구성 파일과 함께 이미지에 패키징되어 민감한 정보가 유출될 수 있습니다.

(2) 컨테이너 수명 주기가 짧습니다.

클라우드 네이티브 기술을 사용하여 민첩하고 안정적인 특성은 기업의 비즈니스 발전을 주도하고 기업 디지털 비즈니스 애플리케이션 혁신의 원동력이 됩니다. 컨테이너 환경에서는 일부 컨테이너는 docker 명령으로 시작 및 관리되며, 다수의 컨테이너는 Kubernetes 컨테이너 오케스트레이션 시스템을 통해 시작 및 관리되므로 신속하고 민첩한 컨테이너 구축, 배포 및 운영이 가능합니다. 컨테이너 수 수명주기는 1시간 미만입니다. 이로 인해 컨테이너의 수명주기 보호는 기존 가상화 환경에 비해 엄청난 변화를 겪었습니다. 방어자는 짧은 컨테이너 수명 주기 시나리오에 적응하기 위해 전통적인 이상 탐지와 행동 분석을 조합하여 사용해야 합니다.

기존의 이상 탐지는 WAF, IDS 및 기타 장치를 사용하며 해당 규칙 기반은 이미 매우 완벽합니다. 이 탐지 방법은 컨테이너 환경에서도 기존 위협을 직관적으로 표시할 수 있습니다.

기존의 이상 탐지는 알려진 위협을 빠르고 정확하게 발견할 수 있지만, 대부분의 알려지지 않은 위협은 규칙 기반을 통해 일치시킬 수 없습니다. 따라서 수많은 패턴 중 비정상적인 패턴을 분석하기 위한 행동 분석 메커니즘이 필요합니다. 밖으로. 일반적으로 생산 및 운영 기간 내의 비즈니스 모델은 상대적으로 고정되어 있습니다. 즉, 컨테이너 수에 관계없이 비즈니스 동작을 예측할 수 있으며 컨테이너 내부 동작은 항상 유사합니다. 머신러닝과 프로세스 행위 수집을 통해 합리적인 기준선이 자동으로 구축되며, 이러한 기준선을 바탕으로 컨테이너 내 알려지지 않은 위협을 탐지합니다.

(3) 컨테이너 런타임 보안

컨테이너 기술은 편리성을 제공하지만, 컨테이너의 수명주기가 짧고 가볍기 때문에 컨테이너 런타임의 보안 강화는 종종 무시됩니다. , 하나 또는 두 개의 프로세스를 실행하는 컨테이너를 보호하기 위해 호스트 또는 가상 머신에 바이러스 백신 소프트웨어를 설치하는 것은 시간이 많이 걸리고 힘들고 리소스가 많이 소모되지만 해커의 눈에는 컨테이너와 스트리킹 사이에 차이가 없습니다. 컨테이너 런타임 보안의 주요 우려 사항:

1. 안전하지 않은 컨테이너 애플리케이션

기존 웹 보안과 유사하게 SQL 삽입, XSS, RCE 및 XXE도 컨테이너 환경에 존재합니다. 취약점으로 인해 외부에 서비스를 제공하는 동안 공격자가 컨테이너를 악용하여 컨테이너가 침입당할 수 있습니다.

2. 컨테이너 DDOS 공격

기본적으로 docker는 그렇지 않습니다. 컨테이너의 리소스 사용량은 기본적으로 CPU, 메모리, 하드 디스크 리소스를 무제한으로 사용할 수 있으므로 다양한 수준의 DDOS 공격이 발생할 수 있습니다.

(4) 컨테이너 미세 격리

컨테이너 환경에서는 기존 네트워크에 비해 컨테이너의 수명 주기가 훨씬 짧아지고 변경 빈도도 훨씬 빨라졌습니다. 컨테이너 간에는 복잡한 액세스 관계가 있습니다. 특히 컨테이너 수가 일정 규모에 도달하면 이 액세스 관계로 인해 발생하는 동서 트래픽이 매우 크고 복잡해집니다. 따라서 컨테이너 환경에서 네트워크의 격리 요구 사항은 더 이상 물리적 네트워크의 격리가 아니라 컨테이너 간, 컨테이너 그룹과 호스트 간, 호스트 간 격리가 되었습니다.

문제 2: 클라우드 네이티브 수준 보호 준수 문제

수준 보호 2.0에서는 클라우드 컴퓨팅과 같은 신기술 및 새로운 응용 분야의 개별 보안 보호 요구에 대한 보안 확장 요구 사항을 제안합니다. , 네트워크 보안 수준 보호를 위한 새로운 기본 요구 사항 표준을 형성합니다.

클라우드 컴퓨팅에 대한 보안 확장 요구사항이 작성되었지만 작성 주기가 길기 때문에 작성 당시 주류는 가상화 시나리오였으며 컨테이너화, 마이크로서비스, 서비스 없음 등의 클라우드 네이티브 시나리오를 고려하지 않았습니다. 2.0은 현재의 클라우드 네이티브 환경에 적용 가능함을 완벽하게 보장합니다.

SafeDog의 클라우드 보안 분야 경험과 구체적인 관행을 통해 클라우드 컴퓨팅 보안 확장 요구 사항에 대한 접근 제어 제어 지점에 대해 , 호스트 계정 보안을 감지하고 서로 다른 컨테이너에 대한 계정의 액세스 권한을 다르게 설정해야 액세스 제어 정책이 구축, 배포 및 실행될 때 컨테이너와 함께 마이그레이션되도록 할 수 있습니다.

제어를 위해 침입차단 시스템의 포인트는 시각적인 관리가 필요하며, 비즈니스 토폴로지 맵을 작성하고, 호스트의 침입을 종합적으로 예방하고, 비즈니스 트래픽 접근을 통제하며, 악성코드 감염 및 확산을 탐지하는 것입니다.

제어 이미지 및 스냅샷 보호를 위해서는 컨테이너 이미지의 무결성, 가용성 및 기밀성을 보장하여 민감한 정보의 유출을 방지하기 위해 이미지와 스냅샷을 보호해야 합니다.

문제 3: 호스트 보안

컨테이너와 호스트는 운영 체제 커널을 공유하므로 호스트 구성은 호스트 설치 등 컨테이너 작업의 보안에 중요한 영향을 미칩니다. 취약한 소프트웨어로 인해 임의 코드가 실행될 위험이 있으며, 포트를 무제한으로 열면 모든 사용자가 액세스할 위험이 있습니다. 호스트 침입 모니터링 및 보안 보호 시스템을 구축하여 호스트 자산 관리, 호스트 보안 강화, 위험 취약성 식별, 침입 방지, 문제 호스트 격리 등의 기능을 제공하며 각 기능을 연결하여 수집, 탐지, 모니터링, 방어 및 캡처를 설정합니다. 통합 보안 폐쇄 루프 관리 시스템은 호스트에 대한 포괄적인 보안 보호를 제공하고, 사용자가 손상된 호스트를 신속하게 찾을 수 있도록 지원하며, 알려지거나 알려지지 않은 위협 위험에 대응하고, 대규모 내부 호스트 보안 사고 발생을 방지합니다.

질문 4: 오케스트레이션 시스템 문제

오케스트레이션 시스템은 서버리스, 서비스 그리드 등 다양한 클라우드 네이티브 애플리케이션을 지원합니다. 이러한 새로운 마이크로서비스 시스템에도 보안 문제가 있습니다. 예를 들어, 공격자는 컨테이너의 셸 권한을 얻기 위해 코드 조각을 작성한 후 컨테이너 네트워크에 침투하여 횡단하여 막대한 손실을 초래합니다.

Kubernetes 아키텍처 설계의 복잡성으로 인해 Pod 리소스를 시작하려면 API 서버, 컨트롤러, 관리자, 스케줄러 등과 같은 구성 요소가 필요하므로 각 구성 요소의 보안 기능이 특히 중요합니다. API 서버 구성요소는 인증, 권한 부여, 액세스 제어, 세분화된 액세스 제어를 제공하고 비밀 리소스는 키 관리를 제공하며 포드 자체는 보안 정책과 네트워크 정책을 제공하여 Kubernetes 보안 강화를 효과적으로 구현할 수 있습니다.

질문 5: 소프트웨어 공급망 보안 문제

일반적으로 프로젝트에는 많은 양의 오픈 소스 소프트웨어가 사용됩니다. Gartner 통계에 따르면 최소 95%의 기업이 오픈 소스를 사용합니다. 주요 IT 제품에는 인터넷에서 제공되는 이러한 오픈 소스 소프트웨어 자체에 바이러스가 포함되어 있을 수 있으므로 이러한 오픈 소스 소프트웨어에 어떤 구성 요소가 사용되는지 알 수 없습니다. 우리는 전혀 알 수 없습니다.

오픈소스 소프트웨어 취약점은 해결될 수 없습니다. 컨테이너 자체의 보안 문제는 개발 단계의 다양한 프로세스에 위험을 초래할 수 있습니다. SDL 원칙에 따라 전체 공급망의 품질을 개선하기 위한 합리적인 평가 및 통제.

질문 6: 보안 운영 비용 문제

컨테이너의 수명주기는 짧지만 모든 것을 포괄합니다. 컨테이너의 전체 수명주기를 보호할 때 컨테이너 구축, 배포 및 런타임 중에 이상 탐지 및 보안 보호가 수행됩니다. 이로 인해 수천 개의 컨테이너에서 프로세스 동작을 탐지하고 분석하는 데 비용이 많이 들고 호스트 프로세서가 소모됩니다. 및 메모리 리소스, 로그 전송은 네트워크 대역폭을 차지하며, 행동 ​​탐지는 컴퓨팅 리소스를 소비하므로 해당 환경의 컨테이너 수가 많아지면 해당 보안 운영 비용이 급격히 증가합니다.

질문 7: 보안 보호 효과를 높이는 방법

보안 운영 비용 문제와 관련하여 컨테이너의 보안 운영 비용이 상대적으로 높다는 것을 알게 되었습니다. 보안 운영 비용을 개선하면서 안전 보호 효과는 어떤가요? 이는 소프트웨어 수명 주기를 왼쪽에서 오른쪽으로, 즉 개발, 테스트, 통합, 배포, 운영으로 확장하는 업계 용어인 "보안 왼쪽 이동"을 도입한 것입니다. 전통적인 운영부터 개발까지 보호합니다. 개발 측면에서는 주로 소프트웨어, 소프트웨어 공급망 보안 및 이미지 보안을 설계하고 개발합니다.

따라서 클라우드 네이티브 시나리오에서 보안 운영 비용을 절감하고 운영 효율성을 높이려면 먼저 '시프트 보안 레프트(shift security left)', 즉 주로 개발 보안을 고려하여 운영 보안에서 개발 보안으로 전환해야 합니다. , 소프트웨어 공급망 보안, 이미지 보안 및 구성 검증:

개발 보안

팀은 코드 감사를 사용하여 코드 취약점과 로직으로 인한 취약점을 찾는 등 코드 취약점에 주의를 기울여야 합니다. 보안 인식 부족 문제로 인한 코드 논리 허점.

공급망 보안

코드 검사 도구를 사용하여 지속적인 보안 평가를 수행할 수 있습니다.

이미지 보안

이미지 취약점 검색 도구를 사용하여 무료 창고의 이미지를 지속적으로 평가하고 위험한 이미지를 적시에 업데이트합니다.

구성 확인

확인에는 공격자가 취약점을 악용하기 어렵게 하기 위한 노출, 호스트 강화, 자산 관리 등이 포함됩니다.

질문 8: 보안 구성 및 키 인증서 관리 문제

불규칙한 보안 구성과 최적이 아닌 키 인증서도 클라우드 네이티브의 주요 위험입니다. 클라우드 네이티브 애플리케이션은 미들웨어 및 백엔드 서비스와 많은 상호 작용을 하게 됩니다. 단순화를 위해 많은 개발자는 액세스 자격 증명과 키 파일을 코드에 직접 저장하거나 일부 온라인 리소스의 액세스 자격 증명을 취약한 비밀번호로 설정합니다. 공격자가 민감한 데이터에 접근하기 쉽습니다.

#클라우드 네이티브 보안 미래 전망#

증가하는 새로운 공격 위협으로 볼 때, 클라우드 네이티브 보안은 앞으로 네트워크 보안 보호의 핵심이 될 것입니다. ATT&CK의 지속적인 축적과 관련 기술의 개선이 증가함에 따라 ATT&CK는 컨테이너 매트릭스의 내용도 추가했습니다. ATT&CK는 Adversarial Tactics, Techniques, Common Knowledge의 약자로, 수많은 위협 조직과 이들이 사용하는 도구 및 공격 기법을 담고 있는 공격 행동 지식 기반이자 위협 모델링 모델입니다. 대응 전술 및 기술에 대한 이러한 오픈 소스 지식 기반은 보안 산업에 광범위하고 심오한 영향을 미쳤습니다.

클라우드 기반 보안이 많은 관심을 끌면서 적시에 Container on Cloud용 ATTACK Matrix가 등장했습니다. ATT&CK를 사용하면 행동 관점에서 공격자와 방어 조치를 볼 수 있어 상대적으로 추상적인 컨테이너 공격 기술과 도구를 추적할 수 있습니다. ATT&CK 프레임워크를 결합하여 적청 대결을 시뮬레이션하고 기업의 현재 보안 기능을 평가하는 것은 기업 보안 보호 기능을 향상시키기 위한 좋은 참고 자료입니다.