컨테이너 보안이란?
컨테이너 보안은 보안 툴과 정책을 사용하여 잠재적인 리스크로부터 컨테이너화된 애플리케이션의 모든 측면을 보호하는 프로세스입니다. 컨테이너 보안은 소프트웨어 공급망 또는 CI/CD 파이프라인, 인프라, 컨테이너 런타임 및 컨테이너에서 실행되는 수명주기 관리 애플리케이션의 모든 측면을 포함하여 환경 전반의 리스크를 관리합니다. 컨테이너 네트워크 보안 솔루션을 구현할 때는 애플리케이션의 컨텍스트 인식을 위해 기반이 되는 컨테이너 조정과 통합되도록 해야 합니다.
최신 애플리케이션 보안 향상의 혁신
컨테이너 보안이 중요한 이유는 무엇입니까?
컨테이너는 향상된 애플리케이션 격리를 비롯한 몇 가지 본질적인 보안 이점을 제공하지만, 조직에 위협이 되는 환경을 확장하기도 합니다. 컨테이너와 관련된 특정 보안 조치를 인식하고 계획하지 못하면 조직의 보안 리스크가 증가할 수 있습니다.
운영 환경에서 컨테이너 도입이 크게 증가함에 따라 컨테이너는 악의적인 행위자의 관심을 끄는 표적이 되고 있습니다. 또한 취약하거나 손상된 단일 컨테이너가 조직의 광범위한 환경에 대한 진입점이 될 수 있습니다. 데이터 센터와 클라우드를 통과하는 횡방향 트래픽이 증가함에 따라 이러한 주요 네트워크 트래픽 소스를 모니터링하는 보안 제어 기능이 거의 없습니다. 기존 네트워크 보안 솔루션은 측면 공격에 대한 보호를 제공하지 않기 때문에 이 모든 요인으로 인해 컨테이너 보안의 중요성이 강조됩니다.
컨테이너 보안의 이점
전반적으로 컨테이너 사용량이 증가함에 따라 컨테이너 보안이 주목을 받고 있습니다. 다양한 이해관계자가 애플리케이션 컨테이너 보안의 중요성을 인식하고 플랫폼, 프로세스 및 교육 전반에 걸쳐 투자하고 있기 때문에 이러한 현상은 그 자체로 도움이 됩니다. 컨테이너화된 애플리케이션 및 해당 인프라를 보호하는 모든 측면과 관련이 있으므로 컨테이너 보안은 제공하는 여러 이점 중 중요한 이점 하나를 제공합니다. 바로 전반적인 IT 보안을 개선하는 촉매제가 될 수 있다는 것입니다. CI/CD 파이프라인 초기에 자동화된 검사를 도입하는 등 개발, 테스트 및 운영 환경(DevSecOps라고도 함) 전반에 걸쳐 지속적인 보안 모니터링을 요구함으로써 전반적인 보안을 개선할 수 있습니다.
컨테이너를 보호하는 방법
컨테이너 보안은 총체적인 분야로 간주하는 것이 가장 좋지만 주로 컨테이너 자체에 중점을 두는 경우가 많습니다. 미국 NIST(National Institute of Standards and Technology)는 이를 위한 몇 가지 기본적인 접근 방식을 요약한 애플리케이션 컨테이너 보안 가이드를 발표했습니다. NIST 보고서에서 언급된 세 가지 주요 사항은 다음과 같습니다.
- 컨테이너별 호스트 운영 체제를 사용합니다. NIST는 공격 표면을 줄이기 위해 축소된 기능으로 구축된 컨테이너별 호스트 OS를 사용할 것을 권장합니다.
- 목적 및 리스크 프로필별로 컨테이너를 분류합니다. 컨테이너 플랫폼은 일반적으로 컨테이너 간 격리 및 기반 OS로부터 컨테이너 격리에 효과적이지만, NIST는 컨테이너를 "목적, 민감도 및 위협 태세"별로 그룹화하고 별도의 호스트 OS에서 실행함으로써 보다 "심층적인 방어"를 달성할 수 있다고 언급합니다. 이는 인시던트 또는 공격의 폭발 반경을 제한하는 일반적인 IT 보안 원칙을 따릅니다. 즉, 보안 침해의 결과가 가능한 한 좁은 영역으로 제한됩니다.
- 컨테이너별 취약점 관리 및 런타임 보안 툴을 사용합니다. 기존의 취약점 검사 및 관리 툴에는 컨테이너와 관련하여 사각지대가 있는 경우가 많아 컨테이너 이미지, 구성 설정 등에 문제가 없다고 잘못 보고할 수 있습니다. 마찬가지로 런타임 시 보안을 보장하는 것은 컨테이너 배포 및 운영의 핵심 요소입니다. 침입 방지 시스템과 같은 기존의 경계 중심 툴은 컨테이너를 염두에 두고 구축되지 않는 경우가 많아 컨테이너를 제대로 보호할 수 없습니다.
또한 NIST는 신뢰할 수 있는 플랫폼 모듈(TPM)과 같은 하드웨어 기반 신뢰 루트를 사용하여 또 다른 보안 신뢰 계층을 구축하고 컨테이너 및 클라우드 네이티브 개발에 적합한 문화 및 DevOps 또는 DevSecOps와 같은 프로세스를 수립할 것을 권장합니다.
컨테이너 보안의 핵심 요소
컨테이너 보안에는 다음과 같은 몇 가지 핵심 요소가 있습니다.
- 구성: 많은 컨테이너, 오케스트레이션 및 클라우드 플랫폼은 강력한 보안 기능과 제어를 제공합니다. 하지만 이러한 기능을 올바르게 설정하고 난 후 시간이 지나면 다시 조정해야 하며, "즉시 사용 가능한" 방식으로 최적화되는 경우는 거의 없습니다. 이 구성에는 액세스/권한, 격리 및 네트워킹과 같은 영역에서의 중요한 설정 및 강화가 포함됩니다.
- 자동화: 대부분의 컨테이너화된 애플리케이션과 기반 인프라는 매우 동적이고 분산되어 있기 때문에 취약점 검사 및 이상 탐지와 같은 보안 요구 사항을 수동으로 수행할 경우 사실상 해결하기 어려운 작업이 될 수 있습니다. 컨테이너 조정이 대규모 컨테이너 실행과 관련된 많은 운영 오버헤드를 자동화하는 것과 마찬가지로 자동화가 여러 컨테이너 보안 기능 및 툴의 핵심 기능인 이유가 바로 여기에 있습니다.
- 컨테이너 보안 솔루션: 일부 팀은 컨테이너화된 환경을 위해 특별히 구축된 새로운 보안 툴과 지원을 추가합니다. 이러한 툴은 종종 CI 툴, 컨테이너 런타임 보안, Kubernetes와 같은 클라우드 네이티브 에코시스템의 다양한 측면에 중점을 둡니다.
컨테이너 보안에서 피해야 할 일반적인 실수
컨테이너와 환경을 보호할 때 흔히 저지르는 실수는 다음과 같습니다.
- 기본적인 보안 상태를 잊습니다. 컨테이너는 새로운 보안 접근 방식이 필요한 비교적 새로운 기술입니다. 하지만 그렇다고 해서 기본적인 특정 보안을 포기해야 한다는 뜻은 아닙니다. 예를 들어 운영 체제, 컨테이너 런타임 또는 기타 툴과 관계없이 시스템에 패치를 적용하고 최신 상태로 유지하는 것은 여전히 중요한 전술입니다.
- 툴 및 환경을 구성하고 강화하지 못합니다. 우수한 컨테이너 및 오케스트레이션 툴은 다른 여러 클라우드 플랫폼과 마찬가지로 상당한 보안 기능과 함께 제공됩니다. 그러나 이러한 이점을 활용하려면 보안 기능을 기본 설정으로 실행하는 것이 아니라 특정 환경에 맞게 구성해야 합니다. 예를 들어 컨테이너에 실제로 실행해야 하는 기능 또는 권한만 부여하여 권한 에스컬레이션 공격과 같은 리스크를 최소화할 수 있습니다.
- 모니터링, 로깅 및 테스트를 무시합니다. 팀이 운영 환경에서 컨테이너를 실행하기 시작할 때 주의하지 않으면 애플리케이션 상태 및 환경에 대한 가시성을 잃을 수 있습니다. 이는 몇몇 팀이 인식하지 못하는 큰 리스크이며, 온프레미스 인프라와 함께 여러 클라우드 환경에서 실행될 수 있는 고도로 분산된 시스템과 특히 관련이 있습니다. 알려지지 않은 취약점과 기타 사각지대를 최소화하려면 적절한 모니터링, 로깅 및 테스트를 수행하는 것이 중요합니다.
- CI/CD 파이프라인의 모든 단계를 보호하지 않습니다. 컨테이너 보안 전략의 또 다른 잠재적인 단점은 소프트웨어 제공 파이프라인의 다른 요소를 무시한다는 것입니다. 우수한 팀은 소프트웨어 공급망에서 가능한 한 빨리 보안의 우선순위를 정하고 환경 전반에서 툴과 정책을 일관되게 적용하는 "시프트 레프트" 원칙을 통해 이러한 문제를 방지합니다.
관련 솔루션 및 제품
VMware Carbon Black Container
지속적인 가시성, 컨테이너 보안 및 규정 준수를 지원합니다.
VMware Tanzu
애플리케이션 현대화를 위한 제품 및 서비스 포트폴리오