오퍼링 > 소프트웨어 테크놀로지 서비스 > 오픈소스 SW > 클라우드 네이티브 > 자료실
쿠버네티스 보안 툴 – 쿠버네티스 이미지 스캔 및 정적분석
2021.03.02
Kubernetes(쿠버네티스)는 다양한 컨테이너들을 관리, 감독하기 때문에 각각의 컨테이너를 위한 다양한 보안 툴들이 존재합니다. 많은 툴들은 다양한 목적, 범위, 라이선스를 가지고 있습니다. 보안 요구사항에 따라 다양한 기능이 존재하므로 올바른 방향성을 제시하기 위해 카테고리 별로 쿠버네티스 툴을 정리하여 소개합니다.
1. 쿠버네티스 이미지 스캔 및 정적분석
2. 쿠버네티스 런타임 보안
3. 이미지 배포 및 시크릿 관리
4. 쿠버네티스 네트워크
5. 쿠버네티스 보안 감사
다양한 종류로 분류할 수 있는데 첫번째로 쿠버네티스 이미지 스캔 및 정적분석 툴에 대해 다루도록 합니다.
Anchor 엔진은 컨테이너 이미지를 분석하고 사용자 정의 정책을 적용하여 사용자 정의 보안 검사를 수행할 수 있습니다.
CVE 데이터베이스로부터 알려진 취약성에 대한 일반적인 컨테이너 이미지의 검색 뿐 아니라, Dockerfile 검사, 자격 증명 취약점 검출, 언어별 패키지(npm, maven 등), 소프트웨어 라이센스 확인과 같은 스캐닝 정책의 일부로 구성할 수 있는 많은 추가적인 항목들이 있습니다.
홈페이지는 다음과 같습니다.
https://anchore.com
KubeXray는 쿠버네티스 API 서버의 이벤트를 대기하고, JFrog Xray(상용 제품)의 메타데이터를 활용하여 현재 수준의 정책을 준수하는 포드만 쿠버네티스에서 실행할 수 있도록 합니다.
KubeXray는(쿠버네티스 승인 컨트롤러와 유사하게) 신규 또는 업그레이드된 컨테이너 배포를 감사할 뿐만 아니라, 사용자가 구성한 새로운 보안 정책과 비교하여 런타임 컨테이너를 동적으로 검사함으로 취약한 이미지를 가르키는 리소스를 삭제합니다.
홈페이지는 다음과 같습니다.
https://github.com/jfrog/kubexray
Clair는 Quay 이미지 레지스트리에 제공되는 보안 검색 엔진으로 널리 알려진 최초의 오픈 소스 이미지 검색 프로젝트 중 하나입니다. Clair는 데비안, 레드햇 또는 우분투 보안 팀이 작성한 distro 관련된 취약점 목록을 포함하여 많은 취약점 소스에서 CVE 정보를 추출할 수 있습니다.
Cliar는 플러그형 드라이버의 구현을 통해 취약성 스캐닝과 CVE 매칭 부분에 주로 초점을 맞추고 있습니다.
홈페이지는 다음과 같습니다.
https://coreos.com/clair (현재 레드햇에 속해 있습니다.)
Dagda는 컨테이너 이미지에 존재하는 알려진 취약점, 트로이 목마, 바이러스, 멀웨어 및 기타 악성 위협에 대한 정적 분석을 수행합니다.
ClamAV와 기본적으로 통합되어 컨테이너 이미지 스캐너뿐만 아니라 안티 바이러스 소프트웨어도의 기능도 합니다.(AV 기능 제공)
또한 런타임 보호 기능을 제공하여 Docker 데몬에서 실시간 이벤트를 수집하고 CNCF의 Falco와 통합하여 런타임 컨테이너 보안 이벤트를 수집합니다.
홈페이지는 다음과 같습니다
https://github.com/eliasgranderubio/dagda
[쿠버네티스 툴 분류]
1. 쿠버네티스 이미지 스캔 및 정적분석
2. 쿠버네티스 런타임 보안
3. 이미지 배포 및 시크릿 관리
4. 쿠버네티스 네트워크
5. 쿠버네티스 보안 감사
다양한 종류로 분류할 수 있는데 첫번째로 쿠버네티스 이미지 스캔 및 정적분석 툴에 대해 다루도록 합니다.
1. 쿠버네티스 이미지 스캔 및 정적 분석
1) Anchor
Anchor 엔진은 컨테이너 이미지를 분석하고 사용자 정의 정책을 적용하여 사용자 정의 보안 검사를 수행할 수 있습니다.
CVE 데이터베이스로부터 알려진 취약성에 대한 일반적인 컨테이너 이미지의 검색 뿐 아니라, Dockerfile 검사, 자격 증명 취약점 검출, 언어별 패키지(npm, maven 등), 소프트웨어 라이센스 확인과 같은 스캐닝 정책의 일부로 구성할 수 있는 많은 추가적인 항목들이 있습니다.
홈페이지는 다음과 같습니다.
https://anchore.com
2) KubeXray
KubeXray는 쿠버네티스 API 서버의 이벤트를 대기하고, JFrog Xray(상용 제품)의 메타데이터를 활용하여 현재 수준의 정책을 준수하는 포드만 쿠버네티스에서 실행할 수 있도록 합니다.
KubeXray는(쿠버네티스 승인 컨트롤러와 유사하게) 신규 또는 업그레이드된 컨테이너 배포를 감사할 뿐만 아니라, 사용자가 구성한 새로운 보안 정책과 비교하여 런타임 컨테이너를 동적으로 검사함으로 취약한 이미지를 가르키는 리소스를 삭제합니다.
홈페이지는 다음과 같습니다.
https://github.com/jfrog/kubexray
3) Clair
Clair는 Quay 이미지 레지스트리에 제공되는 보안 검색 엔진으로 널리 알려진 최초의 오픈 소스 이미지 검색 프로젝트 중 하나입니다. Clair는 데비안, 레드햇 또는 우분투 보안 팀이 작성한 distro 관련된 취약점 목록을 포함하여 많은 취약점 소스에서 CVE 정보를 추출할 수 있습니다.
Cliar는 플러그형 드라이버의 구현을 통해 취약성 스캐닝과 CVE 매칭 부분에 주로 초점을 맞추고 있습니다.
홈페이지는 다음과 같습니다.
https://coreos.com/clair (현재 레드햇에 속해 있습니다.)
4) Dagda
Dagda는 컨테이너 이미지에 존재하는 알려진 취약점, 트로이 목마, 바이러스, 멀웨어 및 기타 악성 위협에 대한 정적 분석을 수행합니다.
ClamAV와 기본적으로 통합되어 컨테이너 이미지 스캐너뿐만 아니라 안티 바이러스 소프트웨어도의 기능도 합니다.(AV 기능 제공)
또한 런타임 보호 기능을 제공하여 Docker 데몬에서 실시간 이벤트를 수집하고 CNCF의 Falco와 통합하여 런타임 컨테이너 보안 이벤트를 수집합니다.
홈페이지는 다음과 같습니다
https://github.com/eliasgranderubio/dagda