오퍼링 > 소프트웨어 테크놀로지 서비스 > 오픈소스 SW > 클라우드 네이티브 > 자료실
쿠버네티스 보안 툴 – 런타임/이미지 관리
2021.03.03
2. 쿠버네티스 런타임 보안
1) Falco
Falco는 클라우드 네이티브 런타임 보안 툴 셋이며 CNCF 제품군의 멤버입니다.
Sysdig의 리눅스 커널 및 시스템 호출 프로파일링을 활용하여 시스템 동작의 전체적인 그림을 얻습니다. 런타임 룰 엔진은 애플리케이션, 컨테이너, 기본 호스트 및 쿠버네티스 오케스트레이터에서 비정상 행위를 감지할 수 있습니다.
Falco를 사용하면 쿠버네티스 노드 당 하나의 에이전트를 배포하여 다른 코드를 주입하거나 사이드카 컨테이너를 올려 놓은 컨테이너를 조작할 필요가 없어 완벽한 런타임 가시성 및 위협 탐지 기능을 얻을 수 있습니다.
홈페이지는 아래와 같습니다.
https://falco.org/
2) Linux runtime security frameworks
네이티브 리눅스의 프레임워크는 그 자체로는 "쿠버네티스 보안 툴" 이 아니지만 쿠버네티스의 팟 보안 정책(PSP)에 포함될 수있는 런타임 보안 컨텍스트의 일부이기에 언급할수 있습니다.
AppArmor는 컨테이너에서 실행중인 프로세스에 보안 프로필을 첨부하여 파일 시스템 권한, 네트워크 액세스 규칙, 라이브러리 링크 등을 정의합니다. 금지된 작업이 수행되지 않도록 하는 필수 접근 제어 시스템입니다.
SELinux(Security-Enhanced Linux)는 리눅스 커널 보안 모듈로서 일부 측면에서 AppArmor와 비교됩니다. SELinux는 AppArmor보다 강력하고 유연하며 세밀합니다.
Seccomp 및 seccomp-bpf는 시스템 호출을 필터링하여 기본 호스트 OS에 위협이 되는 userland 바이너리의 정기적인 시스템 호출의 실행을 차단합니다.
3. 이미지 배포 및 시크릿 관리
1) Grafeas
Grafeas는 소프트웨어 공급망을 감사하고 관리하는 오픈 소스 API이며, 기본수준에서 조직 전체의 보안 모범 사례 준수를 추적하는데 사용할 수 있는 메타 데이터 및 감사 로그 수집 도구입니다.
다음과 같은 기능에 최적화 되어 있습니다.
첫째, 불변 인프라(예 : 컨테이너)를 사용하여 지속적인 고급 위협으로부터 예방적인 보안 상태를 설정합니다.
둘째, 프로덕션 배포를 보호하기 위해 포괄적인 구성 요소 메타 데이터 및 보안 증명을 기반으로 보안 제어를 소프트웨어 공급망에 구축합니다.
셋째, 시스템을 유연하게 유지하고 공통 사양 및 오픈 소스 소프트웨어에 대한 개발자 도구의 상호 운용성을 확보하는데 유용합니다.
홈페이지는 다음과 같습니다.
https://grafeas.io/
2) Vault
Vault는 패스워드, oauth 토큰, PKI 인증서, 액세스 자격 증명, 쿠버네티스 시크릿 등의 비밀에 대한 고수준의 보안 스토리지 솔루션입니다. 임시 보안 토큰 임대 혹은 오케스트레이트된 키 롤링과 같은 많은 고급 기능을 지원합니다.
Helm 차트 및 Consul을 백엔드 스토리지로 사용하여 Vault 자체를 새로운 배포로 쿠버네티스 클러스터에 배포할 수 있습니다. 서비스 계정 토큰과 같은 쿠버네티스의 네이티브 리소스를 지원하며, 기본 쿠버네티스의 시크릿 스토어로도 구성할 수 있습니다.
홈페이지는 다음과 같습니다.
https://www.vaultproject.io/