컨테이너 런타임 보안이란?
컨테이너 런타임 보안은 인스턴스화에서 종료까지 컨테이너를 보호하는 도구 및 관행의 집합입니다. 인스턴스화에서 종료까지 컨테이너에서 발생하는 모든 것을 보호하는 컨테이너 보안 및 워크로드 보호 의 하위 집합입니다. 예를 들어, 컨테이너 런타임 보안은 실행 중인 컨테이너의 취약성 검사를 처리하지만 일반 텍스트 소스 코드는 검사합니다. 즉, 취약성 스캐너는 런타임 컨테이너 보안 도구의 예이지만 SAST 스캐너는 그렇지 않습니다.
그러나 컨테이너 런타임 보안은 고립된 개념이 아닙니다. 컨테이너 자체를 넘어 소스 코드, Kubernetes(K8s) 및 IaC(Infrastructure as Code )를 보호하는 것은 엔터프라이즈 컨테이너 런타임 보안 노력을 성공으로 이끄는 심층 방어를 제공하는 데 중요한 측면입니다.
기업이 알아야 할 5가지 컨테이너 런타임 보안 위협
아래의 5가지 컨테이너 런타임 보안 위협은 컨테이너 워크로드를 실행하는 기업에 상당한 위험을 초래할 수 있습니다.
- 무단 컨테이너 배포: 엔터프라이즈 악의적 사용자가 사용하는 MITRE ATT&CK의 기술 목록에 있는 컨테이너 배포(T1610)는 컨테이너 보안 위협의 좋은 예입니다. 이 기술을 통해 공격자는 보안 제어를 우회하고 익스플로잇을 가능하게 하는 컨테이너(예: Docker의 만들기 및 시작 명령 사용)를 배포합니다.
- 잘못된 구성 및 안전하지 않은 구성: 안전하지 않은 구성은 가장 일반적인 컨테이너 보안 위험 중 하나입니다. 예를 들어 불필요한 네트워크 포트 또는 하드 코드 API 키를 노출하는 컨테이너는 안전하지 않은 구성의 예입니다.
- 멀웨어가 있는 컨테이너 이미지: 이 위험은 기업에서 공용 컨테이너 레지스트리를 사용할 때 특히 널리 퍼져 있습니다. 위협 행위자는 컨테이너 이미지에 멀웨어를 포함시킨 다음 기업에서 사용할 수 있도록 공용 레지스트리에 게시할 수 있습니다.
- 권한 상승 공격: 공격자가 컨테이너 또는 기본 호스트에 대한 루트 액세스 권한을 얻을 수 있는 다양한 권한 상승 공격이 있습니다. 이러한 공격은 종종 안전하지 않은 구성 또는 기존 취약성을 악용하여 시작됩니다.
- 패치되지 않은 취약점: 애플리케이션의 액세스 제어 버그와 같은 타의 추종을 불허하는 취약성은 위협 행위자에게 컨테이너를 손상시킬 수 있는 더 쉬운 경로를 제공합니다.
컨테이너 보안 런타임 위험을 찾아 해결하는 방법
시프트 레프트 보안의 개념에 따라 조기 탐지는 효과적인 컨테이너 런타임 보안의 핵심입니다. 이상적으로 기업은 컨테이너 인스턴스화가 발생하기 전에 위협을 감지해야 합니다.
그러나 이것이 항상 실용적인 것은 아닙니다. 여기서 런타임 검사와 위협 탐지가 작동합니다. 위협이 탐지되면 가양성을 지능적으로 제한하는 방식으로 위협이 자동으로 수정되는 것이 가장 좋습니다. 나머지 경우에는 보안 전문가에게 신속하게 경고하여 수정 조치를 취해야 합니다.
5 런타임 컨테이너 보안 모범 사례
아래의 5가지 모범 사례는 기업이 컨테이너 런타임 보안 위험을 효과적으로 찾아 해결하는 데 도움이 될 수 있습니다.
- 신뢰할 수 있는 컨테이너 이미지만 실행합니다. 보안 리포지토리에서 신뢰할 수 있는 컨테이너 이미지만 실행하면 안전하지 않은 이미지를 인스턴스화할 위험이 제한됩니다.
- 지속적인 취약성 검사 구현: 특정 시점 보안 검사는 유용하지만 충분하지는 않습니다. 진화하는 위협에 미리 대비하기 위해 기업은 실시간 위협 탐지를 위해 워크로드를 지속적으로 스캔해야 합니다.
- 낮은 권한의 사용자가 있는 컨테이너를 실행합니다. 기업은 루트 사용자로 또는 Docker –privileged 플래그를 사용하여 컨테이너를 실행하지 않아야 합니다. 일반적으로 컨테이너는 호스트 환경에 대한 루트 액세스가 필요하지 않으므로 루트를 사용하는 것은 최소 권한 원칙을 위반합니다. 마찬가지로 –privileged 플래그는 중요한 보안 제어를 무시합니다.
- 쓰기 가능한 파일 시스템을 활성화하지 마십시오. 컨테이너는 일반적으로 임시로 사용됩니다. 쓰기 가능한 파일 시스템을 사용하면 공격자가 악성 코드를 작성하고 실행할 가능성이 있습니다.
- 가시성 및 정책 시행을 중앙 집중화하고 자동화합니다. 컨테이너를 수동으로 모니터링하고 보호하는 것은 확장 가능하지 않습니다. 또한 인적 오류가 발생하기 쉽습니다. 실용적인 만큼 기업은 컨테이너 보안 및 정책에 대한 가시성을 중앙 집중화하고 자동화하는 도구를 활용해야 합니다.
효과적인 컨테이너 런타임 보안에는 총체적인 접근 방식이 필요합니다.
컨테이너 런타임 보안은 진공 상태에서 존재하지 않습니다. 예를 들어, IaC 보안과 컨테이너 런타임 보안은 밀접한 관련이 있습니다. 강력한 보안 태세를 유지하기 위해 기업은 소프트웨어 개발 수명 주기(SDLC) 전반에 걸쳐 보안을 통합하는 전체적인 솔루션을 구현해야 합니다. 즉, 클라우드 전반에서 전사적 가시성과 보안을 지원하고 기업이 컨테이너를 실행하는 모든 곳에서 보안을 제공하는 도구는 최신 워크로드 및 런타임 보호에 필수적입니다.
CloudGuard Workload 보호를 통한 컨테이너 런타임 보안
CloudGuard Workload Protection 은 클라우드 네이티브 워크로드 보안 솔루션입니다. 가시성, 위협 차단을 제공하고 멀티 클라우드 환경에서 컴플라이언스를 지원합니다. CloudGuard를 통해 기업은 중앙 집중식 플랫폼에서 포괄적이고 자동화된 보안을 얻을 수 있습니다. CloudGuard Workload 보호의 이점은 다음과 같습니다.
- 컨테이너 보안: CloudGuard 컨테이너 보안 기능에는 K8s 클러스터에 대한 심층적인 가시성, 컨테이너 이미지 스캔, 실시간 위협 차단 및 중앙 승인 컨트롤러를 통한 정책 시행이 포함됩니다.
- Serverless Security: 서버리스 애플리케이션은 기업에 새로운 보안 과제를 안겨줍니다. CloudGuard는 기업이 서버리스 기능의 잠재적인 오용 및 남용을 감지할 수 있는 행동 방어를 통해 Serverless Security 위험을 완화할 수 있도록 지원합니다.
- 애플리케이션 보안: CloudGuard AppSec 은 특허 출원 중인 맥락적 AI 엔진으로 구동됩니다. CloudGuard는 먼저 정상적인 동작의 기준을 설정 한 다음 프로필을 생성하여 지능적으로 요청을 채점하여 엔터프라이즈 보안 태세를 손상시키지 않고 오탐을 줄입니다.
컨테이너 보안에 대해 자세히 알아보려면 지금 데모에 등록하세요.
피드백