๋ฉ๋ชจ. ๋ฒ์ญ: Kubernetes ๊ธฐ๋ฐ ์ธํ๋ผ์ ๋ณด์์ ๋ํด ๊ถ๊ธํ๋ค๋ฉด Sysdig์ ์ด ํ๋ฅญํ ๊ฐ์๋ ํ์ฌ ์๋ฃจ์ ์ ๋น ๋ฅด๊ฒ ์ดํด๋ณผ ์ ์๋ ์ข์ ์ถ๋ฐ์ ์ ๋๋ค. ์ฌ๊ธฐ์๋ ์ ์๋ ค์ง ์์ฅ ์ฐธ๊ฐ์์ ๋ณต์กํ ์์คํ ๊ณผ ํน์ ๋ฌธ์ ๋ฅผ ํด๊ฒฐํ๋ ํจ์ฌ ๋ ๊ฒธ์ํ ์ ํธ๋ฆฌํฐ๊ฐ ๋ชจ๋ ํฌํจ๋ฉ๋๋ค. ๊ทธ๋ฆฌ๊ณ ์ธ์ ๋์ฒ๋ผ ์๊ฒฌ์ ํตํด ์ด๋ฌํ ๋๊ตฌ๋ฅผ ์ฌ์ฉํ ๊ฒฝํ์ ๋ํด ๋ฃ๊ณ ๋ค๋ฅธ ํ๋ก์ ํธ์ ๋ํ ๋งํฌ๋ฅผ ํ์ธํ๊ฒ ๋์ด ๊ธฐ์ฉ๋๋ค.
Kubernetes ๋ณด์ ์ํํธ์จ์ด ์ ํ์... ๋๋ฌด ๋ง์์ ๊ฐ๊ฐ ๊ณ ์ ํ ๋ชฉํ, ๋ฒ์ ๋ฐ ๋ผ์ด์ ์ค๊ฐ ์์ต๋๋ค.
์ด๊ฒ์ด ์ฐ๋ฆฌ๊ฐ ์ด ๋ชฉ๋ก์ ๋ง๋ค๊ณ ๋ค์ํ ๊ณต๊ธ์
์ฒด์ ์คํ ์์ค ํ๋ก์ ํธ์ ์์ฉ ํ๋ซํผ์ ๋ชจ๋ ํฌํจํ๊ธฐ๋ก ๊ฒฐ์ ํ ์ด์ ์
๋๋ค. ๊ฐ์ฅ ๊ด์ฌ ์๋ ํญ๋ชฉ์ ์๋ณํ๊ณ ํน์ Kubernetes ๋ณด์ ์๊ตฌ ์ฌํญ์ ๋ฐ๋ผ ์ฌ๋ฐ๋ฅธ ๋ฐฉํฅ์ ์๋ดํ๋ ๋ฐ ๋์์ด ๋๊ธฐ๋ฅผ ๋ฐ๋๋๋ค.
๋ฒ์ฃผ
๋ชฉ๋ก์ ๋ ์ฝ๊ฒ ํ์ํ ์ ์๋๋ก ๋๊ตฌ๋ ์ฃผ์ ๊ธฐ๋ฅ๊ณผ ์์ฉ ํ๋ก๊ทธ๋จ๋ณ๋ก ๊ตฌ์ฑ๋์ด ์์ต๋๋ค. ๋ค์ ์น์ ์ ์ป์์ต๋๋ค.
- Kubernetes ์ด๋ฏธ์ง ์ค์บ๋ ๋ฐ ์ ์ ๋ถ์
- ๋ฐํ์ ๋ณด์;
- ์ฟ ๋ฒ๋คํฐ์ค ๋คํธ์ํฌ ๋ณด์;
- ์ด๋ฏธ์ง ๋ฐฐํฌ ๋ฐ ๋น๋ฐ ๊ด๋ฆฌ
- Kubernetes ๋ณด์ ๊ฐ์ฌ;
- ์ข ํฉ์ ์ธ ์์ฉ ์ ํ.
์ฌ์ ์ ์์ํฉ์๋ค :
Kubernetes ์ด๋ฏธ์ง ์ค์บ
์ต์ปค
- ์น ์ฌ์ดํธ :
anchore.com - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache) ๋ฐ ์์ ์ฉ ์ ๊ณต
Anchore๋ ์ปจํ
์ด๋ ์ด๋ฏธ์ง๋ฅผ ๋ถ์ํ๊ณ ์ฌ์ฉ์ ์ ์ ์ ์ฑ
์ ๊ธฐ๋ฐ์ผ๋ก ๋ณด์ ์ ๊ฒ์ ํ์ฉํฉ๋๋ค.
CVE ๋ฐ์ดํฐ๋ฒ ์ด์ค์ ์๋ ค์ง ์ทจ์ฝ์ ์ ๋ํ ์ปจํ ์ด๋ ์ด๋ฏธ์ง์ ์ผ๋ฐ์ ์ธ ์ค์บ ์ธ์๋ Anchore๋ ์ค์บ ์ ์ฑ ์ ์ผ๋ถ๋ก ๋ง์ ์ถ๊ฐ ๊ฒ์ฌ๋ฅผ ์ํํฉ๋๋ค. ์ฆ, Dockerfile, ์๊ฒฉ ์ฆ๋ช ๋์ถ, ์ฌ์ฉ๋ ํ๋ก๊ทธ๋๋ฐ ์ธ์ด ํจํค์ง(npm, maven ๋ฑ)๋ฅผ ํ์ธํฉ๋๋ค. .), ์ํํธ์จ์ด ๋ผ์ด์ผ์ค ๋ฑ.
๋ช ํํ
- ์น ์ฌ์ดํธ :
coreos.com/clair (ํ์ฌ๋ Red Hat์ ์ง๋ ํ์ ์์) - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
Clair๋ ์ด๋ฏธ์ง ์ค์บ๋์ ์ํ ์ต์ด์ ์คํ ์์ค ํ๋ก์ ํธ ์ค ํ๋์์ต๋๋ค. Quay ์ด๋ฏธ์ง ๋ ์ง์คํธ๋ฆฌ ๋ค์ ์๋ ๋ณด์ ์ค์บ๋๋ก ๋๋ฆฌ ์๋ ค์ ธ ์์ต๋๋ค. (CoreOS์์๋ - ๋๋ต. ๋ฒ์ญ). Clair๋ Debian, Red Hat ๋๋ Ubuntu ๋ณด์ ํ์์ ๊ด๋ฆฌํ๋ Linux ๋ฐฐํฌํ๋ณ ์ทจ์ฝ์ ๋ชฉ๋ก์ ํฌํจํ์ฌ ๋ค์ํ ์์ค์์ CVE ์ ๋ณด๋ฅผ ์์งํ ์ ์์ต๋๋ค.
Anchore์ ๋ฌ๋ฆฌ Clair๋ ์ฃผ๋ก ์ทจ์ฝ์ ์ ์ฐพ๊ณ ๋ฐ์ดํฐ๋ฅผ CVE์ ์ผ์น์ํค๋ ๋ฐ ์ค์ ์ ๋ก๋๋ค. ๊ทธ๋ฌ๋ ์ด ์ ํ์ ์ฌ์ฉ์์๊ฒ ํ๋ฌ๊ทธ์ธ ๋๋ผ์ด๋ฒ๋ฅผ ์ฌ์ฉํ์ฌ ๊ธฐ๋ฅ์ ํ์ฅํ ์ ์๋ ๋ช ๊ฐ์ง ๊ธฐํ๋ฅผ ์ ๊ณตํฉ๋๋ค.
๋ค๋ค
- ์น ์ฌ์ดํธ :
github.com/eliasgranderubio/dagda - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
Dagda๋ ์๋ ค์ง ์ทจ์ฝ์ , ํธ๋ก์ด ๋ชฉ๋ง, ๋ฐ์ด๋ฌ์ค, ๋งฌ์จ์ด ๋ฐ ๊ธฐํ ์ํ์ ๋ํ ์ปจํ
์ด๋ ์ด๋ฏธ์ง์ ์ ์ ๋ถ์์ ์ํํฉ๋๋ค.
Dagda๋ฅผ ๋ค๋ฅธ ์ ์ฌํ ๋๊ตฌ์ ๊ตฌ๋ณํ๋ ๋ ๊ฐ์ง ์ฃผ๋ชฉํ ๋งํ ๊ธฐ๋ฅ์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
- ๊ทธ๊ฒ์ ์๋ฒฝํ๊ฒ ํตํฉ๋ฉ๋๋ค
ClamAV๋ฅผ , ์ปจํ ์ด๋ ์ด๋ฏธ์ง๋ฅผ ๊ฒ์ํ๋ ๋๊ตฌ์ผ ๋ฟ๋ง ์๋๋ผ ๋ฐ์ด๋ฌ์ค ๋ฐฑ์ ์ญํ ๋ ํฉ๋๋ค. - ๋ํ Docker ๋ฐ๋ชฌ์์ ์ค์๊ฐ ์ด๋ฒคํธ๋ฅผ ์์ ํ๊ณ Falco์ ํตํฉํ์ฌ ๋ฐํ์ ๋ณดํธ ๊ธฐ๋ฅ์ ์ ๊ณตํฉ๋๋ค. (์๋ ์ฐธ์กฐ) ์ปจํ ์ด๋๊ฐ ์คํ๋๋ ๋์ ๋ณด์ ์ด๋ฒคํธ๋ฅผ ์์งํฉ๋๋ค.
KubeXray
- ์น ์ฌ์ดํธ :
github.com/jfrog/kubexray - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache), ๊ทธ๋ฌ๋ JFrog Xray(์์ ์ฉ ์ ํ)์ ๋ฐ์ดํฐ๊ฐ ํ์ํฉ๋๋ค.
KubeXray๋ Kubernetes API ์๋ฒ์ ์ด๋ฒคํธ๋ฅผ ์์ ํ๊ณ JFrog Xray์ ๋ฉํ๋ฐ์ดํฐ๋ฅผ ์ฌ์ฉํ์ฌ ํ์ฌ ์ ์ฑ
๊ณผ ์ผ์นํ๋ Pod๋ง ์์๋๋๋ก ํฉ๋๋ค.
KubeXray๋ ๋ฐฐํฌ ์ ์ ๊ท ๋๋ ์ ๋ฐ์ดํธ๋ ์ปจํ ์ด๋๋ฅผ ๊ฐ์ฌํ ๋ฟ๋ง ์๋๋ผ(Kubernetes์ ์น์ธ ์ปจํธ๋กค๋ฌ์ ์ ์ฌ) ์คํ ์ค์ธ ์ปจํ ์ด๋๊ฐ ์๋ก์ด ๋ณด์ ์ ์ฑ ์ ์ค์ํ๋์ง ๋์ ์ผ๋ก ํ์ธํ์ฌ ์ทจ์ฝํ ์ด๋ฏธ์ง๋ฅผ ์ฐธ์กฐํ๋ ๋ฆฌ์์ค๋ฅผ ์ ๊ฑฐํฉ๋๋ค.
์ค ๋ํฌ
- ์น ์ฌ์ดํธ :
snyk.io - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache) ๋ฐ ์์ฉ ๋ฒ์
Snyk๋ ํนํ ๊ฐ๋ฐ ํ๋ก์ธ์ค๋ฅผ ๋์์ผ๋ก ํ๋ฉฐ ๊ฐ๋ฐ์๋ฅผ ์ํ "ํ์ ์๋ฃจ์
"์ผ๋ก ํ๋ณด๋๋ค๋ ์ ์์ ํน์ดํ ์ทจ์ฝ์ ์ค์บ๋์
๋๋ค.
Snyk๋ ์ฝ๋ ์ ์ฅ์์ ์ง์ ์ฐ๊ฒฐํ๊ณ , ํ๋ก์ ํธ ๋งค๋ํ์คํธ๋ฅผ ๊ตฌ๋ฌธ ๋ถ์ํ๊ณ , ์ง์ ๋ฐ ๊ฐ์ ์ข ์์ฑ๊ณผ ํจ๊ป ๊ฐ์ ธ์จ ์ฝ๋๋ฅผ ๋ถ์ํฉ๋๋ค. Snyk๋ ๋๋ฆฌ ์ฌ์ฉ๋๋ ๋ง์ ํ๋ก๊ทธ๋๋ฐ ์ธ์ด๋ฅผ ์ง์ํ๋ฉฐ ์จ๊ฒจ์ง ๋ผ์ด์ผ์ค ์ํ์ ์๋ณํ ์ ์์ต๋๋ค.
์ฌ์ํ
- ์น ์ฌ์ดํธ :
github.com/knqyf263/trivy - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(AGPL)
Trivy๋ CI/CD ํ์ดํ๋ผ์ธ์ ์ฝ๊ฒ ํตํฉ๋๋ ๊ฐ๋จํ์ง๋ง ๊ฐ๋ ฅํ ์ปจํ
์ด๋์ฉ ์ทจ์ฝ์ฑ ์ค์บ๋์
๋๋ค. ์ฃผ๋ชฉํ ๋งํ ํน์ง์ ์ค์น ๋ฐ ์๋์ด ์ฝ๋ค๋ ๊ฒ์
๋๋ค. ์ ํ๋ฆฌ์ผ์ด์
์ ๋จ์ผ ๋ฐ์ด๋๋ฆฌ๋ก ๊ตฌ์ฑ๋๋ฉฐ ๋ฐ์ดํฐ๋ฒ ์ด์ค๋ ์ถ๊ฐ ๋ผ์ด๋ธ๋ฌ๋ฆฌ๋ฅผ ์ค์นํ ํ์๊ฐ ์์ต๋๋ค.
Trivy์ ๋จ์์ฑ์ ๋จ์ ์ ๋ค๋ฅธ Kubernetes ๋ณด์ ๋๊ตฌ๊ฐ ๊ฒฐ๊ณผ๋ฅผ ์ฌ์ฉํ ์ ์๋๋ก JSON ํ์์ผ๋ก ๊ฒฐ๊ณผ๋ฅผ ๊ตฌ๋ฌธ ๋ถ์ํ๊ณ ์ ๋ฌํ๋ ๋ฐฉ๋ฒ์ ํ์ ํด์ผ ํ๋ค๋ ๊ฒ์ ๋๋ค.
Kubernetes์ ๋ฐํ์ ๋ณด์
ํ์ฝ
- ์น ์ฌ์ดํธ :
falco.org - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
Falco๋ ํด๋ผ์ฐ๋ ๋ฐํ์ ํ๊ฒฝ์ ๋ณดํธํ๊ธฐ ์ํ ๋๊ตฌ ์ธํธ์
๋๋ค. ํ๋ก์ ํธ ์ ํ๊ตฐ์ ์ผ๋ถ
Falco๋ Sysdig์ Linux ์ปค๋ ์์ค ๋๊ตฌ ๋ฐ ์์คํ ํธ์ถ ํ๋กํ์ผ๋ง์ ์ฌ์ฉํ์ฌ ์์คํ ๋์์ ์ฌ์ธต์ ์ผ๋ก ๋ถ์ํ ์ ์๋๋ก ํด์ค๋๋ค. ๋ฐํ์ ๊ท์น ์์ง์ ์ ํ๋ฆฌ์ผ์ด์ , ์ปจํ ์ด๋, ๊ธฐ๋ณธ ํธ์คํธ ๋ฐ Kubernetes ์ค์ผ์คํธ๋ ์ดํฐ์์ ์์ฌ์ค๋ฌ์ด ํ๋์ ํ์งํ ์ ์์ต๋๋ค.
Falco๋ ์ด๋ฌํ ๋ชฉ์ ์ ์ํด Kubernetes ๋ ธ๋์ ํน์ ์์ด์ ํธ๋ฅผ ๋ฐฐํฌํ์ฌ ๋ฐํ์ ๋ฐ ์ํ ํ์ง์ ๋ํ ์์ ํ ํฌ๋ช ์ฑ์ ์ ๊ณตํฉ๋๋ค. ๊ฒฐ๊ณผ์ ์ผ๋ก ํ์ฌ ์ฝ๋๋ฅผ ๋์ ํ๊ฑฐ๋ ์ฌ์ด๋์นด ์ปจํ ์ด๋๋ฅผ ์ถ๊ฐํ์ฌ ์ปจํ ์ด๋๋ฅผ ์์ ํ ํ์๊ฐ ์์ต๋๋ค.
๋ฐํ์์ฉ Linux ๋ณด์ ํ๋ ์์ํฌ
์ด๋ฌํ Linux ์ปค๋์ฉ ๊ธฐ๋ณธ ํ๋ ์์ํฌ๋ ์ ํต์ ์ธ ์๋ฏธ์ 'Kubernetes ๋ณด์ ๋๊ตฌ'๋ ์๋์ง๋ง Kubernetes Pod ๋ณด์ ์ ์ฑ
(PSP)์ ํฌํจ๋ ๋ฐํ์ ๋ณด์ ๋งฅ๋ฝ์์ ์ค์ํ ์์์ด๊ธฐ ๋๋ฌธ์ ์ธ๊ธํ ๊ฐ์น๊ฐ ์์ต๋๋ค.
๋ณด์์ด ๊ฐํ๋ Linux(
Sysdig ์คํ ์์ค
- ์น ์ฌ์ดํธ :
www.sysdig.com/opensource - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
Sysdig๋ Linux ์์คํ
์ ๋ถ์, ์ง๋จ ๋ฐ ๋๋ฒ๊น
ํ๊ธฐ ์ํ ์๋ฒฝํ ๋๊ตฌ์
๋๋ค(Windows ๋ฐ macOS์์๋ ์๋ํ์ง๋ง ๊ธฐ๋ฅ์ด ์ ํ๋จ). ์์ธํ ์ ๋ณด ์์ง, ๊ฒ์ฆ, ํฌ๋ ์ ๋ถ์์ ์ฌ์ฉ๋ ์ ์์ต๋๋ค. (๋ฒ์ํ) ๊ธฐ๋ณธ ์์คํ
๊ณผ ๊ทธ ์์์ ์คํ๋๋ ๋ชจ๋ ์ปจํ
์ด๋.
๋ํ Sysdig๋ ๊ธฐ๋ณธ์ ์ผ๋ก ์ปจํ
์ด๋ ๋ฐํ์ ๋ฐ Kubernetes ๋ฉํ๋ฐ์ดํฐ๋ฅผ ์ง์ํ์ฌ ์์งํ๋ ๋ชจ๋ ์์คํ
๋์ ์ ๋ณด์ ์ถ๊ฐ ์ฐจ์๊ณผ ๋ ์ด๋ธ์ ์ถ๊ฐํฉ๋๋ค. Sysdig๋ฅผ ์ฌ์ฉํ์ฌ Kubernetes ํด๋ฌ์คํฐ๋ฅผ ๋ถ์ํ๋ ๋ฐฉ๋ฒ์๋ ์ฌ๋ฌ ๊ฐ์ง๊ฐ ์์ต๋๋ค. ๋ค์์ ํตํด ํน์ ์์ ์บก์ฒ๋ฅผ ์ํํ ์ ์์ต๋๋ค.
์ฟ ๋ฒ๋คํฐ์ค ๋คํธ์ํฌ ๋ณด์
์ํฌ๋ ํ
- ์น ์ฌ์ดํธ :
www.aporeto.com - ๋ผ์ด์ผ์ค: ์์ ์ฉ
Aporeto๋ "๋คํธ์ํฌ ๋ฐ ์ธํ๋ผ์ ๋ถ๋ฆฌ๋ ๋ณด์"์ ์ ๊ณตํฉ๋๋ค. ์ฆ, Kubernetes ์๋น์ค๋ ๋ก์ปฌ ID(์: Kubernetes์ ServiceAccount)๋ฟ๋ง ์๋๋ผ OpenShift ํด๋ฌ์คํฐ ๋ฑ์ ๋ค๋ฅธ ์๋น์ค์ ์์ ํ๊ฒ ์ํธ ํต์ ํ๋ ๋ฐ ์ฌ์ฉํ ์ ์๋ ๋ฒ์ฉ ID/์ง๋ฌธ๋ ์์ ํฉ๋๋ค.
Aporeto๋ Kubernetes/์ปจํ ์ด๋๋ฟ๋ง ์๋๋ผ ํธ์คํธ, ํด๋ผ์ฐ๋ ๊ธฐ๋ฅ ๋ฐ ์ฌ์ฉ์์ ๋ํด์๋ ๊ณ ์ ID๋ฅผ ์์ฑํ ์ ์์ต๋๋ค. ์ด๋ฌํ ์๋ณ์์ ๊ด๋ฆฌ์๊ฐ ์ค์ ํ ๋คํธ์ํฌ ๋ณด์ ๊ท์น ์งํฉ์ ๋ฐ๋ผ ํต์ ์ด ํ์ฉ๋๊ฑฐ๋ ์ฐจ๋จ๋ฉ๋๋ค.
์ฅ์๋ชฉ
- ์น ์ฌ์ดํธ :
www.projectcalico.org - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
Calico๋ ์ผ๋ฐ์ ์ผ๋ก ์ปจํ
์ด๋ ์ค์ผ์คํธ๋ ์ดํฐ ์ค์น ์ค์ ๋ฐฐํฌ๋๋ฏ๋ก ์ปจํ
์ด๋๋ฅผ ์ํธ ์ฐ๊ฒฐํ๋ ๊ฐ์ ๋คํธ์ํฌ๋ฅผ ์์ฑํ ์ ์์ต๋๋ค. ์ด ๊ธฐ๋ณธ ๋คํธ์ํฌ ๊ธฐ๋ฅ ์ธ์๋ Calico ํ๋ก์ ํธ๋ Kubernetes ๋คํธ์ํฌ ์ ์ฑ
๋ฐ ์์ฒด ๋คํธ์ํฌ ๋ณด์ ํ๋กํ ์ธํธ์ ํจ๊ป ์๋ํ๊ณ ์์ ๋ฐ ์ก์ ํธ๋ํฝ์ ๋ํ ์๋ํฌ์ธํธ ACL(์ก์ธ์ค ์ ์ด ๋ชฉ๋ก) ๋ฐ ์ฃผ์ ๊ธฐ๋ฐ ๋คํธ์ํฌ ๋ณด์ ๊ท์น์ ์ง์ํฉ๋๋ค.
์ฌ๋ชจ
- ์น ์ฌ์ดํธ :
www.cilium.io - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
Cilium์ ์ปจํ
์ด๋์ ๋ฐฉํ๋ฒฝ ์ญํ ์ ํ๋ฉฐ Kubernetes ๋ฐ ๋ง์ดํฌ๋ก์๋น์ค ์ํฌ๋ก๋์ ๊ธฐ๋ณธ์ ์ผ๋ก ๋ง์ถคํ๋ ๋คํธ์ํฌ ๋ณด์ ๊ธฐ๋ฅ์ ์ ๊ณตํฉ๋๋ค. Cilium์ BPF(Berkeley Packet Filter)๋ผ๋ ์๋ก์ด Linux ์ปค๋ ๊ธฐ์ ์ ์ฌ์ฉํ์ฌ ๋ฐ์ดํฐ๋ฅผ ํํฐ๋ง, ๋ชจ๋ํฐ๋ง, ๋ฆฌ๋๋ ์
๋ฐ ์์ ํฉ๋๋ค.
Cilium์ Docker ๋๋ Kubernetes ๋ ์ด๋ธ๊ณผ ๋ฉํ๋ฐ์ดํฐ๋ฅผ ์ฌ์ฉํ์ฌ ์ปจํ ์ด๋ ID๋ฅผ ๊ธฐ๋ฐ์ผ๋ก ๋คํธ์ํฌ ์ก์ธ์ค ์ ์ฑ ์ ๋ฐฐํฌํ ์ ์์ต๋๋ค. ๋ํ Cilium์ HTTP ๋๋ gRPC์ ๊ฐ์ ๋ค์ํ ๋ ์ด์ด 7 ํ๋กํ ์ฝ์ ์ดํดํ๊ณ ํํฐ๋งํ๋ฏ๋ก ์๋ฅผ ๋ค์ด ๋ Kubernetes ๋ฐฐํฌ ๊ฐ์ ํ์ฉ๋๋ REST ํธ์ถ ์งํฉ์ ์ ์ํ ์ ์์ต๋๋ค.
์ด์ค ํฐ์ค
- ์น ์ฌ์ดํธ :
istio.io - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
Istio๋ ํ๋ซํผ ๋
๋ฆฝ์ ์ธ ์ ์ด ํ๋ฉด์ ๋ฐฐํฌํ๊ณ ๋ชจ๋ ๊ด๋ฆฌํ ์๋น์ค ํธ๋ํฝ์ ๋์ ์ผ๋ก ๊ตฌ์ฑ ๊ฐ๋ฅํ Envoy ํ๋ก์๋ฅผ ํตํด ๋ผ์ฐํ
ํ์ฌ ์๋น์ค ๋ฉ์ ํจ๋ฌ๋ค์์ ๊ตฌํํ๋ ๊ฒ์ผ๋ก ๋๋ฆฌ ์๋ ค์ ธ ์์ต๋๋ค. Istio๋ ๋ชจ๋ ๋ง์ดํฌ๋ก์๋น์ค ๋ฐ ์ปจํ
์ด๋์ ๋ํ ๊ณ ๊ธ ๋ณด๊ธฐ๋ฅผ ํ์ฉํ์ฌ ๋ค์ํ ๋คํธ์ํฌ ๋ณด์ ์ ๋ต์ ๊ตฌํํฉ๋๋ค.
Istio์ ๋คํธ์ํฌ ๋ณด์ ๊ธฐ๋ฅ์๋ ๋ง์ดํฌ๋ก์๋น์ค ๊ฐ ํต์ ์ HTTPS๋ก ์๋ ์ ๊ทธ๋ ์ด๋ํ๋ ํฌ๋ช ํ TLS ์ํธํ์ ํด๋ฌ์คํฐ์ ๋ค์ํ ์ํฌ๋ก๋ ๊ฐ ํต์ ์ ํ์ฉ/๊ฑฐ๋ถํ๋ ๋ ์ RBAC ์๋ณ ๋ฐ ์ธ์ฆ ์์คํ ์ด ํฌํจ๋ฉ๋๋ค.
๋ฉ๋ชจ. ๋ฒ์ญ: Istio์ ๋ณด์ ์ค์ฌ ๊ธฐ๋ฅ์ ๋ํด ์์ธํ ์์๋ณด๋ ค๋ฉด ๋ค์์ ์ฝ์ด๋ณด์ธ์.
ํฐ๊ฑฐ๋ผ
- ์น ์ฌ์ดํธ :
www.tigera.io - ๋ผ์ด์ผ์ค: ์์ ์ฉ
"Kubernetes ๋ฐฉํ๋ฒฝ"์ด๋ผ๊ณ ๋ถ๋ฆฌ๋ ์ด ์๋ฃจ์
์ ๋คํธ์ํฌ ๋ณด์์ ๋ํ ์ ๋ก ํธ๋ฌ์คํธ ์ ๊ทผ ๋ฐฉ์์ ๊ฐ์กฐํฉ๋๋ค.
๋ค๋ฅธ ๊ธฐ๋ณธ Kubernetes ๋คํธ์ํน ์๋ฃจ์ ๊ณผ ๋ง์ฐฌ๊ฐ์ง๋ก Tigera๋ ๋ฉํ๋ฐ์ดํฐ๋ฅผ ์ฌ์ฉํ์ฌ ํด๋ฌ์คํฐ์ ๋ค์ํ ์๋น์ค์ ๊ฐ์ฒด๋ฅผ ์๋ณํ๊ณ ๋ฐํ์ ๋ฌธ์ ๊ฐ์ง, ์ง์์ ์ธ ๊ท์ ์ค์ ํ์ธ ๋ฐ ๋ฉํฐ ํด๋ผ์ฐ๋ ๋๋ ํ์ด๋ธ๋ฆฌ๋ ๋ชจ๋๋ฆฌ์ ์ปจํ ์ด๋ํ ์ธํ๋ผ์ ๋ํ ๋คํธ์ํฌ ๊ฐ์์ฑ์ ์ ๊ณตํฉ๋๋ค.
ํธ๋ผ์ด๋ฆผ
- ์น ์ฌ์ดํธ :
www.aporeto.com/opensource - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
Trireme-Kubernetes๋ Kubernetes ๋คํธ์ํฌ ์ ์ฑ
์ฌ์์ ๊ฐ๋จํ๊ณ ๊ฐ๋จํ๊ฒ ๊ตฌํํฉ๋๋ค. ๊ฐ์ฅ ์ฃผ๋ชฉํ ๋งํ ๊ธฐ๋ฅ์ ์ ์ฌํ Kubernetes ๋คํธ์ํฌ ๋ณด์ ์ ํ๊ณผ ๋ฌ๋ฆฌ ๋ฉ์๋ฅผ ์กฐ์ ํ๊ธฐ ์ํด ์ค์ ์ ์ด ํ๋ ์ธ์ด ํ์ํ์ง ์๋ค๋ ๊ฒ์
๋๋ค. ์ด๋ ์๋ฃจ์
์ ๊ฐ๋จํ๊ฒ ํ์ฅ ๊ฐ๋ฅํ๊ฒ ๋ง๋ญ๋๋ค. Trireme์์๋ ํธ์คํธ์ TCP/IP ์คํ์ ์ง์ ์ฐ๊ฒฐ๋๋ ๊ฐ ๋
ธ๋์ ์์ด์ ํธ๋ฅผ ์ค์นํ์ฌ ์ด๋ฅผ ์ํํฉ๋๋ค.
์ด๋ฏธ์ง ์ ํ ๋ฐ ๋น๋ฐ ๊ด๋ฆฌ
๊ทธ๋ผํ์์ค
- ์น ์ฌ์ดํธ :
Grafeas.io - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
Grafeas๋ ์ํํธ์จ์ด ๊ณต๊ธ๋ง ๊ฐ์ฌ ๋ฐ ๊ด๋ฆฌ๋ฅผ ์ํ ์คํ ์์ค API์
๋๋ค. ๊ธฐ๋ณธ์ ์ผ๋ก Grafeas๋ ๋ฉํ๋ฐ์ดํฐ ๋ฐ ๊ฐ์ฌ ๊ฒฐ๊ณผ๋ฅผ ์์งํ๋ ๋๊ตฌ์
๋๋ค. ์กฐ์ง ๋ด์์ ๋ณด์ ๋ชจ๋ฒ ์ฌ๋ก์ ์ค์ ์ฌ๋ถ๋ฅผ ์ถ์ ํ๋ ๋ฐ ์ฌ์ฉํ ์ ์์ต๋๋ค.
์ด ์ค์ ์ง์ค์ ์ ๋ณด ์์ค๋ ๋ค์๊ณผ ๊ฐ์ ์ง๋ฌธ์ ๋ตํ๋ ๋ฐ ๋์์ด ๋ฉ๋๋ค.
- ํน์ ์ปจํ ์ด๋๋ฅผ ์์งํ๊ณ ์๋ช ํ ์ฌ๋์ ๋๊ตฌ์ ๋๊น?
- ๋ณด์ ์ ์ฑ ์์ ์๊ตฌํ๋ ๋ชจ๋ ๋ณด์ ๊ฒ์ฌ ๋ฐ ๊ฒ์ฌ๋ฅผ ํต๊ณผํ์ต๋๊น? ์ธ์ ? ๊ฒฐ๊ณผ๋ ์ด๋ ๋์?
- ๋๊ฐ ํ๋ก๋์ ์ ๋ฐฐํฌํ๋์? ๋ฐฐํฌ ์ค์ ์ด๋ค ํน์ ๋งค๊ฐ๋ณ์๊ฐ ์ฌ์ฉ๋์์ต๋๊น?
์ธํ ํ
- ์น ์ฌ์ดํธ :
in-toto.github.io - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
In-toto๋ ์ ์ฒด ์ํํธ์จ์ด ๊ณต๊ธ๋ง์ ๋ํ ๋ฌด๊ฒฐ์ฑ, ์ธ์ฆ ๋ฐ ๊ฐ์ฌ๋ฅผ ์ ๊ณตํ๋๋ก ์ค๊ณ๋ ํ๋ ์์ํฌ์
๋๋ค. In-toto๋ฅผ ์ธํ๋ผ์ ๋ฐฐํฌํ ๋ ํ์ดํ๋ผ์ธ(๋ฆฌํฌ์งํ ๋ฆฌ, CI/CD ๋๊ตฌ, QA ๋๊ตฌ, ์ํฐํฉํธ ์์ง๊ธฐ ๋ฑ)์ ๋ค์ํ ๋จ๊ณ์ ๋ค์์ ์ํํ ์ ์๋ ์ฌ์ฉ์(์ฑ
์์)๋ฅผ ์ค๋ช
ํ๋ ๊ณํ์ด ๋จผ์ ์ ์๋ฉ๋๋ค. ๊ทธ๋ค์ ์์ํ์ญ์์ค.
In-toto๋ ๊ณํ์ ์คํ์ ๋ชจ๋ํฐ๋งํ์ฌ ์ฒด์ธ์ ๊ฐ ์์ ์ด ์น์ธ๋ ์ง์์ ์ํด์๋ง ์ฌ๋ฐ๋ฅด๊ฒ ์ํ๋๋์ง ํ์ธํ๊ณ ์ด๋ ์ค์ ์ ํ์ ์น์ธ๋์ง ์์ ์กฐ์์ด ์ํ๋์ง ์์๋์ง ํ์ธํฉ๋๋ค.
ํฌ๋ฅดํฐ์๋ฆฌ์ค
- ์น ์ฌ์ดํธ :
github.com/IBM/portieris - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
Portieris๋ Kubernetes์ ์น์ธ ์ปจํธ๋กค๋ฌ์
๋๋ค. ์ฝํ
์ธ ์ ๋ขฐ ๊ฒ์ฌ๋ฅผ ์ํํ๋ ๋ฐ ์ฌ์ฉ๋ฉ๋๋ค. Portieris๋ ์๋ฒ๋ฅผ ์ฌ์ฉํฉ๋๋ค.
Kubernetes์์ ์ํฌ๋ก๋๊ฐ ์์ฑ๋๊ฑฐ๋ ์์ ๋๋ฉด Portieris๋ ์์ฒญ๋ ์ปจํ ์ด๋ ์ด๋ฏธ์ง์ ๋ํ ์๋ช ์ ๋ณด์ ์ฝํ ์ธ ์ ๋ขฐ ์ ์ฑ ์ ๋ค์ด๋ก๋ํ๊ณ , ํ์ํ ๊ฒฝ์ฐ JSON API ๊ฐ์ฒด๋ฅผ ์ฆ์ ๋ณ๊ฒฝํ์ฌ ํด๋น ์ด๋ฏธ์ง์ ์๋ช ๋ ๋ฒ์ ์ ์คํํฉ๋๋ค.
๋ฅ๊ทผ ์ฒ์ฅ
- ์น ์ฌ์ดํธ :
www.vaultproject.io - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(MPL)
Vault๋ ๋น๋ฐ๋ฒํธ, OAuth ํ ํฐ, PKI ์ธ์ฆ์, ์ก์ธ์ค ๊ณ์ , Kubernetes ๋น๋ฐ ๋ฑ ๊ฐ์ธ ์ ๋ณด๋ฅผ ์ ์ฅํ๊ธฐ ์ํ ๋ณด์ ์๋ฃจ์
์
๋๋ค. Vault๋ ์์ ๋ณด์ ํ ํฐ ์๋, ํค ์ํ ๊ตฌ์ฑ๊ณผ ๊ฐ์ ๋ค์ํ ๊ณ ๊ธ ๊ธฐ๋ฅ์ ์ง์ํฉ๋๋ค.
Helm ์ฐจํธ๋ฅผ ์ฌ์ฉํ๋ฉด Consul์ ๋ฐฑ์๋ ์คํ ๋ฆฌ์ง๋ก ์ฌ์ฉํ์ฌ Kubernetes ํด๋ฌ์คํฐ์ Vault๋ฅผ ์๋ก์ด ๋ฐฐํฌ๋ก ๋ฐฐํฌํ ์ ์์ต๋๋ค. ServiceAccount ํ ํฐ๊ณผ ๊ฐ์ ๊ธฐ๋ณธ Kubernetes ๋ฆฌ์์ค๋ฅผ ์ง์ํ๋ฉฐ Kubernetes ๋น๋ฐ์ ๊ธฐ๋ณธ ์ ์ฅ์ ์ญํ ๋ ํ ์ ์์ต๋๋ค.
๋ฉ๋ชจ. ๋ฒ์ญ: ๊ทธ๋ฐ๋ฐ ์ด์ Vault๋ฅผ ๊ฐ๋ฐํ๋ HashiCorp ํ์ฌ๋ Kubernetes์์ Vault ์ฌ์ฉ์ ๋ํ ๋ช ๊ฐ์ง ๊ฐ์ ์ฌํญ์ ๋ฐํํ๋๋ฐ, ํนํ Helm ์ฐจํธ์ ๊ด๋ จ์ด ์์ต๋๋ค. ์์ธํ ์์๋ณด๊ธฐ
Kubernetes ๋ณด์ ๊ฐ์ฌ
ํ๋ธ๋ฒค์น
- ์น ์ฌ์ดํธ :
github.com/aquasecurity/kube-bench - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
Kube-bench๋ ๋ชฉ๋ก์์ ํ
์คํธ๋ฅผ ์คํํ์ฌ Kubernetes๊ฐ ์์ ํ๊ฒ ๋ฐฐํฌ๋์๋์ง ํ์ธํ๋ Go ์ ํ๋ฆฌ์ผ์ด์
์
๋๋ค.
Kube-bench๋ ํด๋ฌ์คํฐ ๊ตฌ์ฑ ์์(etcd, API, ์ปจํธ๋กค๋ฌ ๊ด๋ฆฌ์ ๋ฑ) ๊ฐ์ ์์ ํ์ง ์์ ๊ตฌ์ฑ ์ค์ , ์์ฌ์ค๋ฌ์ด ํ์ผ ์ก์ธ์ค ๊ถํ, ๋ณดํธ๋์ง ์์ ๊ณ์ ๋๋ ์ด๋ฆฐ ํฌํธ, ๋ฆฌ์์ค ํ ๋น๋, DoS ๊ณต๊ฒฉ์ผ๋ก๋ถํฐ ๋ณดํธํ๊ธฐ ์ํ API ํธ์ถ ์ ์ ํ ์ค์ ์ ์ฐพ์ต๋๋ค. , ๋ฑ.
์ฟ ๋ฒ ํํฐ
- ์น ์ฌ์ดํธ :
github.com/aquasecurity/kube-hunter - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
Kube-hunter๋ Kubernetes ํด๋ฌ์คํฐ์ ์ ์ฌ์ ์ธ ์ทจ์ฝ์ (์: ์๊ฒฉ ์ฝ๋ ์คํ ๋๋ ๋ฐ์ดํฐ ๊ณต๊ฐ)์ ์ฐพ์ต๋๋ค. Kube-hunter๋ ์๊ฒฉ ์ค์บ๋๋ก ์คํ๋ ์ ์์ต๋๋ค. ์ด ๊ฒฝ์ฐ ํ์ฌ ๊ณต๊ฒฉ์์ ๊ด์ ์์ ํด๋ฌ์คํฐ๋ฅผ ํ๊ฐํ๊ฑฐ๋ ํด๋ฌ์คํฐ ๋ด๋ถ์ ํฌ๋๋ก ์คํ๋ฉ๋๋ค.
Kube-hunter์ ๋ ํนํ ํน์ง์ "ํ์ฑ ํํ " ๋ชจ๋๋ก, ์ด ๋ชจ๋์์๋ ๋ฌธ์ ๋ฅผ ๋ณด๊ณ ํ ๋ฟ๋ง ์๋๋ผ ์ ์ฌ์ ์ผ๋ก ์ด์์ ํด๋ฅผ ๋ผ์น ์ ์๋ ๋์ ํด๋ฌ์คํฐ์์ ๋ฐ๊ฒฌ๋ ์ทจ์ฝ์ ์ ํ์ฉํ๋ ค๊ณ ์๋ํฉ๋๋ค. ๊ทธ๋ฌ๋ ์ฃผ์ํด์ ์ฌ์ฉํ์ธ์!
Kubeaudit
- ์น ์ฌ์ดํธ :
github.com/Shopify/kubeaudit - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(MIT)
Kubeaudit๋ ์๋ Shopify์์ ๋ค์ํ ๋ณด์ ๋ฌธ์ ์ ๋ํ Kubernetes ๊ตฌ์ฑ์ ๊ฐ์ฌํ๊ธฐ ์ํด ๊ฐ๋ฐํ ์ฝ์ ๋๊ตฌ์
๋๋ค. ์๋ฅผ ๋ค์ด, ์ ํ ์์ด ์คํ๋๊ฑฐ๋, ๋ฃจํธ๋ก ์คํ๋๊ฑฐ๋, ๊ถํ์ ๋จ์ฉํ๊ฑฐ๋, ๊ธฐ๋ณธ ServiceAccount๋ฅผ ์ฌ์ฉํ๋ ์ปจํ
์ด๋๋ฅผ ์๋ณํ๋ ๋ฐ ๋์์ด ๋ฉ๋๋ค.
Kubeaudit์๋ ๋ค๋ฅธ ํฅ๋ฏธ๋ก์ด ๊ธฐ๋ฅ์ด ์์ต๋๋ค. ์๋ฅผ ๋ค์ด ๋ก์ปฌ YAML ํ์ผ์ ๋ถ์ํ์ฌ ๋ณด์ ๋ฌธ์ ๋ฅผ ์ผ์ผํฌ ์ ์๋ ๊ตฌ์ฑ ๊ฒฐํจ์ ์๋ณํ๊ณ ์๋์ผ๋ก ์์ ํ ์ ์์ต๋๋ค.
์ฟ ๋ฒ ์น
- ์น ์ฌ์ดํธ :
kubesec.io - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
Kubesec์ Kubernetes ๋ฆฌ์์ค๋ฅผ ์ค๋ช
ํ๋ YAML ํ์ผ์ ์ง์ ์ค์บํ์ฌ ๋ณด์์ ์ํฅ์ ์ค ์ ์๋ ์ทจ์ฝํ ๋งค๊ฐ๋ณ์๋ฅผ ์ฐพ๋ ํน์ ๋๊ตฌ์
๋๋ค.
์๋ฅผ ๋ค์ด ํฌ๋์ ๋ถ์ฌ๋ ๊ณผ๋ํ ๊ถํ ๋ฐ ์ฌ์ฉ ๊ถํ, ๋ฃจํธ๋ฅผ ๊ธฐ๋ณธ ์ฌ์ฉ์๋ก ์ฌ์ฉํ์ฌ ์ปจํ
์ด๋ ์คํ, ํธ์คํธ์ ๋คํธ์ํฌ ๋ค์์คํ์ด์ค์ ์ฐ๊ฒฐ ๋๋ ๋ค์๊ณผ ๊ฐ์ ์ํํ ๋ง์ดํธ๋ฅผ ๊ฐ์งํ ์ ์์ต๋๋ค. /proc
ํธ์คํธ ๋๋ Docker ์์ผ. Kubesec์ ๋ ๋ค๋ฅธ ํฅ๋ฏธ๋ก์ด ๊ธฐ๋ฅ์ YAML์ ์
๋ก๋ํ๊ณ ์ฆ์ ๋ถ์ํ ์ ์๋ ์จ๋ผ์ธ ๋ฐ๋ชจ ์๋น์ค์
๋๋ค.
์ ์ฑ ์์ด์ ํธ ์ด๊ธฐ
- ์น ์ฌ์ดํธ :
www.openpolicyagent.org - ๋ผ์ด์ผ์ค: ๋ฌด๋ฃ(Apache)
OPA(๊ฐ๋ฐฉํ ์ ์ฑ
์์ด์ ํธ)์ ๊ฐ๋
์ Docker, Kubernetes, Mesosphere, OpenShift ๋๋ ์ด๋ค์ ์กฐํฉ๊ณผ ๊ฐ์ ํน์ ๋ฐํ์ ํ๋ซํผ์์ ๋ณด์ ์ ์ฑ
๊ณผ ๋ณด์ ๋ชจ๋ฒ ์ฌ๋ก๋ฅผ ๋ถ๋ฆฌํ๋ ๊ฒ์
๋๋ค.
์๋ฅผ ๋ค์ด OPA๋ฅผ Kubernetes ์น์ธ ์ปจํธ๋กค๋ฌ์ ๋ฐฑ์๋๋ก ๋ฐฐํฌํ์ฌ ๋ณด์ ๊ฒฐ์ ์ ์์ํ ์ ์์ต๋๋ค. ์ด๋ฐ ๋ฐฉ์์ผ๋ก OPA ์์ด์ ํธ๋ ์ง์ ๋ ๋ณด์ ๋งค๊ฐ๋ณ์๊ฐ ์ถฉ์กฑ๋๋์ง ํ์ธํ๋ฉด์ ์ฆ์ ์์ฒญ์ ๊ฒ์ฆ, ๊ฑฐ๋ถ ๋ฐ ์์ ํ ์๋ ์์ต๋๋ค. OPA์ ๋ณด์ ์ ์ฑ ์ ๋ ์ DSL ์ธ์ด์ธ Rego๋ก ์์ฑ๋์์ต๋๋ค.
๋ฉ๋ชจ. ๋ฒ์ญ: ์ฐ๋ฆฌ๋ OPA(๋ฐ SPIFFE)์ ๋ํด ๋ ์์ธํ ์ผ์ต๋๋ค.
Kubernetes ๋ณด์ ๋ถ์์ ์ํ ํฌ๊ด์ ์ธ ์์ฉ ๋๊ตฌ
์ฐ๋ฆฌ๋ ์์ฉ ํ๋ซํผ์ด ์ผ๋ฐ์ ์ผ๋ก ์ฌ๋ฌ ๋ณด์ ์์ญ์ ๋ค๋ฃจ๊ธฐ ๋๋ฌธ์ ๋ณ๋์ ์นดํ ๊ณ ๋ฆฌ๋ฅผ ๋ง๋ค๊ธฐ๋ก ๊ฒฐ์ ํ์ต๋๋ค. ํด๋น ๊ธฐ๋ฅ์ ๋ํ ์ผ๋ฐ์ ์ธ ์์ด๋์ด๋ ํ์์ ์ป์ ์ ์์ต๋๋ค.
* ์๋ฒฝํ ์ฌ์ ๊ฒ์ฌ ๋ฐ ์ฌํ ๋ถ์
์์ฟ ์ ์ํ๋ฆฌํฐ
- ์น ์ฌ์ดํธ :
www.aquasec.com - ๋ผ์ด์ผ์ค: ์์ ์ฉ
์ด ์์ฉ ๋๊ตฌ๋ ์ปจํ
์ด๋ ๋ฐ ํด๋ผ์ฐ๋ ์ํฌ๋ก๋์ฉ์ผ๋ก ์ค๊ณ๋์์ต๋๋ค. ๋ค์์ ์ ๊ณตํฉ๋๋ค:
- ์ปจํ ์ด๋ ๋ ์ง์คํธ๋ฆฌ ๋๋ CI/CD ํ์ดํ๋ผ์ธ๊ณผ ํตํฉ๋ ์ด๋ฏธ์ง ์ค์บ๋
- ์ปจํ ์ด๋์ ๋ณ๊ฒฝ ์ฌํญ ๋ฐ ๊ธฐํ ์์ฌ์ค๋ฌ์ด ํ๋์ ๊ฒ์ํ์ฌ ๋ฐํ์ ๋ณดํธ
- ์ปจํ ์ด๋ ๊ธฐ๋ฐ ๋ฐฉํ๋ฒฝ
- ํด๋ผ์ฐ๋ ์๋น์ค์ ์๋ฒ๋ฆฌ์ค ๋ณด์;
- ์ด๋ฒคํธ ๋ก๊น ๊ณผ ๊ฒฐํฉ๋ ๊ท์ ์ค์ ํ ์คํธ ๋ฐ ๊ฐ์ฌ.
๋ฉ๋ชจ. ๋ฒ์ญ: ๋ํ, ๋ค์๊ณผ ๊ฐ์ ์ ๋ ์ฃผ๋ชฉํ ๊ฐ์น๊ฐ ์์ต๋๋ค. ๋ผ๋ ์ ํ์ ๋ฌด๋ฃ ๊ตฌ์ฑ ์์
์บก์8
- ์น ์ฌ์ดํธ :
capsule8.com - ๋ผ์ด์ผ์ค: ์์ ์ฉ
Capsule8์ ๋ก์ปฌ ๋๋ ํด๋ผ์ฐ๋ Kubernetes ํด๋ฌ์คํฐ์ ๊ฐ์ง๊ธฐ๋ฅผ ์ค์นํ์ฌ ์ธํ๋ผ์ ํตํฉ๋ฉ๋๋ค. ์ด ํ์ง๊ธฐ๋ ํธ์คํธ ๋ฐ ๋คํธ์ํฌ ์๊ฒฉ ๋ถ์์ ์์งํ์ฌ ๋ค์ํ ์ ํ์ ๊ณต๊ฒฉ๊ณผ ์ฐ๊ด์ํต๋๋ค.
Capsule8 ํ์ ์๋ก์ด ๊ธฐ์ ์ ํ์ฉํ์ฌ ๊ณต๊ฒฉ์ ์กฐ๊ธฐ์ ํ์งํ๊ณ ์๋ฐฉํ๋ ๊ฒ์ ์๋ฌด๋ก ๋ณด๊ณ ์์ต๋๋ค. (0์ผ) ์ทจ์ฝ์ . Capsule8์ ์๋ก ๋ฐ๊ฒฌ๋ ์ํ ๋ฐ ์ํํธ์จ์ด ์ทจ์ฝ์ ์ ๋์ํ์ฌ ์ ๋ฐ์ดํธ๋ ๋ณด์ ๊ท์น์ ํ์ง๊ธฐ์ ์ง์ ๋ค์ด๋ก๋ํ ์ ์์ต๋๋ค.
์นด๋น๋ฆฐ
- ์น ์ฌ์ดํธ :
www.cavirin.com - ๋ผ์ด์ผ์ค: ์์ ์ฉ
Cavirin์ ์์ ํ์ค๊ณผ ๊ด๋ จ๋ ๋ค์ํ ๊ธฐ๊ด์ ํ์ฌ์ธก ๊ณ์ฝ์ ์ญํ ์ ํฉ๋๋ค. ์ด๋ฏธ์ง๋ฅผ ์ค์บํ ์ ์์ ๋ฟ๋ง ์๋๋ผ CI/CD ํ์ดํ๋ผ์ธ์ ํตํฉํ์ฌ ๋นํ์ค ์ด๋ฏธ์ง๊ฐ ํ์๋ ์ ์ฅ์์ ๋ค์ด๊ฐ๊ธฐ ์ ์ ์ฐจ๋จํ ์๋ ์์ต๋๋ค.
Cavirin์ ๋ณด์ ์ ํ๊ตฐ์ ๊ธฐ๊ณ ํ์ต์ ์ฌ์ฉํ์ฌ ์ฌ์ด๋ฒ ๋ณด์ ์ํ๋ฅผ ํ๊ฐํ๊ณ ๋ณด์์ ๊ฐ์ ํ๊ณ ๋ณด์ ํ์ค ์ค์๋ฅผ ํฅ์์ํค๋ ํ์ ์ ๊ณตํฉ๋๋ค.
Google Cloud ๋ณด์ ๋ช ๋ น ์ผํฐ
- ์น ์ฌ์ดํธ :
cloud.google.com/security-command-center - ๋ผ์ด์ผ์ค: ์์ ์ฉ
Cloud Security Command Center๋ ๋ณด์ํ์ด ๋ฐ์ดํฐ๋ฅผ ์์งํ๊ณ , ์ํ์ ์๋ณํ๊ณ , ํ์ฌ์ ํด๋ฅผ ๋ผ์น๊ธฐ ์ ์ ์ ๊ฑฐํ๋ ๋ฐ ๋์์ด ๋ฉ๋๋ค.
์ด๋ฆ์์ ์ ์ ์๋ฏ์ด Google Cloud SCC๋ ๋จ์ผ ์ค์ ์์ค์์ ๋ค์ํ ๋ณด์ ๋ณด๊ณ ์, ์์ฐ ํ๊ณ ์์ง, ํ์ฌ ๋ณด์ ์์คํ ์ ํตํฉํ๊ณ ๊ด๋ฆฌํ ์ ์๋ ํตํฉ ์ ์ดํ์ ๋๋ค.
Google Cloud SCC์์ ์ ๊ณตํ๋ ์ํธ ์ด์ฉ ๊ฐ๋ฅํ API๋ฅผ ์ฌ์ฉํ๋ฉด Sysdig Secure(ํด๋ผ์ฐ๋ ๊ธฐ๋ฐ ์ ํ๋ฆฌ์ผ์ด์ ์ ์ํ ์ปจํ ์ด๋ ๋ณด์) ๋๋ Falco(์คํ ์์ค ๋ฐํ์ ๋ณด์)์ ๊ฐ์ ๋ค์ํ ์์ค์์ ๋ฐ์ํ๋ ๋ณด์ ์ด๋ฒคํธ๋ฅผ ์ฝ๊ฒ ํตํฉํ ์ ์์ต๋๋ค.
๊ณ์ธตํ๋ ํต์ฐฐ๋ ฅ(Qualys)
- ์น ์ฌ์ดํธ :
layeredinsight.com - ๋ผ์ด์ผ์ค: ์์ ์ฉ
Layered Insight(ํ์ฌ Qualys Inc์ ์ผ๋ถ)๋ "๋ด์ฅํ ๋ณด์"์ด๋ผ๋ ๊ฐ๋
์ ๊ธฐ๋ฐ์ผ๋ก ๊ตฌ์ถ๋์์ต๋๋ค. Layered Insight๋ ํต๊ณ ๋ถ์ ๋ฐ CVE ๊ฒ์ฌ๋ฅผ ์ฌ์ฉํ์ฌ ์๋ณธ ์ด๋ฏธ์ง์์ ์ทจ์ฝ์ ์ ์ค์บํ ํ ์์ด์ ํธ๋ฅผ ๋ฐ์ด๋๋ฆฌ๋ก ํฌํจํ๋ ๊ณ์ธก ์ด๋ฏธ์ง๋ก ๋์ฒดํฉ๋๋ค.
์ด ์์ด์ ํธ์๋ ์ปจํ ์ด๋ ๋คํธ์ํฌ ํธ๋ํฝ, I/O ํ๋ฆ ๋ฐ ์ ํ๋ฆฌ์ผ์ด์ ํ๋์ ๋ถ์ํ๊ธฐ ์ํ ๋ฐํ์ ๋ณด์ ํ ์คํธ๊ฐ ํฌํจ๋์ด ์์ต๋๋ค. ๋ํ ์ธํ๋ผ ๊ด๋ฆฌ์ ๋๋ DevOps ํ์ด ์ง์ ํ ์ถ๊ฐ ๋ณด์ ๊ฒ์ฌ๋ฅผ ์ํํ ์ ์์ต๋๋ค.
Neu๋ฒกํฐ
- ์น ์ฌ์ดํธ :
neuVector.com - ๋ผ์ด์ผ์ค: ์์ ์ฉ
NeuVector๋ ๋คํธ์ํฌ ํ๋ ๋ฐ ์ ํ๋ฆฌ์ผ์ด์
๋์์ ๋ถ์ํ๊ณ ๊ฐ ์ปจํ
์ด๋์ ๋ํ ๊ฐ๋ณ ๋ณด์ ํ๋กํ์ ์์ฑํ์ฌ ์ปจํ
์ด๋ ๋ณด์์ ํ์ธํ๊ณ ๋ฐํ์ ๋ณดํธ๋ฅผ ์ ๊ณตํฉ๋๋ค. ๋ํ ์์ฒด์ ์ผ๋ก ์ํ์ ์ฐจ๋จํ๊ณ ๋ก์ปฌ ๋ฐฉํ๋ฒฝ ๊ท์น์ ๋ณ๊ฒฝํ์ฌ ์์ฌ์ค๋ฌ์ด ํ๋์ ๊ฒฉ๋ฆฌํ ์๋ ์์ต๋๋ค.
Security Mesh๋ก ์๋ ค์ง NeuVector์ ๋คํธ์ํฌ ํตํฉ์ ์๋น์ค ๋ฉ์์ ๋ชจ๋ ๋คํธ์ํฌ ์ฐ๊ฒฐ์ ๋ํ ์ฌ์ธต ํจํท ๋ถ์ ๋ฐ ๋ ์ด์ด 7 ํํฐ๋ง์ด ๊ฐ๋ฅํฉ๋๋ค.
์คํ๋ก์ค
- ์น ์ฌ์ดํธ :
www.stackrox.com - ๋ผ์ด์ผ์ค: ์์ ์ฉ
StackRox ์ปจํ
์ด๋ ๋ณด์ ํ๋ซํผ์ ํด๋ฌ์คํฐ์ ์๋ Kubernetes ์ ํ๋ฆฌ์ผ์ด์
์ ์ ์ฒด ์๋ช
์ฃผ๊ธฐ๋ฅผ ํฌ๊ดํ๊ธฐ ์ํด ๋
ธ๋ ฅํฉ๋๋ค. ์ด ๋ชฉ๋ก์ ์๋ ๋ค๋ฅธ ์์ฉ ํ๋ซํผ๊ณผ ๋ง์ฐฌ๊ฐ์ง๋ก StackRox๋ ๊ด์ฐฐ๋ ์ปจํ
์ด๋ ๋์์ ๊ธฐ๋ฐ์ผ๋ก ๋ฐํ์ ํ๋กํ์ ์์ฑํ๊ณ ํธ์ฐจ๊ฐ ์์ ๊ฒฝ์ฐ ์๋์ผ๋ก ๊ฒฝ๋ณด๋ฅผ ์ธ๋ฆฝ๋๋ค.
๋ํ StackRox๋ Kubernetes CIS ๋ฐ ๊ธฐํ ๊ท์น์๋ฅผ ์ฌ์ฉํ์ฌ Kubernetes ๊ตฌ์ฑ์ ๋ถ์ํ์ฌ ์ปจํ ์ด๋ ๊ท์ ์ค์๋ฅผ ํ๊ฐํฉ๋๋ค.
Sysdig ๋ณด์
- ์น ์ฌ์ดํธ :
sysdig.com/products/secure - ๋ผ์ด์ผ์ค: ์์ ์ฉ
Sysdig Secure๋ ์ ์ฒด ์ปจํ
์ด๋ ๋ฐ Kubernetes ์๋ช
์ฃผ๊ธฐ ๋์ ์ ํ๋ฆฌ์ผ์ด์
์ ๋ณดํธํฉ๋๋ค. ๊ทธ
Sysdig Secure๋ Jenkins์ ๊ฐ์ CI/CD ๋๊ตฌ์ ํตํฉ๋๊ณ Docker ๋ ์ง์คํธ๋ฆฌ์์ ๋ก๋๋ ์ด๋ฏธ์ง๋ฅผ ์ ์ดํ์ฌ ์ํํ ์ด๋ฏธ์ง๊ฐ ํ๋ก๋์ ์ ๋ํ๋๋ ๊ฒ์ ๋ฐฉ์งํฉ๋๋ค. ๋ํ ๋ค์์ ํฌํจํ์ฌ ํฌ๊ด์ ์ธ ๋ฐํ์ ๋ณด์์ ์ ๊ณตํฉ๋๋ค.
- ML ๊ธฐ๋ฐ ๋ฐํ์ ํ๋กํ์ผ๋ง ๋ฐ ์ด์ ํ์ง
- ์์คํ
์ด๋ฒคํธ, K8s ๊ฐ์ฌ API, ๊ณต๋ ์ปค๋ฎค๋ํฐ ํ๋ก์ ํธ(FIM - ํ์ผ ๋ฌด๊ฒฐ์ฑ ๋ชจ๋ํฐ๋ง, ํฌ๋ฆฝํ ์ฌํน) ๋ฐ ํ๋ ์์ํฌ๋ฅผ ๊ธฐ๋ฐ์ผ๋ก ํ๋ ๋ฐํ์ ์ ์ฑ
MITER ATT & CK ; - ์ฌ๊ฑด์ ๋์๊ณผ ํด๊ฒฐ.
ํ ๋๋ธ ์ปจํ ์ด๋ ๋ณด์
- ์น ์ฌ์ดํธ :
www.tenable.com/products/tenable-io/container-security - ๋ผ์ด์ผ์ค: ์์ ์ฉ
์ปจํ
์ด๋๊ฐ ๋ฑ์ฅํ๊ธฐ ์ ์ Tenable์ ์ธ๊ธฐ ์๋ ์ทจ์ฝ์ฑ ๊ฒ์ ๋ฐ ๋ณด์ ๊ฐ์ฌ ๋๊ตฌ์ธ Nessus๋ฅผ ๊ฐ๋ฐํ ํ์ฌ๋ก ์
๊ณ์ ๋๋ฆฌ ์๋ ค์ ธ ์์์ต๋๋ค.
Tenable Container Security๋ ํ์ฌ์ ์ปดํจํฐ ๋ณด์ ์ ๋ฌธ ์ง์์ ํ์ฉํ์ฌ CI/CD ํ์ดํ๋ผ์ธ์ ์ทจ์ฝ์ฑ ๋ฐ์ดํฐ๋ฒ ์ด์ค, ์ ๋ฌธ ๋งฌ์จ์ด ํ์ง ํจํค์ง ๋ฐ ๋ณด์ ์ํ ํด๊ฒฐ์ ์ํ ๊ถ์ฅ ์ฌํญ๊ณผ ํตํฉํฉ๋๋ค.
ํธ์์คํธ๋ฝ(ํ๋ก์ํ ๋คํธ์์ค)
- ์น ์ฌ์ดํธ :
www.twistlock.com - ๋ผ์ด์ผ์ค: ์์ ์ฉ
Twistlock์ ํด๋ผ์ฐ๋ ์๋น์ค ๋ฐ ์ปจํ
์ด๋์ ์ด์ ์ ๋ง์ถ ํ๋ซํผ์ผ๋ก ์ค์ค๋ก๋ฅผ ํ๋ณดํฉ๋๋ค. Twistlock์ ๋ค์ํ ํด๋ผ์ฐ๋ ๊ณต๊ธ์(AWS, Azure, GCP), ์ปจํ
์ด๋ ์ค์ผ์คํธ๋ ์ดํฐ(Kubernetes, Mesospehere, OpenShift, Docker), ์๋ฒ๋ฆฌ์ค ๋ฐํ์, ๋ฉ์ ํ๋ ์์ํฌ ๋ฐ CI/CD ๋๊ตฌ๋ฅผ ์ง์ํฉ๋๋ค.
CI/CD ํ์ดํ๋ผ์ธ ํตํฉ ๋๋ ์ด๋ฏธ์ง ์ค์บ๋๊ณผ ๊ฐ์ ๊ธฐ์กด์ ์ํฐํ๋ผ์ด์ฆ๊ธ ๋ณด์ ๊ธฐ์ ์ธ์๋ Twistlock์ ๊ธฐ๊ณ ํ์ต์ ์ฌ์ฉํ์ฌ ์ปจํ ์ด๋๋ณ ๋์ ํจํด ๋ฐ ๋คํธ์ํฌ ๊ท์น์ ์์ฑํฉ๋๋ค.
์ผ๋ง ์ Twistlock์ Evident.io ๋ฐ RedLock ํ๋ก์ ํธ๋ฅผ ์์ ํ Palo Alto Networks์ ์ธ์๋์์ต๋๋ค. ์ด ์ธ ๊ฐ์ง ํ๋ซํผ์ด ์ ํํ ์ด๋ป๊ฒ ํตํฉ๋ ์ง๋ ์์ง ์๋ ค์ง์ง ์์์ต๋๋ค.
์ต๊ณ ์ Kubernetes ๋ณด์ ๋๊ตฌ ์นดํ๋ก๊ทธ๋ฅผ ๊ตฌ์ถํ๋๋ก ๋์์ฃผ์ธ์!
์ฐ๋ฆฌ๋ ์ด ์นดํ๋ก๊ทธ๋ฅผ ๊ฐ๋ฅํ ํ ์์ ํ๊ฒ ๋ง๋ค๊ธฐ ์ํด ๋
ธ๋ ฅํ๊ณ ์์ผ๋ฉฐ ์ด๋ฅผ ์ํด์๋ ์ฌ๋ฌ๋ถ์ ๋์์ด ํ์ํฉ๋๋ค! ๋ฌธ์ํ๊ธฐ (
๋น์ ์ ๋ํ ์ฐ๋ฆฌ๋ฅผ ๊ตฌ๋
ํ ์ ์์ต๋๋ค
๋ฒ์ญ๊ฐ์ ์ถ์
๋ธ๋ก๊ทธ์์๋ ์ฝ์ด๋ณด์ธ์.
- ยซ
๋ณด์ ์ ๋ฌธ๊ฐ๋ฅผ ์ํ Kubernetes ๋คํธ์ํฌ ์ ์ฑ ์๊ฐ "; - ยซ
๋ณด์์ ๋ฏผ๊ฐํ ํ๊ฒฝ์ Docker ๋ฐ Kubernetes "; - ยซ
9 Kubernetes ๋ณด์ ๋ชจ๋ฒ ์ฌ๋ก "; - ยซ
์ฟ ๋ฒ๋คํฐ์ค ํดํน์ ํผํด์๊ฐ ๋์ง ์๋ 11๊ฐ์ง ๋ฐฉ๋ฒ "; - ยซ
OPA์ SPIFFE๋ ํด๋ผ์ฐ๋ ์ ํ๋ฆฌ์ผ์ด์ ๋ณด์์ ์ํ CNCF์ ๋ ๊ฐ์ง ์๋ก์ด ํ๋ก์ ํธ์ ๋๋ค. ".
์ถ์ฒ : habr.com