Illumio가 컨테이너 환경의 가시성 격차를 해소하는 방법

“한 번 빌드하고 어디서나 실행할 수 있습니다.”이것이 바로 컨테이너를 훌륭하게 만드는 이유입니다.자동화, 클라우드 기반 도구, 리소스를 쉽게 확장할 수 있는 기능과 같은 기능을 갖춘 컨테이너는 개발자들이 즐겨 사용하는 도구가 되었습니다.

하지만 컨테이너에는 한 가지 큰 문제가 있습니다. 바로 가시성 부족입니다.

전체 네트워크에 대한 세분화된 가시성이 없으면 보안 팀이 의도치 않게 컨테이너 환경에 격차를 남길 수 있습니다.이러한 격차로 인해 컨테이너 보안 침해가 크게 증가했습니다.

이 블로그 게시물에서는 일관되고 포괄적인 보안 아키텍처의 일부로 컨테이너를 보호하기 위해 네트워크 전반에서 완전한 가시성을 확보하는 방법을 보여 드리겠습니다.

컨테이너 의지 침해 당하다

컨테이너 임시로 설계되었습니다.오랫동안 사람들은 이를 통해 자동으로 보안을 유지할 수 있다고 생각했습니다.아이디어는 무언가가 오래 지속되지 않으면 해킹하기가 더 어렵다는 것이었습니다.

하지만 멀웨어는 실로스케이프, 힐데가드, 킹스징, cr8이스케이프 컨테이너를 사용하여 네트워크에 침입하는 방법을 알아냈습니다.이를 막기 위해 대부분의 컨테이너 보안 툴은 위협 탐지에 초점을 맞춥니다.이들은 손상된 컨테이너를 찾아 발견한 멀웨어를 제거합니다.

위협을 탐지하는 것은 중요합니다.안타깝게도 이러한 도구는 일반적으로 컨테이너에만 초점을 맞추고 컨테이너 클러스터 외부의 다른 리소스는 고려하지 않습니다.이로 인해 주요 사각 지대가 있는 격리된 시스템이 생성되어 보안 침해에 대응하기가 더 어려워지고 느려질 수 있습니다.

쿠버네티스 또는 OpenShift 클러스터에서 실행되는 앱은 클러스터 외부에서 액세스해야 합니다.컨테이너를 완벽하게 보호하려면 내부 양쪽에서 무슨 일이 일어나고 있는지 확인해야 합니다. 과 클러스터 외부에서 전체 시스템에 일관된 보안 정책을 설정합니다.

컨테이너의 보안은 가시성에 달려 있습니다.

컨테이너는 DevOps의 꿈이지만 다른 모든 사람에게 악몽이 될 수 있습니다. 특히 보안과 관련해서는 더욱 그렇습니다.

DevOps 팀은 애플리케이션 개발 속도를 높이기 때문에 컨테이너를 선호합니다.컨테이너 환경에서 DevOps는 전체 앱 프로세스를 자동화하는 기본 인프라를 관리합니다.이를 통해 수동 작업이 줄어들고 시스템 관리자, 보안 및 네트워킹과 같은 다른 팀으로 인한 지연을 방지할 수 있습니다.

DevOps 팀은 보안이 중요하다는 것을 알고 있지만 보안이 개발 속도를 늦춘다고 생각하여 초기 자동화 워크플로에서 제외하는 경우가 많습니다.보안 도구를 찾을 때는 보통 컨테이너용으로만 만들어진 도구를 선택합니다.

이것이 왜 문제일까요?컨테이너 전용으로 설계된 도구는 개별 컨테이너 리소스에 초점을 맞춥니다.프로세스 작동 방식과 리소스 사용 방식에 대한 데이터를 수집하지만 컨테이너가 서로 상호 작용하는 방식을 항상 명확하게 보여주는 것은 아닙니다.

이러한 도구는 포드, 서비스 또는 네임스페이스 간의 연결을 표시할 수 있습니다.하지만 다음과 같은 사각 지대가 있는 경우가 많습니다.

• 쿠버네티스 또는 OpenShift 클러스터를 실행하는 노드 간 트래픽

• 해당 노드에서 클러스터 외부 시스템으로의 트래픽

• 클러스터 내부의 워크로드에서 외부 워크로드로 나가는 트래픽

컨테이너별 보안 도구는 클러스터 내 한 네임스페이스에서 다른 네임스페이스로 이동하는 트래픽을 확인할 수 있습니다.하지만 네임스페이스에서 엔드포인트로 이동하는 트래픽은 어떨까요?아니면 네임스페이스에서 컨테이너를 사용하지 않는 데이터 센터의 가상 머신 (VM) 또는 메인프레임으로 이동할까요?

간단히 말해서, 보이지 않는 것은 보호할 수 없습니다.컨테이너에 대한 가시성이 없으면 네트워크에 주요 사각 지대가 생겨 공격자가 이를 악용할 수 있습니다.

Illumio를 사용하여 클러스터 내부 및 외부의 완전한 가시성 확보

Illumio는 컨테이너 보안 솔루션이 아무리 강력하더라도 100% 완벽할 수는 없다고 가정합니다.보안 침해는 일어날 수밖에 없습니다.

컨테이너 외부, 일루미오 제로 트러스트 세그멘테이션 (ZTS) 플랫폼 에서 제공합니다 완벽한 가시성 모든 호스트와 애플리케이션이 연결되는 방식을 설명합니다.Illumio는 보안 침해가 네트워크 전체에 확산되는 것을 방지하여 위협이 탐지되지 않은 경우에도 모든 워크로드를 보호합니다.

이와 동일한 보호가 쿠버네티스 또는 OpenShift 클러스터에도 적용됩니다.

Illumio는 모든 컨테이너 리소스 간의 모든 트래픽을 검색합니다.컨테이너를 포함한 전체 인프라의 모든 트래픽을 하나의 일관된 뷰로 표시합니다.

Illumio는 클러스터 내부와 외부의 모든 리소스 간에 허용된 트래픽을 모니터링합니다.위협이 무엇을 하려고 하는지 알아낼 필요 없이 비정상적인 행동을 발견하고 즉시 대응할 수 있습니다.이를 통해 전체 네트워크의 사일로가 제거됩니다.

Illumio가 컨테이너 가시성을 제공하는 3가지 방법

Illumio는 쿠버네티스 또는 OpenShift 클러스터 내부와 외부에서 어떤 일이 일어나고 있는지 확인할 수 있는 세 가지 방법을 제공합니다.

1.기본 노드로 들어오고, 노드에서 오고 가는 모든 트래픽을 볼 수 있습니다.

Illumio는 기본 노드 간 및 해당 노드에서 외부 워크로드로의 모든 트래픽을 검색합니다.

컨테이너 클러스터는 단독으로 존재할 수 없습니다.항상 노드라는 기본 호스트에서 호스팅됩니다.노드는 쿠버네티스 또는 OpenShift 클러스터가 실행되는 기본 VM 또는 베어메탈 호스트입니다.

컨테이너 클러스터는 섬처럼 취급되는 경우가 많습니다.모든 관련 행동은 해당 클러스터 내에 포함되므로 외부 세계는 나중에 고려하지 않아도 됩니다.이로 인해 보안 침해가 발생하거나 가시성이 사라지면 문제가 발생할 수 있습니다.

Kubernetes 또는 OpenShift 클러스터를 위해 구축된 보안 도구에는 기본 노드 간의 동작 및 트래픽 또는 노드에서 클러스터 외부의 다른 리소스로의 연결에 대한 통찰력이 거의 또는 전혀 없는 경우가 많습니다.

Illumio는 이러한 사각 지대를 제거하여 클러스터 내부와 외부에서 발생하는 모든 상황을 파악할 수 있게 함으로써 이 문제를 해결합니다.

2.포드에서 외부 서버로 나가는 송신 트래픽을 확인하세요.

Illumio를 사용하면 클러스터 내부 리소스에서 외부 워크로드에 이르는 네트워크 동작을 비롯한 이그레스 트래픽에 대한 가시성을 확보할 수 있습니다.

Kubernetes 또는 OpenShift 클러스터용으로 만든 보안 도구에는 클라우드 환경, 데이터 센터 또는 엔드포인트와 같은 컨테이너가 아닌 리소스에 대한 통찰력이 부족한 경우가 많습니다.

Illumio는 세 가지 환경 모두에서 가시성을 제공합니다.예를 들어 엔드포인트에서 데이터 센터로 이동한 다음 Kubernetes 클러스터 내의 네임스페이스로 이동하는 트래픽을 추적할 수 있습니다.

Illumio를 사용하면 전체 시스템에서 가시성을 확보할 수 있습니다.이를 통해 모든 환경에 대해 일관된 메타데이터 기반 보안 정책을 만들 수 있습니다.

3.클러스터 간 통신 참조

Illumio는 쿠버네티스 또는 OpenShift 클러스터가 서로 통신하는 방식에 대한 가시성을 제공합니다.

컨테이너 클러스터에는 모두 한 가지 공통점이 있습니다. 바로 빠르게 성장한다는 것입니다.하나의 클러스터가 더 많은 리소스로 확장되면 리소스를 여러 클러스터에 분산하고 효율성을 개선하기 위해 새 클러스터가 생성되는 경우가 많습니다.

클러스터가 확장되면 다음이 필요합니다. 컨테이너 보안 솔루션 시스템 규모에 상관없이 가시성을 유지하면서 클러스터 간 트래픽을 감지 및 제어할 수 있습니다.Illumio를 사용하면 클러스터 간 및 클러스터와 클러스터 외부의 워크로드 간의 트래픽을 확인할 수 있습니다.

Illumio가 반드시 컨테이너별 보안 도구를 대체하는 것은 아닙니다.예를 들어 클러스터 내에서 서비스 메시를 사용하는 경우 Illumio는 클러스터 외부의 종속성, 클러스터를 호스팅하는 노드, 클러스터와 외부 워크로드 간의 트래픽을 모니터링하고 제어하는 데 중점을 둡니다.

Illumio는 컨테이너별 보안 솔루션과 함께 작동하여 컨테이너 워크로드를 호스팅하고 액세스하는 모든 리소스에 대한 완전한 가시성을 제공합니다.엔드-투-엔드 보호를 제공합니다.

Illumio, 컨테이너용 제로 트러스트 완료

보안 위험은 컨테이너 외부에만 있는 것이 아니라 내부에도 있습니다.네트워크를 안전하게 유지하려면 레거시 워크로드와 마찬가지로 컨테이너 클러스터 내부의 위협을 확인하고 관리해야 합니다.

Illumio를 사용하면 컨테이너를 포함한 전체 인프라의 모든 워크로드 간의 모든 트래픽 동작을 파악하고 적용할 수 있습니다.이를 통해 가시성 고립을 없애고 불가피한 보안 침해가 네트워크를 통해 확산되는 것을 방지할 수 있습니다.

오늘 저희에게 연락하세요 Illumio를 사용하여 컨테이너를 가시화하는 방법에 대해 자세히 알아보십시오.