쿠버네티스는 랜섬웨어의 영향을 받지 않습니다. 그리고 Illumio가 도와줄 수 있는 방법

랜섬웨어는 쿠버네티스에서 문제가 되지 않죠? 컨테이너 구조체는 매우 동적이고 일시적이기 때문에 예를 들어 랜섬웨어가 파드를 하이재킹한 다음 네임스페이스 간에 악성 페이로드를 측면으로 전파하려고 할 위험이 거의 없습니다.파드는 매우 동적으로 스핀업 및 스핀다운되기 때문에 쿠버네티스에서 랜섬웨어는 거의 문제가 되지 않기 때문에, 내 클러스터는 이러한 특정 사이버 보안 위협으로부터 안전하겠죠?

안타깝게도 이 가정은 여러 번 잘못된 것으로 판명되었습니다.랜섬웨어는 컨테이너 클러스터 외부에서 작동하는 방식과 쿠버네티스에서 다르게 작동하는 경향이 있지만, DevSecOps 설계자가 무시할 수 없는 매우 실제적인 사이버 보안 위험입니다.랜섬웨어는 쿠버네티스 클러스터에서 매우 실질적인 피해를 줄 수 있으며, 가장 좋은 치료 방법은 예방입니다.

Illumio는 랜섬웨어가 Kubernetes 클러스터를 하이재킹하는 것을 방지하여 조직이 뉴스에 등장할 다음 사이버 공격 피해자가 되는 것을 막을 수 있습니다.‍

쿠버네티스에서 랜섬웨어가 전파되는 방식

컨테이너가 아닌 워크로드에서 랜섬웨어는 호스트를 하이재킹한 다음 열린 포트를 찾습니다.많은 워크로드에서 기본적으로 열려 있는 일반 포트는 RDP, SSH, SMB입니다.랜섬웨어가 이러한 포트를 통해 연결을 스푸핑하고 인접 호스트에 연결을 설정하는 것은 간단합니다.연결이 열리면 랜섬웨어는 신속하게 데이터를 전송할 수 있습니다. 악성 페이로드 다음 호스트를 제어하고 열려 있는 포트를 찾아 모든 인접 호스트에서 이 프로세스를 매우 빠르게 반복합니다.

호스트 간의 이러한 전파는 대부분의 탐지 및 대응 맬웨어 보호 솔루션이 식별하고 대응할 수 있는 것보다 더 빠르게 발생할 수 있습니다.머지 않아 전체 인프라가 인질로 잡힐 수 있습니다.

쿠버네티스에서 호스트 (“노드”라고도 함) 는 컨테이너 코드를 실행하는 가상 머신 (VM) 또는 베어메탈 호스트입니다.이들은 노드의 기본 운영 체제 (OS) 위에 추상화 계층을 생성합니다.클러스터는 포드와 서비스가 네임스페이스와 연결되고, 해당 네임스페이스에 해당 네임스페이스에서 실행되는 애플리케이션에 필요한 모든 코드와 라이브러리가 포함되어 있을 때 생성됩니다.네임스페이스 내의 구조는 동적입니다. 컴퓨팅 리소스가 수평적으로 확장되면 포드가 스핀업하고 코드를 실행한 다음 다시 빠르게 스핀다운되어 나중에 다른 IP 주소로 스핀업될 수 있습니다.

포드의 수명은 매우 짧을 수 있으며, 대부분의 포드는 RDP 또는 SSH와 같은 개방형 포트를 실행하지 않습니다.이는 포드가 다른 포드와 통신할 때 이러한 프로토콜을 사용하지 않는 경향이 있기 때문입니다.따라서 랜섬웨어는 클러스터 내에서 거의 관련이 없는 것으로 인식되는 경우가 많습니다.

‍랜섬웨어는 쿠버네티스의 주요 위협입니다‍

하지만, 랜섬웨어 쿠버네티스 클러스터에서는 순식간에 사이버 재해가 될 수 있습니다.코드 개발 라이프 사이클 초기에 악성 코드가 유입될 수 있지만 아직 실행되지 않아 탐지되지 않을 수 있습니다.노출된 API, 취약한 인증 설정, 패치되지 않은 소프트웨어 또는 가장 일반적인 위험인 잘못 구성된 설정을 통해 악성 페이로드가 Kubernetes 클러스터에 유입될 수도 있습니다.

사이버 위협은 소프트웨어 공급망의 어느 곳에서나 발생할 수 있습니다.예를 들어 컨테이너 이미지를 오픈 소스 리포지토리에서 다운로드한 후 클러스터 내에서 실행하는 경우 해당 이미지에는 실행하여 포드에서 기본 노드로 “이스케이프”할 수 있는 임베디드 코드가 포함될 수 있습니다.그런 다음 해당 기본 노드에 랜섬웨어를 배포합니다.이때 랜섬웨어는 해당 노드를 하이재킹하고 열린 포트를 통해 인접 노드로 연결하므로 위협이 쿠버네티스 클러스터를 호스팅하는 모든 기본 노드를 신속하게 하이재킹하거나 암호화할 수 있습니다.

이로 인해 작업자 노드에서 실행되는 애플리케이션이 “브릭”되어 사실상 종료될 수 있습니다.코드가 기본 마스터 노드로 빠져나갈 경우 Kubernetes 클러스터의 컨트롤 플레인이 하이재킹되어 전체 클러스터를 손상시킬 위험이 있습니다.코드 개발 라이프사이클 초기에 발생한 작은 문제가 순식간에 심각한 재앙으로 이어질 수 있습니다.

이러한 유형의 맬웨어의 예는 다음과 같습니다. 사일로스케이프, 2021년 3월에 발견되었습니다.거의 문서화되지 않은 스레드 프로세스의 취약점을 사용하여 기본 노드에 액세스한 다음 kubectl에 액세스하여 인접 노드로 확산되는 명령을 실행할 수 있습니다.이는 쿠버네티스 노드의 컨트롤 플레인을 보호하고 다른 프로세스에 의해 액세스를 제한해야 하는 이유를 잘 보여주는 예이다.Illumio는 호스트의 특정 프로세스에 대한 액세스를 강제하여 액세스 권한이 있는 사용자를 제한할 수 있습니다.

‍Illumio는 쿠버네티스에서 랜섬웨어를 사전에 차단할 수 있습니다

일루미오 Kubernetes 클러스터와 기본 노드 모두에서 워크로드 통신을 적용합니다.

쿠버네티스 클러스터 내에서 Illumio는 네임스페이스 간 또는 네임스페이스와 인그레스 컨트롤러 외부의 워크로드 간의 통신을 적용하여 워크로드 간의 불필요한 통신을 방지합니다.다른 공급업체와 달리 Illumio의 가시성 및 적용 범위는 컨테이너뿐만 아니라 하이브리드 공격 표면 전체로 확장되므로 SecOps 팀은 정책 사일로를 제거하고 기존 작업을 컨테이너로 확장하여 사이버 복원력을 개선할 수 있습니다.

기본 노드 간 Illumio는 또한 통신을 강화하여 알 수 없는 악성 코드가 Kubernetes 클러스터에서 해당 노드로 빠져나가더라도 해당 악성 코드가 주변 노드로 전파되는 것을 방지합니다.이는 Illumio가 해당 노드 간에 세션이 설정되는 것을 방지하기 때문에 가능한 일입니다.Illumio는 소프트웨어 공급망 초기에 유입된 위협으로부터도 보안 침해가 불가피하다고 가정하므로 기본 인프라를 방해하려는 의도를 가진 랜섬웨어로부터 Kubernetes 클러스터를 보호합니다.

‍방법 Illumio를 사용한 쿠버네티스 시프트 레프트 보안

사이버 보안에서 쉬프트-레프트란 코드 개발 라이프사이클 초기에 보안 솔루션을 도입하는 것을 말합니다.

• 더 오른쪽 라이프 사이클은 코드를 애플리케이션으로 호스팅하고 그 앞에 방화벽을 배포하는 것을 나타냅니다.

• 더 왼쪽 개발 당시의 해당 코드의 탄생을 나타냅니다.

관리되는 워크로드에 알 수 없는 위협이 포함된 코드가 나중에 실행되어 인접 호스트로 확산되는 경우 Illumio는 해당 위협의 확산을 방지합니다.

일루미오가 그 위협의 의도를 모르는 상태에서도 마찬가지입니다.탐지 및 대응이 가능한 대부분의 보안 솔루션은 결정을 내리기 전에 위협의 본질을 이해하려고 합니다.하지만 Illumio는 결정을 내리기 전에 이 점을 이해하는 데 시간을 낭비하지 않습니다.대부분의 워크로드에 필요한 측면 통신의 양은 제한되어 있으므로 대부분의 열린 포트는 폐쇄하거나 지속적으로 모니터링해야 합니다.디바이스를 격리할 수 있으며 Illumio는 어떤 유형의 손상이 시도되고 있는지 알 필요 없이 모든 측면 통신을 차단할 수 있습니다.

쿠버네티스는 랜섬웨어의 영향을 받지 않는 것으로 간주되어서는 절대 안 됩니다.예방은 최선의 치료 방법이며, Illumio는 랜섬웨어가 쿠버네티스 내에서도 모든 워크로드를 감염시키지 못하도록 방지합니다.

Illumio가 쿠버네티스를 랜섬웨어 확산으로부터 보호하는 방법에 대해 자세히 알아보고 싶으신가요?오늘 저희에게 연락하세요 무료 상담 및 데모를 제공합니다.