컨테이너 및 쿠버네티스 환경 보안의 3대 문제를 해결하는 방법

조직에서 DevOps와 “시프트 레프트” 접근 방식을 동시에 수용하는 동시에 개발 및 프로덕션 인프라에 대한 사고 방식을 바꾸고 있습니까?여러분은 혼자가 아닙니다.

제한된 하드웨어 서버와 표준화된 개발 제품군을 갖춘 온프레미스 데이터 센터의 시대는 이제 백미러에 불과합니다.개발자는 자신의 애플리케이션에 가장 적합한 클라우드, 클라우드 서비스 인스턴스 또는 도구를 자유롭게 활용할 수 있어야 합니다.

이러한 새로운 유연성은 빠른 혁신을 촉진하지만 끊임없이 변화하는 환경에 일관되고 유연한 보안을 배포하는 데에는 많은 문제가 있습니다. 컨테이너 과 쿠버네티스 환경.

컨테이너 및 쿠버네티스 환경 보안의 3가지 과제

컨테이너와 Kubernetes 환경에는 네트워크의 다른 부분과 같은 종류의 보안이 필요하지 않다는 일반적인 오해가 여전히 존재합니다.이는 전혀 사실이 아닙니다.컨테이너와 Kubernetes 환경을 보호하려는 보안 팀에는 큰 어려움이 있습니다.세 가지 주요 과제는 다음과 같습니다.

1.동적 컨테이너 및 쿠버네티스 환경에 보안 정책 적용

마이크로서비스 아키텍처를 채택하고 컨테이너화된 Kubernetes 서비스를 선택하면 향상된 서비스 가용성, 원활한 업그레이드, 자동 크기 조정, 플랫폼 이식성 등 다양한 이점이 제공됩니다.하지만 컨테이너의 라이프사이클은 쿠버네티스에 의해 오케스트레이션되어 많은 작업이 자동화되며, 컨테이너 자체는 몇 초 동안만 존재하지만 때로는 몇 분 밖에 지속되지 않습니다.

이러한 동적인 특성으로 인해 보안 관리자는 어려움을 겪게 되며, 이로 인해 주로 인그레스 및 이그레스 포인트에서 정책을 적용하는 데 집중해야 합니다.클라우드 전반의 다중 클러스터 서비스 메시와 서비스 메시 페더레이션의 등장으로 컨테이너를 어디에나 배포하고 서비스 메시 전체에 연결할 수 있게 되었습니다.

경계 방어에만 의존하는 것은 서비스 메쉬가 확장됨에 따라 효율성이 떨어집니다.

2.전체 스택에 대한 적용 보장

AWS Elastic Kubernetes Service (AWS EKS) 와 같은 퍼블릭 클라우드의 관리형 쿠버네티스 서비스를 자세히 살펴보면 네트워크 방화벽, 보안 그룹, 애플리케이션 로드 밸런서, 쿠버네티스 네트워크 정책을 비롯한 여러 적용 지점이 각각 보안의 다양한 측면에 기여한다는 것을 알 수 있습니다.서비스 메쉬의 도입으로 권한 부여 정책 계층이 한층 더 강화되었습니다.

이러한 적용 포인트는 클라우드 또는 플랫폼 팀, DevOps 팀, 애플리케이션 개발자 등 다양한 팀의 소유가 되는 경우가 많습니다.클라우드 네이티브 보안은 여러 팀 간의 공동 책임으로 널리 인식되고 있습니다.퍼블릭 클라우드 내의 Kubernetes 스택에서는 이러한 소유권 파편화가 특히 어려울 수 있습니다.의문이 생깁니다. 네트워크 및 애플리케이션 세분화를 어떻게 하면 격차 없이 보장할 수 있을까요?

3.하이브리드 및 멀티 클라우드 환경 전반에 걸쳐 통일된 정책 수립

많은 기업이 심각한 장애물에 직면하는 곳입니다.

대부분의 정책 제어는 일반적으로 특정 환경에만 국한되며 해당 범위 내에서만 세분화를 제공합니다.그러나 오늘날의 복잡하고 상호 연결된 환경에서는 이러한 격리된 정책이 제대로 작동하지 않는 경우가 많으며 맬웨어가 잠재적으로 해당 환경 전반을 가로질러 이동할 수 있는 취약점이 생깁니다.설상가상으로 환경에 따라 워크로드마다 메타데이터 및 속성 집합이 서로 다릅니다.

이러한 모든 과제는 보안 팀이 전체 공격 표면에 대한 종합적인 가시성을 제공하는 솔루션을 고안해야 한다는 것을 의미합니다.

쿠버네티스를 위한 Illumio Core가 이러한 문제를 해결하는 방법

보안팀은 Illumio Core for Kubernetes를 사용하여 동적 환경 보호, 전체 스택에 정책 적용, 하이브리드 및 다중 클라우드 배포 전반에서 일관된 보안 정책 유지와 관련된 문제를 극복할 수 있습니다.

쿠버네티스 컨트롤 플레인과 통합: Illumio는 Kubernetes 컨트롤 플레인과 원활하게 통합되어 노드, 네임스페이스, 서비스, 워크로드 및 포드의 생성 및 제거에 대한 정보를 수신합니다.이를 통해 Illumio는 해당 정책을 동적으로 적용할 수 있습니다.

헬름 차트 설치: Illumio는 Illumio 보안 솔루션에 필요한 모든 쿠버네티스 리소스와 구성을 캡슐화한 헬름 차트를 제공하여 배포 프로세스를 간소화합니다.헬름 값을 사용하여 이러한 차트를 특정 요구 사항에 맞게 사용자 지정할 수 있습니다.Illumio는 헬름을 사용함으로써 데브옵스 워크플로우에 원활하게 통합됩니다.

레이블 기반 정책: Illumio의 레이블 기반 정책은 멀티 클라우드 환경의 혼합 워크로드를 관리하는 데 특히 적합합니다.관리자는 메타데이터와 속성을 공통 레이블 세트에 매핑하여 보안 평가에 대한 일관된 접근 방식을 보장할 수 있습니다.

클라우드 메타데이터 및 Kubernetes 레이블을 레이블에 매핑: Illumio를 사용하면 DevOps 사용자가 쿠버네티스 노드 레이블에서 Illumio 레이블로의 레이블 매핑을 지정할 수 있습니다.이를 통해 기본 환경 정보를 레이블 세트에 매핑하는 프로세스가 간소화되어 노드가 클러스터에 추가될 때 정책이 즉시 적용됩니다.

확장성 및 성능: 기업이 클라우드 및 애플리케이션 이니셔티브를 지속적으로 확장함에 따라 Illumio 솔루션은 철저한 테스트를 거쳤으며 향후 성장 요구에 맞게 확장할 수 있습니다.

오늘 저희에게 연락하세요 Illumio Core가 쿠버네티스 배포를 보호할 수 있는 방법에 대해 자세히 알아보십시오.