랜섬웨어 차단을 위한 쿠버네티스 클러스터 보안
컨테이너는 데이터 센터에서 이전에는 불가능했던 속도와 유연성을 제공하지만 랜섬웨어, 크립토마이닝, 봇넷과 같은 보안 위협에 노출되어 있습니다. 300여 명의 DevOps, 엔지니어링, 보안 전문가를 대상으로 설문조사를 실시한 2022년 Red Hat 쿠버네티스 보안 보고서에 따르면 응답자의 93%가 지난 12개월 동안 쿠버네티스 환경에서 한 번 이상의 보안 인시던트를 경험한 것으로 나타났습니다. 이러한 인시던트는 공격자가 랜섬웨어와 기타 종류의 악성 소프트웨어를 설치하는 데 악용될 수 있으므로, 쿠버네티스 클러스터를 보호하는 것이 매우 중요합니다.
쿠버네티스 클러스터란 무엇일까요?
쿠버네티스 클러스터는 컨테이너화된 애플리케이션을 실행하는 노드 집합입니다. 쿠버네티스 클러스터는 DNS 서비스, 부하 분산, 네트워킹, 자동 확장, 애플리케이션 실행에 필요한 기타 기능 등 노드를 위한 완벽한 생태계를 제공합니다. 쿠버네티스 클러스터는 내장 계층 구조와 애플리케이션 분리를 사용해 네임스페이스 간 통신에 제한 없이 여러 애플리케이션을 호스팅할 수 있습니다(그림 1).
그림 1: 쿠버네티스 클러스터는 기본적으로 팟(pod) 사이 제한이 없는 플랫한 구조입니다
쿠버네티스 클러스터를 세그멘테이션하는 이유는 무엇일까요?
최근 몇 년 동안 컨테이너에 대한 공격은 점점 더 정교해지고 있습니다. 쿠버네티스 클러스터 공격은 탐지를 피하기 위해 페이로드 포장, 루트킷 사용, 메모리에서 직접 멀웨어 실행 등 회피와 난독화 기법을 더 많이 사용하고 있습니다.
이러한 환경에서는 일반 작업에 필요하지 않더라도 기본적으로 클러스터와 팟(pod) 간 통신을 허용합니다. 공격자들은 랜섬웨어 캠페인 내에서 측면 이동을 악용하기 때문에 이러한 흐름을 중단 없이 제한하는 정책을 수립할 수 있어야 합니다.
쿠버네티스 클러스터를 세그멘테이션하는 핵심 기능
우수한 네트워크 세그멘테이션 솔루션에는 가시성, 적용, 모니터링, 운영이라는 네 가지 핵심 요소가 필요합니다(그림 2).
그림 2: 성공적인 네트워크 세그멘테이션 솔루션을 위한 네 가지 핵심 요소
쿠버네티스 클러스터에 대한 완벽한 가시성
쿠버네티스 환경은 가시성이 매우 중요합니다. 성공적인 정책을 만들려면 쿠버네티스 환경에서 무엇이 실행되고 있는지 파악하고, 트래픽이 원하는 방향으로 움직이고 있는지 확인할 수 있어야 합니다. Akamai의 자회사로 편입된 Guardicore는 인프라의 모든 계층에 대한 인사이트를 통해 쿠버네티스 클러스터를 명확히 시각화합니다.
상호 의존성 맵
이 솔루션은 VM, 쿠버네티스, 도커 컨테이너 등 모든 종류의 기술에 대해 데이터센터 내부와 전반의 통신을 시각화는 맵을 제공합니다(그림 3). 이러한 맵을 기반으로, 팟, 서비스, 호스트 또는 네임스페이스 간의 의심스러운 연결을 보고 탐지할 수 있습니다.
그림 3: Reveal 맵에 표시된 클러스터. 클러스터를 두 번 클릭하면 클러스터 내의 네임스페이스와 상호 연결이 표시됩니다.
라벨
맵은 여러 레이블 레이어를 사용해 클러스터에서 애플리케이션이 배포되는 방식을 정확하게 반영합니다(그림 4). 이 시각화는 앱 관리자가 계획한 대로 쿠버네티스 계층을 설명합니다. Akamai 사용자는 이런 세부 정보를 통해 클러스터에 무엇이 배포되었는지 정확하게 파악하고 배포된 앱과 나머지 인프라 사이의 네트워킹 관계를 명확하게 이해할 수 있습니다.
그림 4: Reveal 지도는 팟 라벨과 이미지 이름을 포함한 팟 정보를 표시합니다
쿠버네티스 네이티브 정책 적용
쿠버네티스 클러스터에서 공격표면을 최소화하려면 엄격한 세그멘테이션 정책이 필요합니다. 세그멘테이션 적용 솔루션은 규모와 성능 제한이 없고 비침입적이어야 하며, 네임스페이스, 컨트롤러, 쿠버네티스 라벨을 포함한 모든 수준의 쿠버네티스 오브젝트를 링펜싱하는 유연한 방법을 제공해야 한다는 두 가지 주요 기준을 충족해야 합니다.
Akamai는 고유한 쿠버네티스 CNI(Container Network Interface)를 활용합니다. CNI는 원래 쿠버네티스에서 네트워크 세그멘테이션 통제를 위해 설계된 네트워크 보안 정책 플러그인으로 구성됩니다. 이는 확장 제한이 없는 비침입적인 방법입니다.
Akamai는 쿠버네티스 핵심 비즈니스 애플리케이션용으로 설계된 전용 템플릿을 링펜싱하도록 업계 최고의 템플릿을 확장했습니다(그림 5). 이 템플릿을 사용하면 네임스페이스, 애플리케이션 또는 기타 오브젝트 등 링펜싱할 오브젝트를 쉽게 선택할 수 있습니다.
그림 5: 쿠버네티스 애플리케이션 링펜싱 템플릿
고급 모니터링
고급 로깅 및 모니터링 시스템을 사용해 전용 네트워크 로그가 쿠버네티스 네트워킹에 맞게 조정됩니다. 모든 이벤트에 대해 대상 서비스, 노드 IP, 소스 및 대상 포트, 프로세스가 표시됩니다. 이를 통해 네트워크에서의 비정상적 활동을 간편하게 조사하고 SIEM과 같은 써드파티 애플리케이션으로 데이터를 내보낼 수 있습니다.
클러스터 운영
쿠버네티스 자산의 보안은 실시간 가시성과 운영 인식에서 시작됩니다. 전용 Cluster Operations 화면은 클러스터를 모니터링하는 에이전트의 수, 에이전트의 기능에 대한 경고 및 알림 플래그, 쿠버네티스 오케스트레이션 상태 등 배포된 클러스터에 필요한 모든 데이터를 제공합니다(그림 6).
그림 6: Cluster Operations 화면
요약
대부분의 사람들은 "유출을 가정해야 한다"는 데 동의하지만 이러한 개념에 따라 행동할 수 있는 툴은 거의 없습니다. 특히 쿠버네티스 같은 새로운 기술에서는 각 자산을 경계로 취급할 수 있는 툴이 매우 부족합니다. Akamai는 Akamai Guardicore Segmentation을 통해 복잡한 인프라를 보유한 기업도 공격자가 이미 네트워크를 침해한 상황에 대응할 수 있도록 지원했습니다. Akamai의 쿠버네티스용 솔루션은 클러스터 규모에 제한이 없는 비침투형 솔루션으로서, 쿠버네티스 클러스터와 모든 운영 체제에서 작동하는 네이티브 쿠버네티스 적용에 대한 포괄적인 가시성을 다른 인프라 관리에 사용되는 것과 동일한 콘솔에서 제공합니다.
