2021.11.19

클라우드 네이티브 보안의 2가지 핵심 키워드 '런타임 보안과 오픈소스'

Scott Carey | InfoWorld
컨테이너로 배포되고 쿠버네티스로 오케스트레이션되는 마이크로서비스 모음 형태의 애플리케이션을 빌드하는 소프트웨어 개발자는 이제 보안에서도 빌드 수준을 넘어 완전히 새로운 부분까지 고려해야 한다.
 
컨테이너화된 환경에서의 실시간 보호는 클러스터 강화와 달리 동적이어야 한다. 즉, 컨테이너가 프로덕션에 배포된 이후 컨테이너 내에서 예기치 않은 리소스에 연결하기, 새 네트워크 소켓 생성하기 같은 일상적이지 않은 동작을 지속적으로 스캔해야 한다.
 
요즘 개발자는 더 일찍, 더 자주 테스트하는 추세지만(시프트 레프트), 컨테이너에는 전체 수명 주기에 걸쳐, 그리고 이질적이고 대체로 수명이 짧은 환경 전반에 걸쳐 전체적인 보호가 필요하다.
 
가트너 애널리스트 아룬 찬드라세카란은 Infoworld와의 인터뷰에서 “그런 특성으로 인해 보호하기가 상당히 까다롭다. 수동 프로세스에 의존할 수 없으므로 환경을 자동화해서 때로는 불과 몇 초 동안 지속되는 것을 모니터링하고 보호해야 한다. 여기서 이메일을 주고받으며 대응할 수는 없다”라고 말했다.
 
ⓒ Getty Images Bank

구글은 2019년 발표한 백서 “BeyondProd: 클라우드 기반 보안에 대한 새로운 접근법”에서 “경계 보안 모델은 더 이상 최종 사용자에게도 마이크로서비스에도 효과가 없다. 코드가 변경되는 방법과 마이크로서비스의 사용자 데이터에 액세스하는 방법”까지 보호의 범위를 확장해야 한다고 주장했다.
 
전통적인 보안 툴은 네트워크 보호, 또는 개별 워크로드 보호에 초점을 두지만 현대 클라우드 네이티브 환경에서는 단순히 빌드를 보호하는 것 이상의 더 전체적인 접근이 필요하다. 이 전체적인 접근에서 호스트, 네트워크, 엔드포인트는 지속적으로 공격에 대비하여 모니터링 및 보호되어야 한다. 여기에는 일반적으로 동적 ID 관리와 네트워크 액세스 제어, 레지스트리 보안이 포함된다.
 

런타임 보안의 중요성

가트너의 찬드라세카란은 클라우드 네이티브 보안의 4가지 핵심적 측면을 다음과 같이 설명했다.

1. 출발점은 여전히 클러스터 강화를 통해 기반을 보호하는 것이다.
2. 그러나 거기서 끝나지 않고 컨테이너 런타임을 보호하고 충분한 모니터링과 로깅이 수행되도록 하는 것까지 확장된다.
3. 그 다음 지속적 제공 프로세스를 보호해야 하는데, 이는 신뢰할 수 있는 컨테이너 이미지 사용하기, 안전한 헬름 차트, 지속적인 취약점 스캔을 의미한다. 이와 함께 효과적인 비밀 보호를 통해 기밀 정보도 보호해야 한다.
4. 마지막으로, 이상적인 상태를 설정하고 이 상태로부터의 이탈을 지속적으로 살펴 전송 계층 보안(TLS)부터 애플리케이션 코드 자체 및 클라우드 보안 태세 관리에 이르기까지 네트워크 계층을 보호해야 한다.
 
독일 보험사인 뮤닉 리(Munich Re)의 기술 설계자 칼-하인츠 프로머는 2021년 Infoworld 기사에서 “효과적인 쿠버네티스 보안 툴은 쿠버네티스 환경 내의 모든 연결을 시각화하고 안전성을 자동으로 검증하고 모든 예기치 않은 활동을 차단할 수 있어야 한다. 이와 같은 런타임 보호가 구현되면 공격자가 쿠버네티스 환경에 침입해 악의적 프로세스를 시작하더라도 그 프로세스는 피해를 유발하기 전에 즉시, 자동으로 차단된다”라고 말했다.
 

런타임 보안 신생업체

당연히 주요 클라우드 업체(구글 클라우드, 아마존 웹 서비스, 마이크로소프트 애저)는 모두 이와 같은 보호를 각자의 관리형 쿠버네티스 서비스에 내장하고 있다. 구글 부사장 에릭 브루어는 Infoworld와의 인터뷰에서 “(이 부분이) 제대로 되어 있으면 애플리케이션 개발자가 해야 할 일은 많지 않다. 플랫폼에 무료로 포함되어야 하는 기능”이라고 말했다.
 
그러나 거대 클라우드 기업이라 해도 이 새로운 세계를 혼자서 보호하기는 어렵다. 브루어는 “어느 한 회사가 해결할 수는 없는 문제”라고 말했다.
 
그 공백을 메우기 위한 업체, 신생업체, 오픈소스 프로젝트 집단이 빠르게 성장하고 있다. 찬드라세카란은 “이 분야의 신생업체 생태계가 발전하는 중이다. OS 강화 또는 런타임 보호의 기본적인 측면이 얼마간 보편화되는 중이고, 주요 클라우드 제공업체들은 이를 플랫폼에 내장하여 제공한다”라고 말했다.
 
따라서 신생업체와 오픈소스 프로젝트의 기회는 대체로 클라우드 워크로드 보호, 보안 태세 관리, 기밀 관리와 같은 더 고급 기능에 있으며 차별화 요소로 ‘스마트’한 머신 러닝 기반의 경보 및 교정 기능을 추가로 제공하는 경우가 많다.

딥펜스(Deepfence)
딥펜스는 파이어아이(FireEye) 및 주니퍼 네트웍스를 거친 소프트웨어 엔지니어 산딥 라한이 2017년 공동 창업한 업체다. 라한의 설명에 따르면 딥펜스는 런타임에 일어나는 일에 초점을 두기 위해 클라우드 자산에 대한 MRA 스캔 등 공격 표면을 측정할 수 있는 간단한 센서를 마이크로서비스에 내장한다. 라한은 “딥펜스의 비즈니스는 고객의 고충을 해소하고 표적화된 방어를 구축하는 런타임 보호로 수익을 창출하는 것”이라고 말했다.
 
딥펜스는 2021년 10월 기반 툴인 쓰렛맵퍼(ThreatMapper)를 오픈소스화했다. 이 툴은 애플리케이션 실행 위치에 관계없이 애플리케이션 취약점을 스캔, 맵핑하고 등급화한다. 현재 딥펜스는 전체 런타임 보안 위험을 포괄하기 위한 플랫폼 확장을 추진 중이다.

시스디그(Sysdig)
시스디그는 이 분야에서 떠오르는 또 다른 업체로, 오픈소스 런타임 보안 툴인 팔코(Falco)를 만들었다.
 
팔코는 쓰렛맵퍼와 마찬가지로 런타임에서 비정상적인 동작을 탐지하는 데 초점을 둔다. 팔코 깃허브 페이지에는 “팔코를 사용하면 손쉽게 커널 이벤트를 소비하고 쿠버네티스 및 나머지 클라우드 네이티브 스택에서 가져오는 정보로 이 이벤트 정보를 보강할 수 있다. 팔코에는 쿠버네티스와 리눅스, 클라우드 네이티브를 위해 만들어진 풍부한 보안 규칙이 있다. 시스템에서 규칙 위반이 발생하면 팔코가 경보를 보내 사용자에게 위반 및 위반의 심각도를 알린다”라고 나와 있다.
 
시스디그 CTO 로리스 디조안니는 Infoworld 인터뷰에서 “세계가 바뀌면서 이전에 사용하던 기술은 이제 통하지 않는다는 것을 알게 됐다”면서 “더 이상 네트워크에 액세스하지 못하면 패킷 탐지는 무용지물이다. 우리의 출발점은 클라우드 엔드포인트 위에서 시스템 호출을 수집함으로써, 더 간단히 말하자면 애플리케이션과 외부 세계의 상호작용 프로세스를 수집함으로써 컨테이너에 대해 획득할 수 있는 데이터를 새롭게 정의하는 것”이라고 말했다.
 
디조안니는 시야 확보부터 출발한다는 측면에서 런타임 보안을 집을 지키는 데 비유하며 “컨테이너화된 인프라를 감시하는 보안 카메라라고 보면 된다”라고 설명했다.

아쿠아 시큐리티(Aqua Security)
2015년에 창업된 이스라엘 신생업체 아쿠아 시큐리티는 오픈소스 프로젝트인 트레이시(Tracee)를 활용한다. eBPF 기술을 기반으로 하는 트레이시는 분산된 앱에 대한 런타임 보안 모니터링을 낮은 지연으로 수행하면서 의심스러운 활동을 찾아낸다.
 
아쿠아 CTO 아미르 저비는 “컨테이너가 모든 것을 내부에 패키징하면 운영 팀이 그냥 버튼을 클릭해서 실행하는 모습을 본 순간, 당연히 보안도 그 안에 패키징해야겠다는 생각이 들었다. 개발자로서는 굳이 기다릴 필요가 없다. 개발자는 보안 전문가가 아니고 정교한 공격으로부터 보호하는 방법을 모르므로 자신에게 필요한 단순한 요소를 선언할 수 있는 단순한 보안 계층이 필요하다. 바로 이 부분에 런타임 보호의 역할이 있다”라고 말했다.
 

기타 런타임 보안 제공업체

이 분야에서 활동하는 다른 기업으로는 앵코어(Anchore), 레이스워크(Lacework), 팔로알토 네트웍스의 트위스트록(TwistLock), 레드 햇의 스택록스(StackRox), 수세의 뉴벡터(NeuVector), 스닉(Snyk) 등이 있다.
 

개발자를 끌어들이기 위해서는 오픈소스가 중요

위에 열거한 여러 기업의 한 가지 공통적인 요소는 오픈소스 원칙의 중요함이다. 가트너의 찬드라세카란은 “이 분야의 고객은 오픈소스에 관심이 있고 완전한 사유 솔루션은 기피한다”면서 “이들은 오픈소스 커뮤니티에 활발하게 참여하면서 오픈소스 소프트웨어를 기반으로 상용 솔루션을 제공하는 기업과 협력하기를 원한다. 오픈소스가 클라우드 네이티브 기술의 기반이기 때문”이라고 말했다.
 
Infoworld가 접촉한 모든 신생업체 임원의 생각도 마찬가지다. 딥펜스의 저비는 “클라우드 네이티브 커뮤니티는 오픈소스에 많은 초점을 둔다. 오픈소스에 적극적으로 참여하고 기여하는 업체가 인정을 받는다. 이것저것 시도하고 그 업체가 하고 있는 일을 보고 자신도 기여할 수 있기 때문이다. 우리는 상업 기업이지만 상당수 제품이 오픈소스를 기반으로 한다”라고 말했다.
 
구글 클라우드의 CISO 필 베너블스는 클라우드 네이티브 보안에서 복잡한 문제를 해결하기 위해서는 오픈소스 접근 방법이 필수적이라면서 “디지털 면역 체계에 근접해지고 있다”라고 말했다. 자체 내부 시스템, 대형 엔터프라이즈 고객, 위협 사냥꾼, 레드 팀, 그리고 공개 버그 현상금 프로그램으로부터 정보를 수집한다. 베너블스는 “이를 통해 어떠한 취약점에도 대응할 태세를 갖추고 오픈소스 프로젝트에 다시 돌려줌으로써 여러 현상에 대한 더 넓은 시야를 확보하고 대응할 수 있다”라고 말했다.
 
분산된 애플리케이션에 분산된 위협이 따르는 미래에는 런타임 보안을 위한 이 같은 개방적이고 투명한 접근 방식이 매우 중요할 것이다. 클라우드 거대 기업들은 이 보호 기능을 각자의 플랫폼에 내장하는 작업을 지속하고, 새로운 신생업체들은 포괄적인 보호 기능을 제공하기 위해 경쟁할 것이다. 그러나 지금으로서는 프로덕션 전반에서 컨테이너화된 애플리케이션을 보호해야 하는 임무를 맡은 실무자는 쉽지 않은 길을 헤쳐 나가야 한다. editor@itworld.co.kr 


2021.11.19

클라우드 네이티브 보안의 2가지 핵심 키워드 '런타임 보안과 오픈소스'

Scott Carey | InfoWorld
컨테이너로 배포되고 쿠버네티스로 오케스트레이션되는 마이크로서비스 모음 형태의 애플리케이션을 빌드하는 소프트웨어 개발자는 이제 보안에서도 빌드 수준을 넘어 완전히 새로운 부분까지 고려해야 한다.
 
컨테이너화된 환경에서의 실시간 보호는 클러스터 강화와 달리 동적이어야 한다. 즉, 컨테이너가 프로덕션에 배포된 이후 컨테이너 내에서 예기치 않은 리소스에 연결하기, 새 네트워크 소켓 생성하기 같은 일상적이지 않은 동작을 지속적으로 스캔해야 한다.
 
요즘 개발자는 더 일찍, 더 자주 테스트하는 추세지만(시프트 레프트), 컨테이너에는 전체 수명 주기에 걸쳐, 그리고 이질적이고 대체로 수명이 짧은 환경 전반에 걸쳐 전체적인 보호가 필요하다.
 
가트너 애널리스트 아룬 찬드라세카란은 Infoworld와의 인터뷰에서 “그런 특성으로 인해 보호하기가 상당히 까다롭다. 수동 프로세스에 의존할 수 없으므로 환경을 자동화해서 때로는 불과 몇 초 동안 지속되는 것을 모니터링하고 보호해야 한다. 여기서 이메일을 주고받으며 대응할 수는 없다”라고 말했다.
 
ⓒ Getty Images Bank

구글은 2019년 발표한 백서 “BeyondProd: 클라우드 기반 보안에 대한 새로운 접근법”에서 “경계 보안 모델은 더 이상 최종 사용자에게도 마이크로서비스에도 효과가 없다. 코드가 변경되는 방법과 마이크로서비스의 사용자 데이터에 액세스하는 방법”까지 보호의 범위를 확장해야 한다고 주장했다.
 
전통적인 보안 툴은 네트워크 보호, 또는 개별 워크로드 보호에 초점을 두지만 현대 클라우드 네이티브 환경에서는 단순히 빌드를 보호하는 것 이상의 더 전체적인 접근이 필요하다. 이 전체적인 접근에서 호스트, 네트워크, 엔드포인트는 지속적으로 공격에 대비하여 모니터링 및 보호되어야 한다. 여기에는 일반적으로 동적 ID 관리와 네트워크 액세스 제어, 레지스트리 보안이 포함된다.
 

런타임 보안의 중요성

가트너의 찬드라세카란은 클라우드 네이티브 보안의 4가지 핵심적 측면을 다음과 같이 설명했다.

1. 출발점은 여전히 클러스터 강화를 통해 기반을 보호하는 것이다.
2. 그러나 거기서 끝나지 않고 컨테이너 런타임을 보호하고 충분한 모니터링과 로깅이 수행되도록 하는 것까지 확장된다.
3. 그 다음 지속적 제공 프로세스를 보호해야 하는데, 이는 신뢰할 수 있는 컨테이너 이미지 사용하기, 안전한 헬름 차트, 지속적인 취약점 스캔을 의미한다. 이와 함께 효과적인 비밀 보호를 통해 기밀 정보도 보호해야 한다.
4. 마지막으로, 이상적인 상태를 설정하고 이 상태로부터의 이탈을 지속적으로 살펴 전송 계층 보안(TLS)부터 애플리케이션 코드 자체 및 클라우드 보안 태세 관리에 이르기까지 네트워크 계층을 보호해야 한다.
 
독일 보험사인 뮤닉 리(Munich Re)의 기술 설계자 칼-하인츠 프로머는 2021년 Infoworld 기사에서 “효과적인 쿠버네티스 보안 툴은 쿠버네티스 환경 내의 모든 연결을 시각화하고 안전성을 자동으로 검증하고 모든 예기치 않은 활동을 차단할 수 있어야 한다. 이와 같은 런타임 보호가 구현되면 공격자가 쿠버네티스 환경에 침입해 악의적 프로세스를 시작하더라도 그 프로세스는 피해를 유발하기 전에 즉시, 자동으로 차단된다”라고 말했다.
 

런타임 보안 신생업체

당연히 주요 클라우드 업체(구글 클라우드, 아마존 웹 서비스, 마이크로소프트 애저)는 모두 이와 같은 보호를 각자의 관리형 쿠버네티스 서비스에 내장하고 있다. 구글 부사장 에릭 브루어는 Infoworld와의 인터뷰에서 “(이 부분이) 제대로 되어 있으면 애플리케이션 개발자가 해야 할 일은 많지 않다. 플랫폼에 무료로 포함되어야 하는 기능”이라고 말했다.
 
그러나 거대 클라우드 기업이라 해도 이 새로운 세계를 혼자서 보호하기는 어렵다. 브루어는 “어느 한 회사가 해결할 수는 없는 문제”라고 말했다.
 
그 공백을 메우기 위한 업체, 신생업체, 오픈소스 프로젝트 집단이 빠르게 성장하고 있다. 찬드라세카란은 “이 분야의 신생업체 생태계가 발전하는 중이다. OS 강화 또는 런타임 보호의 기본적인 측면이 얼마간 보편화되는 중이고, 주요 클라우드 제공업체들은 이를 플랫폼에 내장하여 제공한다”라고 말했다.
 
따라서 신생업체와 오픈소스 프로젝트의 기회는 대체로 클라우드 워크로드 보호, 보안 태세 관리, 기밀 관리와 같은 더 고급 기능에 있으며 차별화 요소로 ‘스마트’한 머신 러닝 기반의 경보 및 교정 기능을 추가로 제공하는 경우가 많다.

딥펜스(Deepfence)
딥펜스는 파이어아이(FireEye) 및 주니퍼 네트웍스를 거친 소프트웨어 엔지니어 산딥 라한이 2017년 공동 창업한 업체다. 라한의 설명에 따르면 딥펜스는 런타임에 일어나는 일에 초점을 두기 위해 클라우드 자산에 대한 MRA 스캔 등 공격 표면을 측정할 수 있는 간단한 센서를 마이크로서비스에 내장한다. 라한은 “딥펜스의 비즈니스는 고객의 고충을 해소하고 표적화된 방어를 구축하는 런타임 보호로 수익을 창출하는 것”이라고 말했다.
 
딥펜스는 2021년 10월 기반 툴인 쓰렛맵퍼(ThreatMapper)를 오픈소스화했다. 이 툴은 애플리케이션 실행 위치에 관계없이 애플리케이션 취약점을 스캔, 맵핑하고 등급화한다. 현재 딥펜스는 전체 런타임 보안 위험을 포괄하기 위한 플랫폼 확장을 추진 중이다.

시스디그(Sysdig)
시스디그는 이 분야에서 떠오르는 또 다른 업체로, 오픈소스 런타임 보안 툴인 팔코(Falco)를 만들었다.
 
팔코는 쓰렛맵퍼와 마찬가지로 런타임에서 비정상적인 동작을 탐지하는 데 초점을 둔다. 팔코 깃허브 페이지에는 “팔코를 사용하면 손쉽게 커널 이벤트를 소비하고 쿠버네티스 및 나머지 클라우드 네이티브 스택에서 가져오는 정보로 이 이벤트 정보를 보강할 수 있다. 팔코에는 쿠버네티스와 리눅스, 클라우드 네이티브를 위해 만들어진 풍부한 보안 규칙이 있다. 시스템에서 규칙 위반이 발생하면 팔코가 경보를 보내 사용자에게 위반 및 위반의 심각도를 알린다”라고 나와 있다.
 
시스디그 CTO 로리스 디조안니는 Infoworld 인터뷰에서 “세계가 바뀌면서 이전에 사용하던 기술은 이제 통하지 않는다는 것을 알게 됐다”면서 “더 이상 네트워크에 액세스하지 못하면 패킷 탐지는 무용지물이다. 우리의 출발점은 클라우드 엔드포인트 위에서 시스템 호출을 수집함으로써, 더 간단히 말하자면 애플리케이션과 외부 세계의 상호작용 프로세스를 수집함으로써 컨테이너에 대해 획득할 수 있는 데이터를 새롭게 정의하는 것”이라고 말했다.
 
디조안니는 시야 확보부터 출발한다는 측면에서 런타임 보안을 집을 지키는 데 비유하며 “컨테이너화된 인프라를 감시하는 보안 카메라라고 보면 된다”라고 설명했다.

아쿠아 시큐리티(Aqua Security)
2015년에 창업된 이스라엘 신생업체 아쿠아 시큐리티는 오픈소스 프로젝트인 트레이시(Tracee)를 활용한다. eBPF 기술을 기반으로 하는 트레이시는 분산된 앱에 대한 런타임 보안 모니터링을 낮은 지연으로 수행하면서 의심스러운 활동을 찾아낸다.
 
아쿠아 CTO 아미르 저비는 “컨테이너가 모든 것을 내부에 패키징하면 운영 팀이 그냥 버튼을 클릭해서 실행하는 모습을 본 순간, 당연히 보안도 그 안에 패키징해야겠다는 생각이 들었다. 개발자로서는 굳이 기다릴 필요가 없다. 개발자는 보안 전문가가 아니고 정교한 공격으로부터 보호하는 방법을 모르므로 자신에게 필요한 단순한 요소를 선언할 수 있는 단순한 보안 계층이 필요하다. 바로 이 부분에 런타임 보호의 역할이 있다”라고 말했다.
 

기타 런타임 보안 제공업체

이 분야에서 활동하는 다른 기업으로는 앵코어(Anchore), 레이스워크(Lacework), 팔로알토 네트웍스의 트위스트록(TwistLock), 레드 햇의 스택록스(StackRox), 수세의 뉴벡터(NeuVector), 스닉(Snyk) 등이 있다.
 

개발자를 끌어들이기 위해서는 오픈소스가 중요

위에 열거한 여러 기업의 한 가지 공통적인 요소는 오픈소스 원칙의 중요함이다. 가트너의 찬드라세카란은 “이 분야의 고객은 오픈소스에 관심이 있고 완전한 사유 솔루션은 기피한다”면서 “이들은 오픈소스 커뮤니티에 활발하게 참여하면서 오픈소스 소프트웨어를 기반으로 상용 솔루션을 제공하는 기업과 협력하기를 원한다. 오픈소스가 클라우드 네이티브 기술의 기반이기 때문”이라고 말했다.
 
Infoworld가 접촉한 모든 신생업체 임원의 생각도 마찬가지다. 딥펜스의 저비는 “클라우드 네이티브 커뮤니티는 오픈소스에 많은 초점을 둔다. 오픈소스에 적극적으로 참여하고 기여하는 업체가 인정을 받는다. 이것저것 시도하고 그 업체가 하고 있는 일을 보고 자신도 기여할 수 있기 때문이다. 우리는 상업 기업이지만 상당수 제품이 오픈소스를 기반으로 한다”라고 말했다.
 
구글 클라우드의 CISO 필 베너블스는 클라우드 네이티브 보안에서 복잡한 문제를 해결하기 위해서는 오픈소스 접근 방법이 필수적이라면서 “디지털 면역 체계에 근접해지고 있다”라고 말했다. 자체 내부 시스템, 대형 엔터프라이즈 고객, 위협 사냥꾼, 레드 팀, 그리고 공개 버그 현상금 프로그램으로부터 정보를 수집한다. 베너블스는 “이를 통해 어떠한 취약점에도 대응할 태세를 갖추고 오픈소스 프로젝트에 다시 돌려줌으로써 여러 현상에 대한 더 넓은 시야를 확보하고 대응할 수 있다”라고 말했다.
 
분산된 애플리케이션에 분산된 위협이 따르는 미래에는 런타임 보안을 위한 이 같은 개방적이고 투명한 접근 방식이 매우 중요할 것이다. 클라우드 거대 기업들은 이 보호 기능을 각자의 플랫폼에 내장하는 작업을 지속하고, 새로운 신생업체들은 포괄적인 보호 기능을 제공하기 위해 경쟁할 것이다. 그러나 지금으로서는 프로덕션 전반에서 컨테이너화된 애플리케이션을 보호해야 하는 임무를 맡은 실무자는 쉽지 않은 길을 헤쳐 나가야 한다. editor@itworld.co.kr 


X