컨테이너 구성 오류 해결을 위한 베스트 프랙티스

컨테이너 환경에서 애플리케이션을 개발하거나 운영하고 계신가요? 그렇다면 컨테이너화된 환경이 올바르게 구성이 되었고 보안적으로도 적절하게 설정되었는지 확인하실 수 있으신가요? 컨테이너 구성과 관련해서 좋은 기사가 있어 공유합니다.😃 (출처: ComputerWeekly)

<컨테이너 구성 오류를 해결하기 위한 모범 사례>

• 기존의 접근 방식(Lifting과 shifting) 그대로 컨테이너를 도입하고 전환하는 것은 종종 직원들이 새로운 기술을 사용하기 시작하면서 기존에 사용해 왔던 방법, 관행, 정책 및 취약점들이 그대로 포함되면서 복잡성이 증가하고 기술 격차를 야기할 수 있습니다. 이러한 현상을 개인과 조직의 '클라우드 기술 부족'이라고 탓하기 쉽지만, 실제로는 조직의 전략 문제일 수 있습니다.

• 컨테이너 구성의 오류는 아키텍처와 현대화 관행(practice modernization)을 통합하지 않은 마이그레이션에서 발생하며 이는 더 큰 문제의 징후라고 볼 수 있습니다.

좋은 마이그레이션 전략의 중요성

• 네트워크 구성 및 컨테이너를 관리하는 것은 까다로울 수 있습니다. 컨테이너 확장을 위한 리소스 할당을 파악하는 것부터, 드리프트를 피하면서 상태와 지속성을 유지하는 방법, 그리고 이미지, 프라이빗 및 퍼블릭 레지스트리, 권한 등에 대한 보안에 주의를 기울이는 것까지 모두 포함됩니다.

• Kubernetes 및 보안 문제는 과도한 권한 부여, 과도한 프로비저닝 및 과다 노출로 요약될 수 있는데요, 예를 들어 생성된 여러 권한 중 많은 권한이 사용되지 않은 상태로 유지되고 사용자들은 여전히 ​​루트 또는 수퍼유저 액세스를 사용하여 컨테이너를 실행하고 있습니다.

• Kubernetes의 보안을 보장하기 위해 IT 리더는 컨테이너화로 인해 점점 더 계층화되고 복잡해지는 기술 스택을 고려할 때 잠재적인 공격 트리 및 관련된 위협 표면의 모든 수준에서 신중한 클러스터 관리를 수행해야 합니다.

• IT 리더가 운영 모델 선택에서 코드 모듈이나 서비스 카탈로그로 인프라의 개발자 셀프 서비스를 선택하거나 중앙 플랫폼 팀을 통해 선택을 내리고 이에 따라 조직을 구성할 것을 권장해야 합니다. 또한 보안 팀과 개발 팀은 긴밀하게 협력하여 시스템 지연을 줄여야 하고, 승인 기준을 조기에 정의하고 규제 위반으로 인한 시스템 가동을 방지해야 합니다.

• 컨테이너와 오케스트레이션은 물론 컨테이너 내부 내용을 철저히 고려해야 하는데요, 많은 보안 실패는 개인 키와 공개 키의 잘못된 사용은 말할 것도 없고 업데이트 및 패치와 같은 기본 사항을 무시한 데서 발생할 수 있기 때문입니다.

단순한 형태로 유지하기

• 소프트웨어 개발자들에게 애플리케이션 실행에 필요한 패키지만 사용할 것을 촉구합니다. 예를 들어, 한 번도 사용되지 않는 5만 개의 패키지를 설치하면 수많은 잠재적 취약점이 노출될 가능성이 높습니다.

• 일부 오픈 소스 도구들은 빌드 중 컨테이너를 스캔하고 알려진 문제에 대한 CI/CD 파이프라인을 보고하는 것과 같은 기능을 제공합니다. 예를 들어 네트워크 포트가 열려 있는지, 라이브러리가 정의된 방법 또는 Java 또는 Node.js 버전이 최신 버전인지 여부 등 입니다.

• 쿠버네티스 환경에도 변경할 수 있는 구성 요소가 너무 많은데요, 현재 '아니오'로 설정되어 있는 '예'라고 말해야 하는 것을 발견할 수 없을 수도 있습니다.

퍼블릭 공격 표면(surface)의 감소

• 업데이트가 공개된 이미지로 밀려오는 동안 검색이 발생하고 있으며, IT 보안 팀은 이 사실을 모를 수도 있습니다. 컨테이너 이미지에 대한 퍼블릭 리소스를 차단하면 공급망 위험과 잘못된 구성을 줄일 수 있습니다.

• 실시간 위협 탐지 및 정책을 통해 운영 중인 컨테이너를 안전하게 보호하고, 인시던트 응답 자동화를 비롯한 시의적절한 경고 및 대응을 위한 정책을 제공하는 도구들이 있는데요, 자동화 없이는 보안 대응 및 예방을 위한 시간, 용량 또는 기능이 부족할 수 있습니다.
  

원본 기사 링크는 아래와 같습니다. 끝까지 읽어 주셔서 감사합니다.🙏

[Source Link] https://www.computerweekly.com/feature/Best-practices-to-beat-container-misconfiguration