Mercari에서 인턴십을 하신 분이 작업한 내용을 정리한 글입니다. Mercari는 Kubernetes 클러스터의 공격 감지를 위해 sysdig를 2020년부터 사용하고 있었다고 합니다. Fa

Mercari에서 인턴십을 하신 분이 작업한 내용을 정리한 글입니다. Mercari는 Kubernetes 클러스터의 공격 감지를 위해 sysdig를 2020년부터 사용하고 있었다고 합니다. Falco는 CNCF 프로젝트로 eBPF로 커널의 시스템 호출을 수집해서 Kubernetes 클러스터와 컨테이너 공격을 감지하게 하는 프로젝트이고 sysdig는 이 Falco를 기반해서 보안 기능을 제공하는 유료 서비스입니다. 2020년 이후에 Falco나 sysdig도 발전해서 새로운 기능도 많아졌고 당시보다 보안과 관련된 사례나 정보도 많아졌기 때문에 현재 적용하고 있는 보안 정책에 대해서 재평가가 필요하다고 생각했고 인턴십에서 이 작업을 진행했다고 합니다. Microsoft에서 발행한 Kubernetes의 위협 메트릭을 이용해서 위협 메트릭을 정의하고 새롭게 만든 Falco 보안 규칙을 적용하고 이 보안 규칙을 Falco 프로젝트에도 기여할 수 있었다고 합니다. Falco는 좋지만 애플리케이션 내의 공격은 탐지하지 못하고(예를 들어 SQL 인잭션 등은 커널의 시스템 호출과는 관련이 없으므로...) 단일 시스템 호출로 공격을 감지하기 때문에 여러 시스템 호출을 이용해서 공격한다면 이를 탐지 할 수 없는 한계가 있다고 합니다.