🔭배포한 컨테이너의 보안을 높이는 방법 - 컨테이너 런타임 보안

안녕하세요 구독자님, 최신 DevOps 소식을 정리해서 공유해드리는 DevOps 여행을 위한 소식지입니다.

웹 서비스를 배포하고 운영한다면 해당 서비스를 수행하는 컨테이너를 특정 환경에 배포해서 외부 접속이 가능하게끔 설정하는 것이 일반적일 텐데요. 

이렇게 컨테이너가 최종 사용자와 상호작용하는 만큼, 동작 중인 컨테이너에 대한 보안도 중요하다고 할 수 있겠습니다.

이번 소식지에선 컨테이너(Container)가 동작 중(Runtime)일 때 수행하는 보안 활동(Security)이라는 뜻의 컨테이너 런타임 보안(Container Runtime Security) 활동에 대해 살펴보고, 이러한 보안 활동을 도와주는 툴 중 하나인 Falco를 소개해드리겠습니다.

🔦동작 중인 컨테이너도 중요한 보안 관리 대상!

위에서 잠깐 언급했지만, 배포된 컨테이너는 실제로 동작하는 개체이면서 대부분 데이터를 처리하는 역할을 수행하기 때문에 보안 공격 대상이 되기 쉽습니다.

게다가 컨테이너는 호스트 PC의 환경을 일부 공유하기 때문에, 공격자가 컨테이너 내부에 무단 침입 후 그 컨테이너 외부로 빠져나오게 된다면 해당 호스트 PC나 그 안에서 동작 중이던 다른 컨테이너에도 접근하게 되므로 심각한 보안 사고로 이어질 수도 있죠. 

동작 중인 컨테이너에 대한 보안, 즉 컨테이너 런타임 보안이 중요한 이유입니다.

그렇다면 컨테이너 런타임 보안 활동은 어떻게 이뤄질까요? 

컨테이너에 대한 실시간 모니터링 및 보호가 대표적인 컨테이너 런타임 보안 활동입니다. 특히 컨테이너가 실행되면서 발생하는 Linux System에 대한 요청 또는 호출(Linux 커널에서의 System Call이라고도 합니다)을 감시하는 것이 일반적이라고 할 수 있겠습니다.

이렇게 감시를 진행하다가 프로세스의 이상 행위 또는 잠재적인 보안 유해 행위가 감지된다면 이를 알림으로 전송하고, 더 나아가 이러한 위험 행위를 미리 정의된 규칙에 따라 제한하는 경우도 있습니다.

컨테이너 런타임 보안 활동을 위해 다양한 툴들이 개발되고 있는데요. 그 중 대표적인 3가지는 아래와 같습니다.

이 중에서 우리는 대중적으로 사용되는 Falco에 대해 더 알아보겠습니다. 

🦅CNCF에서 안정성을 인정받은 컨테이너 런타임 보안 툴 Falco

Falco 공식 홈페이지에서는 Falco를 Linux 시스템을 대상으로 개발된 클라우드 네이티브 보안 툴이라고 소개하고 있습니다. 또한 Falco는 Linux 시스템에서 발생하는 이벤트를 감시하고 사전 정의된 규칙(Ruleset)에 따라 실시간 알림을 보내주는 역할을 수행한다고 안내하고 있는데요.

또한 클라우드 관련 오픈소스를 관리하는 국제적인 기관 Cloud Native Computing Foundation(CNCF)에서는 Falco를 안정적이며 프로덕션 환경에서 성공적으로 활용될 수 있는 오픈소스 프로젝트라고 소개하고 있습니다. (관련 링크)

이렇게 안정적이라고 공인을 받은 Falco는 이외에도 아래와 같이 다양한 장점을 지니고 있습니다.

Falco가 사용하는 Ruleset의 각 Rule은 아래 예시와 같은 양식으로 구성됩니다.

Falco가 사전 정의된 Ruleset에 따라 System 또는 Kubernetes 요청을 감지할 경우, 아래와 같은 형태로 알림을 표시합니다.

🔭마치며...

이번 소식지에선 컨테이너 런타임 보안, 그리고 관련 툴인 Falco에 대해 알아보았는데요.😉

혹시 이번 내용 관련해서 더 궁금한 점이 있으시다면 아래 메일리 댓글 남겨주세요.

추후 소식지 제작에 참고하겠습니다.😀

그럼, 다음 소식지에서 보다 알차고 흥미로운 내용으로 찾아뵙겠습니다.

감사합니다. 😺

🔗References

DevOps와 클라우드 관련 기술 지식을 공유하는 블로그도 운영 중입니다 :)

🔭DevOps 여행을 위한 안내서