🔭내가 사용하는 컨테이너 이미지는 안전할까?

안녕하세요 구독자님, 최신 DevOps 소식을 정리해서 공유해드리는 DevOps 여행을 위한 소식지입니다.

개발 업무나 프로젝트를 진행하다보면 컨테이너 이미지를 사용해서 애플리케이션이 동작할 수 있는 환경을 만들고 실제 배포를 하는 경우가 일반적인데요. 그러다보니 사용하는 컨테이너 이미지에 보안 취약점이나 이슈가 있다면 심각한 보안 사고로도 이어질 수 있습니다.

이럴 때 우리에게 필요한 것이 바로, 이번 소식지에서 소개해드릴 컨테이너 보안 스캐닝(Container Security Scanning)입니다.

🔎보안 취약점을 검사하는 컨테이너 보안 스캐닝

컨테이너 보안 스캐닝 툴은 사용 중인 이미지에 보안 취약점이 있는지 검사합니다.

컨테이너 보안 스캐닝은 컨테이너 이미지에 존재할 수 있는 보안 취약점이나 이슈를 스캐닝 툴로 검사하고 분석하는 행위를 말합니다.

소식지 서두에서도 말씀드렸던 것처럼, 이미 수많은 서비스가 컨테이너 이미지 기반으로 동작하고 있기 때문에 컨테이너 이미지에 보안 취약점이나 이슈가 있다면 심각한 보안 피해로 이어질 수 있습니다.

만약 컨테이너 보안 스캐닝을 수행한다면, 개발자가 해당 컨테이너에 어떤 취약점이 존재하는지 인지할 수 있기 때문에 사전에 적절한 조치를 취할 수 있게 된다는 장점이 있습니다.

또한 실제 서비스에 대해서 주기적으로 컨테이너 보안 스캐닝을 수행한다면, 최종 사용자에게 해당 서비스가 계속 모니터링되어 안전하다는 신뢰감도 줄 수 있답니다.

그렇다면 컨테이너 보안 스캐닝은 어떻게 수행될까요?

현재 Trivy나 Clair 등 다양한 컨테이너 보안 스캐닝 툴이 오픈소스로 개발되고 있습니다. 이런 컨테이너 보안 스캐닝 툴들은 모두 원격 레지스트리나 로컬에 저장된 컨테이너 이미지를 스캔하고 보안 취약점이나 이슈가 존재하는지 분석해주는데요.

이때 스캐닝 툴의 스캔 방식은 크게 2가지로 나뉩니다.

지식 기반(Signature-Based) 스캔: 기존에 알려진 취약점(CVE 등)를 기반으로 스캔
행동 기반(Behavioral-Based) 스캔: 컨테이너를 실행 후 비정상적인 프로세스나 네트워크 트래픽 같은 행위가 있는지 스캔

컨테이너 스캐닝 툴의 동작 방식에 대해서는 위에서도 잠깐 언급했던 Clair를 예로 들어서 좀 더 알아보겠습니다.

🔎보안 취약점 분석과 알림 기능까지 지원하는 Clair

Clair는 컨테이너 이미지의 구성요소를 분석하여 취약점을 보고해주는 애플리케이션입니다. Indexer, Matcher, Notifier라는 이름의 컴포넌트로 구성되며, Clair의 작업은 크게 Indexing, Matching, Notification으로 나뉩니다. 각 프로세스와 컴포넌트에 대한 설명은 아래와 같습니다.

Indexing

Clair의 Indexer는 스캔 대상 이미지를 분석하고 해당 이미지의 구성 요소에 대한 정보를 얻어냅니다.
이렇게 얻어낸 정보는 Manifest란 이름으로 DB에 저장되며, 이 Indexing에 대한 정보도 IndexReport라는 데이터 구조로 DB에 저장됩니다.

Matching

Clair의 Matcher는 Indexer가 DB에 저장한 IndexReport를 가져와 취약점 분석을 진행합니다.
이러한 취약점 분석은 DB에 미리 저장되어있는 최신 취약점 데이터를 기반으로 수행됩니다.
취약점 분석이 완료되면 취약점 보고서가 생성됩니다.
Matcher는 주기적으로 DB에 최신 취약점 데이터를 업데이트하는 역할도 수행합니다.

Notification

Clair의 Notifier는 취약점 분석에 대한 알림 기능을 수행합니다.
Matcher가 주기적으로 업데이트하는 최신 취약점 데이터를 기반으로, 이미 취약점 분석을 완료한 컨테이너 이미지 중 새로 영향을 받는 이미지가 있을 경우 Webhook으로 알림을 보냅니다.