최근 몇 년 동안 Kubernetes의 안정성은 어떻게 진행되었습니까?
게시 됨: 2022-01-20
새로운 수십 년 동안 Kubernetes의 안전성은 어떻게 발전했습니까?
Kubernetes 채택에 있어 전례 없는 발전이 있었으며 거의 70%의 기업이 팬데믹의 직접적인 결과로 사용을 확대했습니다. 그 결과 조직 보안이 전례 없는 도전을 받게 되어 복잡성과 사각 지대가 강화됩니다.
보호 그룹은 실제로 각 개별 단일 Kubernetes 프로젝트에 대한 가시성을 갖고 있지 않으므로 개발자가 작업하는 속도로 모든 프로젝트를 보호하기가 거의 불가능합니다.
어려움을 겪고 있는 것은 Kubernetes의 명성이 높아지는 것만이 아닙니다. 클라우드 네이티브 아키텍처의 동적 특성도 상황입니다. 간단히 말해서, 기업의 61%는 클라우드 환경이 1분 또는 그 미만으로 변경되고 있다고 말했고 사실상 3분의 1은 최소한 2분의 1의 시간에 조정한다고 말했습니다. 이 모든 변환은 마이크로서비스, 컨테이너 또는 디지털 머신과 같은 다양한 새로운 장치와 해당 장치 ID의 기하급수적인 증가를 주도하고 있습니다. 장비 ID는 시스템이 암호화된 방식으로 서로 통신하는 데 사용하는 인증서 및 키로서 데이터를 위험하지 않고 보호합니다.
이러한 목적의 대부분은 몇 초 만에 위아래로 회전하지만 그럼에도 불구하고 전체 수명 주기 동안 관리해야 하는 ID가 필요합니다. 이것이 어려워지는 것입니다. 기업은 이제 클라우드 회사의 효과적인 절차에 필요한 속도와 규모로 이러한 모든 ID를 발급하고 처리하는 데 어려움을 겪고 있습니다. 그럼에도 불구하고 이는 시스템 ID의 잘못된 관리로 인해 추가적인 보안 함정과 애플리케이션 중단을 초래합니다. 이것은 또한 일반적으로 네트워크에 고립된 컴퓨터 ID가 많이 남아 있다는 것을 의미하며, 모두 고유한 보안 위험을 내포하고 있습니다.
이전보다 더 많은 공격이 있습니까? 아니면 Kubernetes를 더 정확하게 목표로 삼는 것을 관찰하고 있습니까?
이전보다 훨씬 더 많은 기업에서 Kubernetes를 적용함에 따라 해커는 이를 새로운 경량으로 보고 있습니다. 따라서 우리는 이전보다 더 많은 공격을 목격하고 있을 뿐만 아니라 사이버 범죄자들이 재정적 이득에 대한 새로운 대안을 찾아내고 있습니다. 현재 이전 몇 개월 동안 우리는 잘못 구성된 Kubernetes 클러스터를 활용하는 사이버 범죄 조직 Staff TNT를 목격했습니다. 첫 진입 후 Hildegard라는 악성코드는 크립토마이너를 배포하기 직전에 안전하지 않은 SSH 키와 기타 머신 ID를 사용하여 더 높은 수치의 컨테이너에 액세스할 수 있게 되었습니다.
한 번 더 공격은 악의적인 Azure 사람들이 Microsoft의 지원 제공 컨테이너 내에서 다른 고객의 클라우드 기회를 대신할 수 있음을 발견했습니다. 이 'Azurescape' 침투는 공격자가 Kubernetes를 사용하여 민감한 정보를 훔치고 암호화 마이닝을 허용하거나 위험한 코드를 실행하는 방법에 대한 다른 예입니다. 클라우드 개발자는 Kubernetes에 대한 이해가 풍부하지만 개별 개별 클라우드 상황에 대해 강력한 안정성 제어를 구현할 수 있는 위치에 있는 것은 물리적으로 불가능합니다. 해커는 이 사실을 인지하고 기술과 공격 절차를 발전시켜 이를 매우 잘 활용합니다. 이것은 Fund A와 Docker와 같은 사람들이 세간의 이목을 끄는 침해를 경험하는 것을 볼 수 있습니다.
Kubernetes가 훨씬 더 많이 수용됨에 따라 다양한 공격이 증가할 것으로 예상됩니다. 물론 기업이 Kubernetes 환경 방어에 적극적으로 참여하기 시작하지 않는 한 그렇습니다.
기업이 Kubernetes 배포 내부에 구축하는 빈번한 오류는 무엇입니까?
Kubernetes 배포에 필수적인 사용 용이성과 기본 절차는 많은 장점 중 하나입니다. 그렇긴 하지만, 이것은 또한 기업이 만든 가장 흔한 실수 중 하나를 유발합니다. 상당수가 Kubernetes의 기본 옵션에 크게 의존하므로 이러한 옵션이 본질적으로 보호되지 않더라도 새 앱을 빠르게 배포할 수 있습니다. 예를 들어 네트워크 지침에 따르면 모든 앱은 제약 없이 서로 통신할 수 있습니다. 한편 목적은 신뢰할 수 없는 출처에서 도착했는지 여부에 관계없이 실행 코드가 포함된 다양한 정적 파일인 모든 컨테이너 이미지를 사용할 수도 있습니다. 이러한 과도한 의존으로 인해 기업은 사이버 범죄자가 사용하는 모든 취약점에 노출될 수 있습니다.
Kubernetes에 도착했을 때 구축하고 있는 다른 인기 있는 슬립업 비즈니스는 장치 ID의 잘못된 구성 및 잘못된 관리입니다. 이러한 ID가 짧은 시간 후에 만료되고 목적 간에 전송되는 사실을 보호하는 데 중요하다는 점을 감안할 때 이는 무서운 전망입니다. 이러한 정보가 잘못 구성되거나 잊어버리면 해커가 해당 ID를 훔치거나 위조하여 공격을 수행하는 데 사용할 수 있습니다. 이로 인해 상당한 워크로드가 실패할 수 있을 뿐만 아니라 민감한 정보와 사실이 잘못 배치될 수 있으며 완전한 네트워크를 넘어서려는 공격자에게 더 큰 제어가 제공될 수 있습니다.
이는 클라우드의 동적 특성과 함께 기계 ID의 폭발적 증가가 가이드 관리를 달성할 수 없음을 시사한다고 생각할 때 스트레스를 주는 것입니다. 동시에 새로운 정체성의 지속적인 개선은 건축업자가 보호 기대치에 대해 테스트하기 위해 품질 관리를 활용하지 않고 훨씬 더 많은 추가 프로그램을 구축함에 따라 안전 구멍이 정기적으로 열리고 있음을 시사합니다.
또한 조직은 소유 안정성에 대한 책임을 지지 않고 있습니다. 그들은 보안이 가장 효과적인 운동을 훨씬 더 잘 준수해야 하며 처음부터 안전이 최우선적으로 고려되는 DevSecOps 사회를 수용해야 합니다. 기업을 곤경에 빠뜨리는 것은 이것을 하지 않는 것입니다. 디지털 제공업체에 대한 수요가 증가함에 따라 건설업체는 건설 및 혁신에 지속적으로 집중하여 섹터 출시 시간을 단축하고 있습니다. 대신, 발생할 수 있는 모든 어려움에 대해 계속 보호되고 모니터링되도록 Kubernetes 배포에서 보안 그룹과의 조정을 개선해야 합니다.
기업이 Kubernetes 인프라를 공격자로부터 안전하고 건전하게 유지하기 위해 사전에 어떤 단계를 밟을 수 있습니까?
Canonical의 Investigate는 두 기업의 한 사람보다 훨씬 더 많은 사람들이 내부 Kubernetes 기능의 결핍으로 어려움을 겪고 있음을 보여줍니다. 조직이 이 증가하는 기술 구멍을 처리하기 위해 취할 수 있는 첫 번째 조치는 Kubernetes 인프라를 관리하는 방법에 대해 직원을 교육하고 기술을 향상시키기 위해 전문가와 참여하는 것입니다. 동시에 기업은 클라우드 성숙도를 가속화하여 모든 과제와 위협 완화 방법을 인지하고 있는지 확인해야 합니다. 성장 팀이 사용할 수 있는 장비에 열광하고 속도로 클라우드 고유 앱을 만드는 데 몰두하고 있지만 보안 그룹은 여전히 유지하기 위해 고군분투하고 있습니다.
그럼에도 불구하고 클라우드 성숙도를 높이는 것은 간단한 작업이 아닙니다. 클라우드 네이티브 기술은 새롭고 대부분의 조직에서는 이에 대한 인식과 경험이 제한적입니다. 그렇기 때문에 기업은 빠르고 보호된 클라우드 네이티브 개발을 돕기 위해 중요한 기능, 프로세스 및 장비를 제공할 수 있는 동료와 협력하는 것이 매우 중요합니다.
기업은 자동화 시스템도 수용해야 합니다. 이것은 기계 ID의 발행, 구성 및 관리를 자동화하는 것으로 구성되므로 개발자는 배포 대상 인프라의 보안 또는 무결성에 대해 스트레스를 받지 않고 새 응용 프로그램을 배포할 수 있습니다.
자동화를 통해 직원 동료들의 긴장을 풀 수 있습니다. 그 대신에 그들은 비즈니스에 이익을 주는 데 시간과 에너지를 집중할 수 있습니다. 이를 통해 심각한 가시성, 안전 기준 준수 및 실시간으로 보호 위험에 대응할 수 있습니다.
0은 Kubernetes의 지속적인 방어에 참여할 수 있다고 믿는 기능은 무엇입니까?
Zero-relyon은 Kubernetes의 지속적인 보안에 참여하는 데 점점 더 중요한 위치를 차지하게 될 것입니다. 많은 상황과 비즈니스 워크로드가 증가함에 따라 모든 사람의 장비 ID를 처리하고 절차의 모든 단일 소프트웨어와 사람을 검증할 수 있는 장비를 갖추는 것이 불가능하게 되었습니다. 일부 컨테이너가 몇 초 만에 위아래로 회전할 때 특히 그렇습니다.
따라서 모든 애플리케이션이 항상 확인 및 인증되기를 원한다고 가정하는 제로 빌리프 기술을 실행해야 합니다.
이것이 클라우드 고유 환경 내에서 작업을 수행하려면 기계 ID가 근본적인 위치를 획득하면서 워크로드 수준에서 신뢰가 시행되어야 합니다. 자동화는 현대적인 개발과 대규모 조직 목적에 필요한 규모를 유지하는 비용 부담 없이 전술을 사용하여 이러한 ID를 관리하는 데 필수적입니다.
Chintan Bellchambers, Jetstack 항목 관리자