Red Hat Advanced Cluster Security 4.9: 워크플로우에 최적화된 보안

Red Hat은 쿠버네티스(Kubernetes) 보안의 빠른 발전에 발맞춰 Red Hat Advanced Cluster Security for Kubernetes를 발전시키는 데 주력해 왔습니다. 이번 4.9 버전에서는 워크플로우를 간소화하도록 설계된 주요 통합 및 업데이트가 도입되었습니다. 이를 위해 다른 툴 및 서비스와의 통합 기능을 개선하고 운영 가시성을 강화했으며, 가상 머신(VM)을 보고 및 검사 범위에 포함하기 위한 작업을 시작했습니다. 

Red Hat Advanced Cluster Security와 ServiceNow 통합

Red Hat Advanced Cluster Security 4.9의 주요 특징은 ServiceNow와의 통합입니다. 이를 통해 사용자는 ServiceNow의 Container Vulnerability Response Application을 사용하여 상세 컨테이너 이미지 취약점 데이터를 ServiceNow 대시보드로 간편하게 가져올 수 있습니다. 

이를 통해 Red Hat Advanced Cluster Security의 풍부한 데이터를 조직이 보안 문제를 해결하는 데 사용하는 유연한 티켓 기반 워크플로우에 통합할 수 있습니다.

ServiceNow 인스턴스에 통합을 추가하려면 ServiceNow Marketplace를 방문하십시오.

보기(view) 기반 취약점 리포트

Red Hat Advanced Cluster Security 4.9에서는 필터링된 취약점 데이터를 CSV 파일로 직접 내보내어 취약점 리포트를 더욱 간편하게 생성하고 공유할 수 있습니다. 이 기능을 통해 보안 팀은 필요한 취약점을 보다 유연하게 검색하고, 실행 가능한 인사이트를 쉽게 공유할 수 있습니다.

사용자 정의가 가능한 이러한 내보내기 기능은 팀이 취약점과 컨테이너 정보를 신속하게 파악하여 보안 팀의 대응 속도와 효율성을 높임으로써 워크플로우를 간소화합니다.

VM 취약점 리포트(개발 프리뷰)

Red Hat Advanced Cluster Security를 통해 VM 보안을 강화하는 프로세스의 첫 단계로, Red Hat OpenShift Virtualization으로 관리되는 VM에 대한 취약점 검사가 포함됩니다. 이 솔루션을 사용하려면 VM의 게스트 운영 체제(OS)에 숨겨진 위험을 탐지하기 위해 Red Hat Enterprise Linux(RHEL) 호스트에 경량 에이전트를 설치해야 합니다.

현재 VM은 50개로 제한되어 있으며, 기존 취약점 관리 대시보드와 원활하게 통합됩니다.

M2M(Machine-to-Machine) OIDC 인증

최신 릴리스에서는 선언적 방식으로 자동화 친화적인 M2M OpenID Connect(OIDC) 인증을 도입하여 제품 API에 대한 보안 액세스를 간소화합니다. Central 포드에 마운트된 ConfigMaps 또는 Secrets로 OIDC 발급자 세부 정보를 추가하기만 하면, 팀은 자동화된 보안 중심 API 상호 작용을 위해 아이덴티티 프로바이더의 단기 OIDC 토큰을 사용할 수 있습니다. 이를 통해 인증 워크플로우가 간소화되어 장기 자격 증명 없이 시스템에 액세스할 수 있으며, 타사 인증 또한 간소화됩니다.

Prometheus를 사용한 지표 내보내기

Red Hat Advanced Cluster Security 4.9는 가시성 향상을 위해 사용자 정의 제품 메트릭을 노출하는 전용 /metrics API 엔드포인트를 Central Services에 제공합니다. 이러한 사용자 정의 제품 메트릭은 Prometheus 시계열 데이터베이스에 저장됩니다. Prometheus 데이터를 사용하여 Grafana 또는 Perses와 같은 툴로 보안 메트릭을 시각화하여 맞춤형 대시보드를 만들 수 있으며, Alertmanager를 사용하면 이메일, Slack 또는 PagerDuty와 같은 다양한 수신자에게 알림을 보낼 수 있습니다. 

정책 위반, 이미지 취약점, 노드 취약점과 같은 주요 보안 영역에 대한 실행 가능한 인사이트를 확보하는 동시에 클러스터 상태 및 TLS 인증서 만료와 같은 고정 메트릭을 통해 시스템 상태를 모니터링하십시오. 4.9 버전은 위험과 시스템 상태를 사전에 추적하는 데 유용한 보안 및 운영 데이터를 제공함으로써 SecOps 방식을 구현합니다. 

설정 관련 자세한 내용은 여기에서 Red Hat Advanced Cluster Security 4.9 릴리스 정보를 참조하십시오.

자동 잠금 프로세스 기준

프로세스 기준 설정은 여러 버전의 Red Hat Advanced Cluster Security에 포함되어 있었습니다. 4.9 버전에서는 기준 잠금 프로세스를 자동화하여 이 기능이 업그레이드되었습니다. 이전에는 각 배포마다 시간이 오래 걸리는 수동 작업이었지만, 이번 업데이트를 통해 보안 팀은 더욱 중요한 작업에 집중할 수 있게 되었습니다.

또한, 이번 변경으로 더욱 능동적인 보안 접근 방식을 활용할 수 있습니다. 경고를 설정하기 위해 배포가 완료될 때까지 기다릴 필요 없이, 이제 네임스페이스와 같은 특정 범위에 대한 정책을 정의할 수 있습니다. 해당 범위에 새로운 배포가 이루어지면 자동으로 경고가 발생하여 처음부터 일관된 보안을 유지할 수 있습니다.

정책 편집기 변경 사항 및 개선 사항

여러분의 피드백을 반영하여 정책 편집기를 개선했습니다. Red Hat Advanced Cluster Security 4.9는 단일 정책 라이프사이클 선택을 중심으로 정책 생성을 집중화하여 이전 다중 옵션 설정의 복잡성을 줄였습니다. 기준 필드는 라이프사이클에 따라 더 빠르고 직관적으로 선택할 수 있도록 새로운 하위 섹션으로 구성되어 있습니다.

기준 필드는 섹션별로 스마트하게 그룹화되어 있으며, 라이프사이클에 따라 관련된 옵션만 동적으로 표시됩니다. 또한, 문서에는 기존의 '방법' 지침 외에도 포괄적인 가이드가 포함되어 있습니다. 이번 업데이트를 통해 팀은 빌드, 배포 및 런타임 단계 전반에서 보안 정책을 훨씬 쉽게 적용할 수 있습니다. 

Red Hat Advanced Cluster Security 4.9 릴리스 정보는 여기에서 확인하세요.

Admission Controller 적용 및 라이프사이클 업데이트

첫째, Admission Controller 설정이 더욱 사용자 친화적으로 바뀌었습니다. Red Hat Advanced Cluster Security 4.9는 하위 수준 설정을 제거하고 Admission Controller 적용을 비활성화하는 단일 ON/OFF 옵션을 제공합니다. 이 설정은 보안 클러스터별로 설치 방법(Operator 또는 Helm 차트)에 따라 제어되며, 사용자 인터페이스(UI)의 클러스터 구성 페이지에서 확인할 수 있습니다.

둘째, Admission Controller의 '실패 정책'을 구성할 수 있도록 개선했습니다. 쿠버네티스가 API 요청을 처리할 때 Admission Controller는 짧은 시간 안에 응답해야 합니다. 시간 초과 시 쿠버네티스는 다음 중 하나를 수행할 수 있습니다.

• Fail Open: 요청을 통과시키고 Admission Controller를 무시합니다(가용성 우선).
• Fail Close: 요청을 차단합니다(일관된 보안 실행 우선).

이전에는 Red Hat Advanced Cluster Security가 Helm 설치 방법으로만 Fail Close 모드를 지원했습니다. 이제 이 옵션은 Operator 설치 방법에서도 사용할 수 있으며 UI에서 업데이트되었습니다.

지금 바로 사용해 보세요

Red Hat Advanced Cluster Security 4.9 릴리스에 대한 자세한 내용은 릴리스 정보를 확인하세요.