강력한 보안, 즉시 사용 가능, 추가 비용 없이 제공: 컨테이너 보안의 진화

오늘 Red Hat은 Red Hat Hardened Images의 정식 출시(GA)를 발표합니다. 이 서비스는 보안 수정 사항을 신속하게 추가 비용 없이 제공하는 컨테이너 이미지 카탈로그로, 팀이 CVE를 지속적으로 추적하는 대신 앞서 나갈 수 있도록 지원합니다. Red Hat은 이미지 경량화 및 강화(hardening)라는 까다로운 작업을 처리하여 팀이 오탐을 추적하는 대신 코드와 애플리케이션 보안이라는 진정으로 중요한 업무에 집중할 수 있도록 지원합니다.

Red Hat은 Project Hummingbird를 통해 이 여정을 시작했습니다. 이 프로젝트를 지켜봐 오셨다면, Red Hat이 수백 명의 얼리 액세스 사용자와 함께 콘텐츠, 이미지, 제공 방식을 개선하는 과정을 확인하셨을 것입니다. 컨테이너 공격 표면을 줄이기 위한 실험으로 시작된 이 프로젝트는 150개 이상의 변종을 포함하는 45개 이상의 이미지로 구성된 프로덕션 레디 카탈로그로 발전했으며, 모든 이미지는 Red Hat의 신뢰할 수 있는 소프트웨어 파이프라인을 기반으로 구축되었습니다. Project Hummingbird는 Red Hat Hardened Images를 생성하는 혁신 엔진으로서의 역할을 지속할 것입니다. 

그림 1. Hardened Images 카탈로그

문제점: CVE 급증과 제로 허용 오차의 충돌

Red Hat은 수십 개의 조직과 소통하며 컨테이너 보안이 막대한 시간 소모를 초래한다는 공통된 불만을 확인하고 Project Hummingbird를 시작했습니다.

CVE 발생 건수는 팀이 합리적으로 관리할 수 있는 수준을 넘어 폭발적으로 증가했습니다. 현재 매일 평균 약 160개의 CVE가 보고되고 있으며, 자동화된 스캐너와 AI 지원 검색 도구로 인해 이 수치는 계속해서 증가할 것으로 예상됩니다. 단일 컨테이너 스캔만으로도 수백 개의 취약점이 발견될 수 있습니다. 수만 개의 컨테이너를 실행하는 대규모 환경에서 실제로 중요한 취약점을 파악하는 것은 매우 어려운 일입니다.

규제, 지정학적 요인, AI 관련 압박으로 인해 리스크 허용 범위가 좁아지고 있습니다. 컴플라이언스 프레임워크와 조직의 보안 정책은 이제 악용 가능성 여부와 관계없이 플래그가 지정된 모든 취약점을 해결할 것을 요구하고 있습니다. 컨테이너 이미지에 불필요한 패키지와 종속성이 포함된 경우 이러한 표준을 충족하기가 사실상 불가능해집니다.

해결 방법: 더 작은 공격 표면, 더 신속한 취약점 대응

Red Hat Hardened Images는 이러한 새로운 현실에서 압박을 느끼는 사용자들을 돕기 위해 출시되었습니다. 소프트웨어가 적을수록 CVE도 줄어듭니다. 이미지에 애플리케이션 실행에 필요한 항목만 포함되어 있다면 취약점 분류는 훨씬 간단해집니다. 즉, 이미지에 포함되어 있다면 그것은 중요한 보안 요소입니다. 보안 이슈가 발생하면 고도로 자율적인 Red Hat의 파이프라인이 수정 사항을 신속하게 제공합니다.

Red Hat Hardened Images는 Red Hat이 업스트림 참여 및 프로덕션 경험을 보유하고 실질적인 지원을 제공할 수 있는 기술에 집중합니다. GA 카탈로그는 Python, Node.js, Go, Java, .NET, PostgreSQL, Valkey, Nginx, HAProxy 등 엔터프라이즈 워크로드를 지원하는 다양한 언어, 런타임, 데이터베이스, 웹 서버, 유틸리티를 포함합니다. 이러한 기술은 여러 조직이 애플리케이션의 기반으로서 가장 중요하다고 일관되게 언급하는 핵심 오픈소스 구성 요소입니다.

Red Hat은 카탈로그를 신중하고 의도적으로 확장하고 있습니다. 새 이미지를 추가할 때 Red Hat은 주요 기술과 모든 관련 종속성 및 취약점을 면밀히 추적합니다. 이를 통해 카탈로그의 다른 제품에 적용하는 것과 동일한 엄격한 기준으로 지원을 제공합니다. Red Hat은 양보다 질을 우선시합니다.

모든 이미지는 일관된 보안 강화 방식을 따릅니다. 

• Distroless 아키텍처: 이미지에는 기본적으로 쉘이나 패키지 관리자가 포함되지 않으며, 공격 표면을 확장할 수 있는 불필요한 구성 요소를 제거했습니다.
• 다양한 변형 제공: 기본 이미지는 Distroless 원칙을 준수하면서도 기존 업스트림 이미지와의 호환성 사이에서 균형을 맞추는 것을 목표로 합니다. 빌더 이미지는 보안 강화 상태를 유지하면서도 패키지 설치를 허용하여 사용자 정의 빌드를 지원합니다. 규제 환경을 위한 FIPS 검증 버전과 다양한 배포 대상을 위한 아키텍처별 빌드(AMD64 및 Arm64)도 제공됩니다.
• 전반적인 하드닝: 소스 출처와 컴파일러 옵션부터 이미지 보안 기본값 및 전반적인 최소화에 이르기까지 이미지의 모든 요소를 강화했습니다. 모든 수준에서 보안 강화가 수행되며, OpenSCAP을 통해 컴플라이언스 관련 구성을 검증할 수 있습니다.
• 신뢰할 수 있는 공급망: 종속성은 Red Hat's SLSA3 build pipeline에서 제공되므로 소스에서 아티팩트에 이르기까지 검증 가능한 신뢰 체인을 유지합니다.
• 자동화된 취약점 대응: Red Hat 파이프라인은 업스트림 및 보안 피드를 추적하여 취약점이 수정된 후 보통 몇 시간 이내에 수정 사항을 빌드, 테스트 및 제공합니다.

지금 바로 Red Hat Hardened Images 체험하기

Red Hat Hardened Images가 이제 정식 버전(GA)으로 제공됩니다. 카탈로그의 모든 이미지는 무료로 사용할 수 있으며, 모든 Linux 배포판, 쿠버네티스 버전 또는 컨테이너 엔진에서 활용 가능합니다. 현재 제공되지 않는 특정 이미지가 필요한 경우 웹사이트의 이미지 요청 버튼을 통해 의견을 보내주시기 바랍니다.

Red Hat은 일부 사용자가 현재 업스트림에서 제공하는 것보다 더 긴 라이프사이클 옵션을 필요로 한다는 점을 잘 알고 있습니다. 가까운 시일 내에 이러한 요구 사항을 지원하기 위한 LTS(장기 지원) 이미지를 제공할 계획입니다. LTS는 선택 사항이며 간단한 서브스크립션 모델을 통해 이용할 수 있습니다.

이미지를 테스트하고 문제를 보고하며 Red Hat이 접근 방식을 개선할 수 있도록 도와주신 수백 명의 얼리 액세스 사용자분들께 감사드립니다. 여러분의 피드백이 오늘 릴리스되는 제품의 밑거름이 되었습니다.

Red Hat Hardened Images를 처음 사용하는 경우 카탈로그 탐색부터 시작해 보세요.