Red Hat Advanced Cluster Security for Kubernetes 

개요

클라우드 네이티브 애플리케이션을 보호하려면 보안에 대한 접근 방식이 크게 달라져야 합니다. 애플리케이션 개발 라이프사이클 초기에 제어 기능을 적용하고, 인프라를 사용해 이러한 제어를 적용하고, 개발자 친화적인 가드레일을 제공하고, 갈수록 빨라지는 릴리스 일정에 맞춰야 합니다.

StackRox 기반의 Red Hat® Advanced Cluster Security for Kubernetes는 빌드, 배포, 런타임 전반에서 중요한 애플리케이션을 보호합니다. Red Hat 소프트웨어는 조직의 쿠버네티스 인프라에 자체 관리형 보안 솔루션으로 배포되거나 전체 관리형 서비스로서의 소프트웨어(Saas)로도 사용될 수 있습니다. 또한 기존 DevOps 툴링 및 워크플로우와 통합하여 신뢰할 수 있는 보안 및 컴플라이언스를 제공합니다. 이 정책 엔진에는 CIS(Center for Internet Security), Benchmarks, 미국 국립표준기술연구소(NIST) 가이드라인과 같은 산업 표준과 컨테이너 및 쿠버네티스의 구성 관리, 런타임 보안 등을 기반으로 DevOps 및 보안 중심 사례를 시행하기 위한 수백 개의 빌트인 제어 기능이 포함되어 있습니다.

Red Hat Advanced Cluster Security는 플랫폼 및 애플리케이션 보안을 위한 쿠버네티스 네이티브 아키텍처를 제공하여 DevOps 팀과 InfoSec 팀이 보안을 운영화할 수 있도록 지원합니다.

클라우드 네이티브 애플리케이션을 위한 쿠버네티스 네이티브 보안 솔루션

특징 및 장점

  • 운영 비용 절감
    • 개발 팀, 운영 팀, 보안 팀에 공통적인 쿠버네티스 네이티브 보안 툴링 및 사례들을 안내하고 개별 사용자를 위한 가드레일을 제공합니다.
    • 애플리케이션의 빌드, 배포 및 런타임 단계에서 쿠버네티스 네이티브 제어 기능을 사용해 취약점, 정책 및 구성 위반, 애플리케이션 런타임 행동에 대한 가시성과 관리를 개선합니다.
    • 개발 단계에서 보안 문제를 포착하고 수정하는 시프트 레프트(shift left) 방식으로 문제 해결 비용을 줄입니다.
  • 운영 위험 감소
    • 세분화를 위한 쿠버네티스 네트워크 정책 등 빌트인 쿠버네티스 기능과 보안 정책 시행을 위한 권한 컨트롤러를 사용해 보안과 인프라를 조정하여 애플리케이션 다운타임을 줄입니다.
    • 보안 정책 시행을 위한 쿠버네티스 네이티브 보안 제어를 사용하여 위협을 완화함으로써 애플리케이션과 인프라 운영에 대한 잠재적 영향을 최소화합니다. 예를 들어 제어 기능을 사용해 쿠버네티스에 의심스러운 포드를 0으로 축소하거나 삭제한 다음 보안이 침해된 애플리케이션의 인스턴스를 다시 시작하라고 자동으로 지시하여 보안 침해를 억제합니다.
  • 개발자 생산성 향상
    • 리포지토리, 개발 파이프라인, 프로덕션의 취약점을 적극적으로 검사합니다.
    • 쿠버네티스와 기존의 지속적 통합 및 지속적 제공(CI/CD) 툴링을 활용하여 개발자 속도를 지원하는 통합 보안 가드레일을 제공하는 동시에 원하는 보안 태세를 유지합니다.
    • 업데이트와 지원을 Red Hat OpenShift® 릴리스와 동기화하여 호환성과 보안 기능의 최신성을 보장합니다.
    • Red Hat 인증 취약점 데이터를 사용하여 Red Hat OpenShift 환경에 대한 정확도와 관련성을 높입니다.

자세한 장점

영역장점
가시성
  • 모든 이미지, 포드, 배포, 네임스페이스, 구성 등을 포함하여 쿠버네티스 환경에 대한 통합 뷰를 제공합니다.
  • 네임스페이스, 배포, 포드 전반의 모든 클러스터에서 네트워크 트래픽을 검색하고 표시합니다.
  • 인시던트 감지를 위해 각 컨테이너에서 중요한 시스템 수준 이벤트를 포착합니다.
취약점 관리
  • Red Hat Enterprise Linux® CoreOS에서 호스트 수준의 취약점과 잠재적 보안 위협을 감지합니다.
  • 특정 언어, 패키지, 이미지 계층에서 알려진 취약점을 찾기 위해 이미지를 스캔합니다.
  • 가장 위험한 이미지 취약점과 배포를 강조 표시하여 대응의 우선순위를 정합니다.
  • 취약점과 네임스페이스, 실행 중인 배포, 이미지 간 상호 연관성을 수립합니다.
  • 플랫폼, 노드, 워크로드별로 검사 결과를 분류하여 트랙킹과 소유를 간소화합니다.
  • 빌드, 배포, 런타임 단계에서 취약점 상세 정보에 따라 정책을 시행합니다.
  • roxctl 및/또는 애플리케이션 프로그래밍 인터페이스(API)를 사용하여 제3사 솔루션을 ACS와 통합해 팀이 매일 사용하는 툴(Jira, ServiceNow)에 취약점 알림을 제공합니다.
컴플라이언스
  • CIS, 결제 카드 산업(PCI), NIST SP 800-53, DISA STIG, NERC-CIP 등 보안 및 규제 프레임워크의 기술적 제어에 대한 컴플라이언스를 평가합니다.
  • 감사자용 증거를 내보내기하는 기능을 통해 각 표준을 제어할 때 전체적인 컴플라이언스를 확인합니다.
  • 컴플라이언스 결과의 상세 뷰를 자세히 살펴보고 문제 해결이 필요한 클러스터, 네임스페이스, 노드 또는 배포 네임스페이스를 정확히 파악합니다.
  • 컴플라이언스 스캔을 예약하고 증거 기반 리포트의 생성을 자동화합니다.
네트워크 분리
  • 네임스페이스, 배포, 포드 간 허용되는 트래픽과 활성 트래픽을 비교하여 시각화합니다(런타임에서의 외부 노출 포함).
  • 포트에서 수신하고 있는 실행 중인 프로세스를 파악합니다.
  • 이상 네트워크 트래픽을 식별하고 런타임 정책을 통보 및 시행합니다.
  • 금지된 트래픽이 관찰되면 정책 위반에 대해 경고합니다.
  • 연결 그래프를 생성하고 배포 전에 애플리케이션의 2가지 버전 간 상황별 차이점을 표시합니다.
  • 네트워크 정책 변경 사항을 구현하기 전에 런타임에 시뮬레이션하여 환경에 대한 운영 위험을 최소화합니다.
  • 배포에 앞서 애플리케이션 매니페스트를 분석하여 쿠버네티스 네트워크 정책의 생성을 시프트 레프트(shift left)합니다.
리스크 프로파일링
  • 취약점, 구성 정책 위반, 런타임 활동 등과 같은 요소들을 결합하여 실행 중인 배포의 순위를 전체 보안 위험에 따라 휴리스틱한 방식으로 매깁니다.
  • 쿠버네티스 배포의 보안 태세 변경 사항을 추적하여 보안 팀이 취한 조치의 효과를 검증합니다.
  • 모든 클러스터에서 실행 중인 배포를 검색하여 위협 벡터를 모델링하고 위험 패턴을 파악합니다.
구성 관리
  • 사전 구성된 DevOps 및 보안 정책을 제공하여 네트워크 노출, 권한이 부여된 컨테이너, 루트로 실행 중인 프로세스, 산업 표준에 대한 컴플라이언스 등과 관련된 구성 위반을 파악합니다.
  • 쿠버네티스 역할 기반 액세스 제어(RBAC) 설정을 분석하여 사용자 또는 서비스 계정 권한과 구성 오류를 파악합니다.
  • 비밀 정보를 추적하고, 비밀 정보를 사용하여 액세스를 제한하는 배포를 감지합니다.
  • CI/CD 통합을 통해 빌드 시간에, 그리고 다이나믹 권한 제어를 사용하여 배포 시간에 구성 정책을 시행합니다.
런타임 감지와 대응
  • 이벤트를 모니터링하여 쿠버네티스 오브젝트와 상관관계가 있는 위협을 나타내는 이상 활동을 감지합니다.
  • 비즈니스 운영에 대한 영향을 최소화한 쿠버네티스 네이티브 제어를 사용하여 자동화된 비파괴적 대응을 구현합니다.
  • 컨테이너 내 프로세스 활동의 기준을 설정하여 프로세스를 자동으로 허용 목록에 포함함으로써 수동 작업을 제거합니다.
  • 사전 구축된 정책을 사용하여 암호 화폐 채굴, 권한 상승, 다양한 익스플로잇을 감지합니다.
  • 쿠버네티스 관리자 이벤트를 모니터링하고 악의적 행동을 차단합니다.
  • 외부 보안 통합 이벤트 관리(SIEM) 솔루션, 그리고 보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션과 통합하여 문제 해결 워크플로우를 지원합니다. 
보안 정책 가드레일
  • 빌드, 배포 또는 런타임에 적용될 수 있는 즉시 사용 가능한 정책으로 네트워크 노출, 권한이 부여된 컨테이너, 루트로 실행되는 프로세스 등과 같은 보안 구성 취약점을 식별합니다.
  • 쿠버네티스 API, 감사 로그, 네임스페이스 리소스를 포함하는 쿠버네티스 네이티브 구조를 기반으로 사용자 정의 정책을 생성합니다.
  • 고급 클러스터 보안을 CI/CD 파이프라인과 통합하여 알려진 취약점과 구성 오류를 배포 전에 검사함으로써 공급망 보안을 제공합니다.
  • 이미지 증명과 무결성을 위해 이미지 서명을 확인합니다.
  • 쿠버네티스 역할 기반 액세스 제어(RBAC) 설정을 분석하여 사용자 또는 서비스 계정 권한과 구성 오류에 플래그를 지정합니다.
  • 비밀 정보를 추적하고, 비밀 정보를 사용하는 배포를 감지합니다.
  • 쿠버네티스 레이블을 사용하고 코드형 정책(Policy as Code)을 관리하여 정책 관리를 확장합니다.
통합
  • 풍부한 API와 사전 구축된 플러그인을 제공하여 CI/CD 툴, 이미지 스캐너, sigstore, 레지스트리, 컨테이너 런타임, SIEM 솔루션, 알림 툴 등이 포함된 DevOps 시스템과 통합합니다.


Red Hat Advanced Cluster Security가 실제로 어떻게 작동하는지 확인할 준비가 되셨나요?

지금 무료 체험판 시작하기