*글 최초 발행일자: 2018.03.29*
▶ 누군가 리눅스 머신에 로그인을 무차별 대입을 통해 로그인을 시도한다면?
▶ 관리자 모르게 커널 모듈이 로딩/언로딩 되고 있다면?
▶ 이건 뭐지? 뭔가 의심스러운 프로세스가 돌아가고 있다면?
네, 해킹을 의심해야 합니다. 마이크로소프트가 Azure Security Center를 통해 리눅스 머신에 대한 위협을 사전에 탐지하는 서비스에 대한 프리뷰를 시작했습니다. 리눅스 머신이 온프레미스에 있건 애저에 있건 관계없이 애저 시큐리티 센터를 통해 침해 활동을 사전에 탐지할 수 있습니다. 애저 구독 ID를 이메일(ASC_linuxdetections@microsoft.com)로 보내면 프리뷰 신청이 가능하니, 궁금한 분은 일단 경험해 보시죠.
윈도우 서버는 기본 이제는 리눅스 머신까지 애저 시큐리티 센터로 통합 관리
애저 시큐리티 센터의 운영체제에 대한 위협 탐지 서비스는 윈도우 서버만 가능했는데요, 이제 리눅스도 지원이 됩니다. 프리뷰를 거쳐 곧 정식 서비스가 될 예정인데요, 어떤 원리로 동작하는지 간단히 소개하곘습니다.
애저 시큐리티 센터는 널리 쓰이는 리눅스 감사(Audit) 프레임워크인 auditd를 사용해 리눅스 머신에 대한 기록을 수집합니다. 감사 시스템은 두 가지 부분으로 구성됩니다. 먼저 유저 스페이스 유틸리티가 있는데, 이를 활용해 관리자는 감사 관련 로그 파일 분석, 룰 조정, 잘못된 설정에 대한 트러블슈팅 등을 할 수 있습니다. 다음으로 커널 수준의 서브 시스템이 있습니다. 여기서는 시스템 콜, 룰셋에 따른 필터링 등을 수행합니다. 두 부분은 netlink 소켓으로 서로 정보를 주고받습니다.
auditd는 리눅스 OMS(Operation Management Suite) 에이전트를 통해 최신 이벤트 정보를 수집합니다. 감사 이벤트는 관리자 시스템에 저장되고, 이에 대한 분석은 애저 시큐리티 센터에서 이루어집니다. 분석 결과 위협이 탐지되면 애저 시큐리티 센터는 다음과 같은 보안 경고(alert)을 생성합니다. 멋지죠!
프리뷰 사용 전 점검해야 할 것들...
애저 시큐리티 센터로 온프레미스와 공용 클라우드에 있는 리눅스 머신에 대한 위협 탐지 서비스를 이용하려면 OMS 에이전트 버전이 1.4.0-12 또는 최신 릴리즈여야 합니다. 에이전트 버전 확인은 'dpkg -l | grep omsagent' 명령으로 확인할 수 있습니다.
다음으로 auditd 설치 여부를 확인해야 하는데 레드햇 리눅스는 기본적으로 설치가 되어 있고, 데비안의 경우는 설치를 해야합니다. 만약 auditd 없이 OMS 에이전트(1.4.0-12)가 설치되었다면, OMS 에이전트 인스톨러를 '--upgrade' 옵션으로 실행하십시오.
참고로 auditd 데이터 수집이 활성화되면 auditd 룰도 활성화됩니다. 대부분은 auditd 데이터 수집에 따른 시스템 자원 소모는 신경쓰지 않아도 될 정도입니다. 다만 시스템이 초당 1,000개 이상의 프로세스를 생성하는 워크로드를 돌리고 있다면 대략 사양이 낮은 시스템의 경우 CPU 자원 소모율이 10% 정도가 될 수도 있으니 참고 바랍니다.
애저 시큐리티 센터 및 리눅스 머신 관리와 보안에 대한 궁금한 점은 락플레이스로 문의하세요.
본 포스팅은 애저 블로그를 참조해 작성한 것입니다.
Azure Security Center previews new threat detections for Linux
Azure Security Center recently launched a limited preview of new analytics that leverage auditd records to detect malicious behaviors on cloud and on-premises Linux machines.
azure.microsoft.com
*이 외에도 락플레이스의 최신 뉴스레터 소식(2021~) 을 받아보고 싶으시다면? *
*락플레이스 1:1 문의 바로가기*
락플레이스는 2005년에 출범하여 대한민국 리눅스의 역사와 성장을 함께 해온 오픈소스 전문 기업으로 국내 최다 엔지니어, 국내 최고 기술력, 국내외 유수기업 컨설팅의 풍부한 경험과 탄탄한 기술력으로 고객의 성공적인 오픈소스 플랫폼 구축과 응용 프로그램 전체 범위의 서비스를 제공하고 있습니다. 락플레이스는 레드햇코리아로부터 Elite Business Associate/Advanced Business Parter/채널 어워드 한국 탑 파트너/FY15 champion 등을 수상한 파트너며, Microsoft의 Microsoft Cloud Solution Partner(CSP)로서 함께하고 있습니다.
'OSS on Azure > 클라우드 운영 팁' 카테고리의 다른 글
| 35미리 비디오 카세트에 담긴 영상, 테이프에 저장한 백업 데이터, SAN이나 NAS에 있는 데이터를 Azure로 올리면 좋은 점!! (0) | 2021.03.23 |
|---|---|
| VM웨어 가상 머신과 그 위에 올린 워크로드를 애저로 옮겨보자! (0) | 2021.03.23 |
| 정부, 지자체를 위한 최적의 클라우드의 모범을 제시한다! Azure Government (0) | 2021.03.22 |
| 컨테이너 오케스트레이션의 제왕 쿠버네티스(Kubernetes)! 이제 Azure의 매니지드 서비스로 간편하게 사용 가능 (0) | 2021.03.18 |
| Azure, Big Data 그리고 락플레이스... HDInsight 개발자 가이드 문서 ~ 735페이지 분량의 알찬 공개 자료 (0) | 2021.03.18 |
