컨테이너 전환 대상이 늘수록 함께 커지는 고민이 있습니다. 바로 보안입니다. 보통 컨테이너 전환은 DevOps와 마이크로서비스 아키텍처로의 진화를 전제로 합니다. 여기에 운영 환경도 하이브리드, 멀티 클라우드를 당연하게 고려합니다. 따라서 온프레미스 환경을 기준으로 한 기존 방식의 정책 적용과 보안 운영은 한계가 있습니다. DevOps 파이프라인을 따라 개발, 배포, 운영이 신속히 이루어지고 필요에 따라 자유롭게 운영 환경을 옮겨 다니고 다양한 서비스와 연계되는 복잡한 환경에서 어떻게 보안을 챙겨야 할까요? OpenShift가 제공하는 각종 규제 및 보안 관련 오퍼레이터(Operator)만 충실히 활용해도 안정적으로 하이브리드 멀티 클라우드 로드맵에 맞춰 컨테이너 전환을 확대할 수 있습니다.
OpenShift의 보안 기능
OpenShift는 버전 갱신을 통해 지속해서 보안성을 강화하고 있습니다. OpenShift가 제공하는 규정과 보안 관련 오퍼레이터 및 기능은 규정 준수, 파일 무결성, 컨테이너 보안, 인증서, 감사 로그, etcd 데이터 암호화, POD 보안 스캔 등이 있습니다. 이들은 사용자가 일일이 구현해야 하는 기능이 아니라 사전에 최적화된 솔루션 형태로 제공됩니다. 이 중 컨테이너 보안의 핵심인 규정 준수, 무결성 평가, 컨테이너 보안에 대해 알아보겠습니다.
규정 준수
먼저 보안 관련 규정 준수를 위한 OpenShift 컨테이너 플랫폼(이하 OCP) 관리자인 Compliance Operator를 제공합니다. OCP 4.6부터 제공된 이 기능을 이용하면 클러스터 전반에 걸쳐 각 시스템이 보안 규정에 따라 제대로 설정되어 운영되고 있는지 손쉽게 파악할 수 있습니다. 참고로 이 기능은 호스트 운영체제로 레드햇 CoreOS 또는 레드햇 엔터프라이즈 리눅스를 이용할 경우 적용할 수 있습니다.
운영자는 Compliance Operator를 이용해 클러스터 내 호스트와 노드의 설정 상태를 점검할 수 있습니다. 이때 스캔 작업은 OpenSCAP이 맡습니다. 스캔 작업은 프로필을 사용하는데 주요 가이드라인을 적용한 프로필과 직접 작성한 프로필 중 원하는 것을 적용하면 됩니다. 예를 들어 NIST 800-53 Moderate (FedRAMP), Australian Cyber Security Center (ACSC) Essential Eight, CIS OpenShift Benchmark 등의 프로필을 적용하거나 조직의 보안 정책에 맞게 작성한 프로필을 적용할 수 있습니다. 평가가 끝나면 요약 보고서가 제공되는데, 스캔 과정에서 발견된 규정 위반 사항에 대한 권장 수정 내용을 참조해 후속 작업을 할 수 있습니다.
RHACM(Red Hat Advanced Cluster Management for Kubernetes)도 규정 준수 기능을 제공하는데 Compliance Operator와는 어떤 차이가 있을까? 이런 궁금증이 드는 분도 있을 것입니다. 두 기능은 중복이 아니라 함께 사용하면 시너지를 내는 관계입니다. RHACM는 보안 강화를 윟나 필요 구성을 클러스터 전체에 배포하는 역할을 하고, Compliance Operator는 프로필 기반 스캔과 정책 적용을 맡는 시나리오를 떠올려 볼 수 있습니다. 클러스터 규모가 클수록 RHACM와 Compliance Operator의 시너지 효과도 커집니다.
무결성 평가
다음으로 살펴볼 File Integrity Operator는 클러스터 노드를 대상으로 파일과 디렉토리 무결성 검사를 하는 역할을 합니다. 이 기능이 중요한 이유는 컨테이너 환경은 상대적으로 모노리틱 아키텍처를 따르는 시스템보다 복잡하기 때문입니다. 작은 단위로 시스템이 구성되다 보니 컨테이너 환경은 복잡할 수 밖에 없습니다. 따라서 해커가 특정 시스템에 침투에 성공한 다음 백도어 설치나 후속 공격을 위한 교두보 마련을 위한 작업을 했을 때 이를 감지하기 더 어렵습니다. 다행히 File Integrity Operator를 이용하면 공격자가 컨테이너 클러스터 내 시스템에 침입에 성공한 다음 주요 파일을 변경, 삭제 등의 이상 행위를 했을 경우 그 흔적을 감지할 수 있습니다. File Integrity Operator는 각 노드에 AIDE(Advanced Intrusion Detection Environment) 컨테이너를 초기화 및 실행하는 데몬을 배포하는 역할을 합니다. 운영자는 AIDE를 통해 클러스터 환경에서 파일 및 디렉토리 속성에 대한 무결성을 검사하고 유지할 수 있습니다.
컨테이너 보안
OpenShift 환경의 컨테이너 보안은 크게 호스트, 컨테이너 및 오케스트레이션, 빌드 및 애플리케이션 계층으로 나누어 살펴볼 수 있습니다. 계층적 보안에 대한 개념을 전제로 DevOps 파이프라인을 고려해야 하는 것이 컨테이너 보안의 특징입니다. 즉, 보안 운영을 개발, 배포, 운영 절차에 맞추어서 해야 합니다. 가령 개발 단계에서는 컨테이너 이미지, 레지스트리, 빌드, CI/CD 파이프라인이 보안 강화 대상입니다. 배포 과정에서는 쿠버네티스 플랫폼 및 데이터, 접근 제어, 배포 정책 등을 살펴야 합니다. 그리고 운영으로 넘어간 후에는 네트워크 보안, 애플리케이션 접근 제어, 데이터 보안, 모니터링 등을 신경 써야 합니다.
개발, 배포, 운영 단계의 보안 요소를 강화하는 방안을 OpenShift 제공 기능과 연결해 보겠습니다. 개발 과정의 보안을 위해 레드햇이 인증한 미들웨어, 데이터베이스 등의 이미지를 이용할 수 있습니다. 만약 레드햇 인증 이미지가 아닌 다른 것을 사용할 경우 취약점 스캐닝 도구를 이용해 점검해야 합니다. 다음으로 엔터프라이즈 컨테이너 레지스트리를 운영하는 것이 필요한데, 이때는 엔터프라이즈 환경을 위한 고가용성 컨테이너 이미지 레지스트리인 _레드햇 Quay를 적용하면 됩니다. 레드햇 Quay는 접근 제어, TLS 암호화, 보안 검사, 소프트웨어 배포 자동화, 이미지 롤백, 로깅 및 감사 기능을 통해 이미지 레지스트리 운영의 편의성과 신뢰성을 모두 높입니다. 한편, 레드햇은 풍부한 Restful API를 제공해 다양한 CI/CD 도구와 OpenShift의 긴밀한 통합을 지원합니다. 따라서 강력한 보안이 적용된 사설 이미지 레지스트리를 기반으로 평소 이용하던 CI/CD 도구를 이용해 개발과 배포를 할 수 있습니다.
다음으로 배포 과정에서는 앞서 언급한 File Compliance Operator와 Integrity Operator를 통해 플랫폼 측면의 보안 요구 사항을 충족할 수 있습니다. 접근 제어는 OpenShift의 RBAC 기능으로 클러스터 환경 전반에 걸친 관리를 간소화할 수 있습니다. 데이터 보호는 TLS, X.509, 토큰 기반 인증 등 암호화 기술을 활용해 전송 중인 데이터와 저장된 데이터 모두를 보호합니다. 참고로 저장된 데이터의 경우 레드햇 OpenShfit Container Storage를 적용할 경우 하이브리드 멀티 클라우드 환경에서 이용하는 일반 스토리지(Persistent Volume), 공유 스토리지(NFS, Ceph, Cluster), 블록 스토리지(EBC, GCE, iSCSI)를 대상으로 일관성 있게 암호화, 복제 등의 데이터 서비스를 적용할 수 있습니다. 한편, 정책 배포는 Red Hat Advanced Cluster Management for Kubernetes를 통해 간편히 할 수 있습니다.
운영 단계 보안의 핵심인 컨테이너와 네트워크 격리 역시 레드햇이 제공하는 기술과 기능으로 요구 사항에 대응할 수 있습니다. 예를 들어 운영체제 격리는 리눅스 네임스페이스, SELinux, Cgroups 등을 이용하면 되고, 네트워크 격리는 CoreDNS, OpenShift SDN 등을 사용하면 됩니다.
이외에 운영 보안 관련해 애플리케이션과 데이터에 대한 접근 제어는 레드햇 SSO, 3scale API Management 적용을 고려할 수 있습니다. 더불어 API 호출이 빈번한 마이크로서비스 환경에서 애플리케이션 트래픽을 보호하려면 OpenShift Service Mesh에서 답을 찾을 수 있습니다.
마지막으로 모니터링은 OpenShift가 제공하는 기본 모니터링 및 감사 기능을 이용하거나 오픈 소스 기반 도구 또는 상용 SIEM을 연계 활용하면 됩니다.
이상으로 레드햇이 제공하는 여러 오퍼레이터와 기능을 활용한 규정 준수 기반 마련, 무결성 평가, 컨테이너 보안 강화 방안을 살펴보았습니다. 더 자세한 내용은 락플레이스로 문의 바랍니다.
*이 외에도 락플레이스의 최신 뉴스레터 소식(2021~) 을 받아보고 싶으시다면? *
*락플레이스 1:1 문의 바로가기*
락플레이스는 2005년에 출범하여 대한민국 리눅스의 역사와 성장을 함께 해온 오픈소스 전문 기업으로 국내 최다 엔지니어, 국내 최고 기술력, 국내외 유수기업 컨설팅의 풍부한 경험과 탄탄한 기술력으로 고객의 성공적인 오픈소스 플랫폼 구축과 응용 프로그램 전체 범위의 서비스를 제공하고 있습니다. 락플레이스는 레드햇코리아로부터 Elite Business Associate/Advanced Business Parter/채널 어워드 한국 탑 파트너/FY15 champion 등을 수상한 파트너며, Microsoft의 Microsoft Cloud Solution Partner(CSP)로서 함께하고 있습니다.
'PRODUCT > Cloud' 카테고리의 다른 글
| OpenShift기반 DevOps/MSA 구축 Part 1. (0) | 2021.05.06 |
|---|---|
| OpenShift를 활용한 컨테이너 기반의 애플리케이션 현대화 방안 (0) | 2021.04.21 |
| AI/ML 환경에 OpenShift가 잘 어울리는 이유 (0) | 2021.03.10 |
| OpenShift 활용: 리눅스와 윈도우 컨테이너 운영을 위한 Bare Metal 환경 기반 사내 구축 (0) | 2021.02.24 |
| Oracle/PostgreSQL에서 Azure Database for PostgreSQL로 이전하기 (0) | 2020.07.22 |
