brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Jun 07. 2022

6탄-15. 클라우드 네이티브 애플리케이션으로 진화


트렌드마이크로


<1> 클라우드의 목표는 효율성의 극대화이다.

<2> 네이티브 애플리케이션 전환의  3가지 문제점

<3> 워크로드 보안

<4> Cloud One - Container Security 제품

<5> Cloud One - Application Security제품

<6> Cloud One - File Storage Security

<7> Cloud One - Conformity

<8> Cloud One - Network Security

<9> Vision One XDR 수집/탐지/분석/대응




<1> 클라우드의 목표는 효율성의 극대화이다.


1

필히 고려되어야 할 부분은 보안.


2

애플리케이션 런타임 환경의 변화?


물리 서버-가상 서버(vmware, 뉴타닉스)-------public cloud (AWS, Azure, Openstack)----Container (docker)----------Serverless(Lambda)



3

새로운 애플리케이션 런타임 환경?

최근은 컨테이너 환경과 서버리스 환경을 사용한다.



<2> 네이티브 애플리케이션 전환의   3가지 문제점


1

클라우드 마이그래이션


보안 이슈

하이브리드 및 멀티 클라우드 보안

가시성 확보

성능 보장

기존 보안 프로세스의 진화


2

클라우드 네이티브 애플리케이션


보안 이슈

취약한 컨테이너 이미지

오픈소스 / 사용자 코드 취약성

3rd파트 앰 취약성

SQL 인젝션 악성코드를 통한 공유된 S3버킷 설정

보안 적용 속도가 운영에 부담

CICD파이프라인에서 보안 자동화 필요

새로운 도구가 너무 많음.


3

클라우드 혁신센터


보안 이슈

잘못 구성된 클라우드 포메이션 템플린

낮은 빈도의 키순 환

리포지토리에 대한 계정간 액세스

인터넷에 노출된 스토리지

새로운 클라우드 서비스의 빠른 확장

효율적인 구성을 위한 경험 부족

가시성 부족

컴플라이언스 보장



<3> 워크로드 보안


1

자동으로 서비스 확장에 대한 보안 문제

API와 자동 스크립트로 대응되어야 한다.

에이전트 설치를 통해 위협 내부 전파에 대응이 가능해야 한다.


2

CWPP(워크로드 보안) 주요 기능


실시간 리눅스 백신(랜섬웨어, 악성 URL방어)

취약점 방어를 위한 가상 패치

무결성 모니터링, 애플리케이션 제어




3

실시간 리눅스 백신(랜섬웨어, 악성 URL방어)

알려진 뭘 웨어 탐지 및 차단

행위 분석 머신러닝으로 의심스러운 파일 및 행위 탐지

악성 URL로부터 서버를 보호하기 위해 웹사이트 평판 탐지, 차단



4

취약점 방어를 위한 가상 패치

실시간 리눅스 백신



5

무결성 모니터링, 애플리케이션 제어

컨테이너 내부 모니터링 필요

컨테이너 간 트래픽 감시




<4> Cloud One Container Security 제품


레지스트리 이미지 스캔

탐지 결과에 대해 시각화

이상 없을 시 배포 시작


데브옵스 파이프라인 내에서 보안 기능 구현 필수!


1

컨테이너 이미지 스캔

이미지에서 악성코드 검색, 컨테이너 이미지에 존재하는 취약점 감지

비밀키, 개인키 감지


2

배포 제어 기능


3

컨테이너 런타임 모니터링




<5> Cloud One - Application Security제품


1

애플리케이션 자체에 보안을 구성한다.


2

사용 사례?

람다, Fargate , ECS, EKS


3

기능?

악의적인 페이로드

SQL 인젝션

원격 명령어 실행

오픈 리다이렉트

부정한 파일 액세스

악성파일 업로드

IP 필터링 탐지 및 차단


4

다양한 언어 지원.

파이썬 및 pip로 지원.

에이전트 설치 및 몇 줄 코드 작성이 필요하다.



<6> Cloud One - File Storage Security


S3 버킷 감시



<7> Cloud One - Conformity


보안 및 규정 준수

PCI-DSS 등 교정 프로세스 제공

Cost 관리



<8> Cloud One - Network Security


취약점에 대한 가상 패치

TGW, GWLB로 구성함.

최대 10G 지원.



<9> Vision One XDR 수집/탐지/분석/대응


수집 /감사

탐지 /분석

대응

연계 - Radar , 스플렁크 등




https://brunch.co.kr/@topasvga/2439


감사합니다.



브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari