Embed Size (px)
Citation preview
급변하는 DevOps 환경에서 컨테이너 보안
강화Automating Security & Compliance in the world of Containers and Hybrid Cloud
SAMUEL SANGJIN CHEONSr. Solution Architect5th FEB 2020
Most exploited vulnerabilities are already known.
60%MORE THAN
$3.86 million
Source:
1 Verizon, “2019 Data Breach Investigations Report,” 2019. https://enterprise.verizon.com/resources/reports/dbir/.
2 Ponemon Institute, “2018 Cost of a Data Breach Study: Global Overview,” July 2018. https://www.ibm.com/security/data-breach.
Source:
1 Verizon, “2019 Data Breach Investigations Report,” 2019. https://enterprise.verizon.com/resources/reports/dbir/.
2 Ponemon Institute, “2018 Cost of a Data Breach Study: Global Overview,” July 2018. https://www.ibm.com/security/data-breach.
Most exploited vulnerabilities are already known.
도난 당했거나 파악하기 쉬운 암호를이용하여 해킹 당한 피해 사례 160%
MORE THAN
데이터 해킹으로 인한 평균 총 피해액 : in 2018, 6.4% higher than in 20172$3.86 million
완벽한 보안 체계 구축은 없습니다.THERE’S NO SUCH THING AS 100% SECURITY
- 하루 얼마간의 100% 보안상 안전한 시간은 존재할 수 있습니다.
(Only certain # hrs in a day)
- 모든 문제를 해결할 수도 없으며, 항상 가장 리스크가 작은 선택을 해야 합니다.
(Can’t fix everything, so have to make risk decision)
○ RISK를 해결할 수 있는 예방 활동 혹은 대응 조치를 선택
○ One Size Does Not Fit All : 하나의 IT Security 시스템은 모든 위해 요소에 대응할 수 없다
최근 데이터 유출 사고를 통한 핵심 경험치KEY LESSONS FROM RECENT BREACHES
NSA(National Security Agency)는 알려진 취약점 공격에는 대응하지 않았다.
(2018 speech by David Hogue, a National Security Agency official, who said the NSA had not responded to an intrusion that exploited a zero-day vulnerability in over two years.)
2020년말까지 발생하게 될 보안 사고는 보안 담당 및 IT 전문가들이 이미 알고있는 취약점의 99%에 의한 것일 것이다.(99% of the vulnerabilities exploited by the end of 2020 will continue to be ones known bysecurity and IT professionals at the time of the incident3)
68% of breaches took months or longer to discover2
(데이터 유출 사고의 경우, 68%가 한달 이상이 걸려 확인되었다.)
1 2017 Verizon Data Breach Investigations Report
22018 Verizon Data Breach Investigations Report
3Gartner, “Focus on the Biggest Security Threats, Not the Most Publicized,” November, 2017
세계적 호텔 체인 A 호텔 개인정보 유출 사고(2018)
2018 Hack3rCon/SecureWV Talk on:해커로부터 서비스/데이터를 보호하는 최소한의 행동
현재 클라우드의 보안 대응은 점점 더 어려워지고 있습니다.not Getting Easier
해킹 공격의 심각성이
보다 증가되었음이 보고됨
65% 57% 29% 5%
사건을 해결하는 데
시간이 더 늘어났다고 보고됨
매일 발생하는 보안 알람들 중
보안팀에 의해서 점검되는 비율
Source:1 The Third Annual Study on the Cyber Resilient Organization - Ponemon Institute, 2018 (Sponsored by IBM)
2 https://venturebeat.com/2017/12/16/the-lesson-behind-2017s-biggest-enterprise-security-story/
이상적인 보안 숙련 전문가를 이용,
사이버 안정성을 위한 대응 체계를
구축해야 함을 요구함
Link : https://cloudsecurityalliance.org/artifacts/top-threats-to-cloud-computing-egregious-eleven
클라우드 컴퓨팅을 위협하는 Top 11 가지Top Threats to Cloud Computing from CSA
“Traditional perimeter-based network
security does not work in the cloud.
Identity is the new perimeter.”
Stephen SchmidtChief Information Security Officer, AWS
현 시점의 보안 핵심 지표는 “IDENTITY”가 그 첫번째입니다.Identify is the new Perimeter
전통적인 네트워크 기반 보안 체계는
클라우드 컴퓨팅 환경에 적합하지 않다.
클라우드 기반 Data Breach – A CapitalNormal Request will be a weak-point
https://krebsonsecurity.com/2019/07/capital-one-data-theft-impacts-106m-people/
https://krebsonsecurity.com/2019/08/what-we-can-learn-from-the-capital-one-hack/
https://krebsonsecurity.com/2019/07/capital-one-data-theft-impacts-106m-people/
https://krebsonsecurity.com/2019/08/what-we-can-learn-from-the-capital-one-hack/
Server Side Request Forgery (SSRF) has become the most seriousvulnerability facing organizations that use public clouds.”
클라우드 기반 Data Breach – A Capital Looking Deeper into the A Capital Breach
https://www.boannews.com/media/view.asp?idx=82347
클라우드 기반 Data Breach – A CapitalLooking Deeper into the A Capital Data Breach
Some prescriptive steps to tackle securityin this new world of containers and hybrid cloud
컨테이너와 하이브리드 클라우드 환경에서
보안 문제를 해결하기 위한 몇가지 강화 방안 :
1st : 누구나 알 수 있는 취약점
2nd : 지속적인 보안 관리 유지
Memorize Two Factors
Implement a consistent automation strategy for the infrastructureoperations, application, and security operations center
인프라 운영, 애플리케이션 및 보안 운영 센터를
위한 일관되고 지속적인 자동화 전략 구축 권고
향상된 Security and Compliance 기능 자동화 방안
Bake Security into Dev & Ops
(보안 항목을 DevOps로 통합)
Continuous Monitoring & Automated
Controlled Remediations
(지속적인 모니터링/자동화된 해결방안)
Infrastructure, Security, and Compliance
as Code = Repeatable, Shareable, Verifiable
(코드를 이용한 인프라/보안/규정준수 자동화)
At Cloud Scale,
You Have No Choice But to Automate
“Manually monitoring & managing systems for security and compliance becomes IMPOSSIBLE”
(Chris Gardner - Forrester)
클라우드 세상에서 자동화 없이는 무엇하나 할 수 없는 상태입니다.
“The Bad Guys use Automation
- Fight Fire with Fire”
Sources:
1:: Reduce Risk and Improve Security Through Infrastructure Automation (Forrester, June 2018)
“ ”
Red Hat이 제공할 수 있는 Security and Compliance 보안 자동화 방안
Infrastructure
(인프라 플랫폼)
Applications
(애플리케이션 개발)
Security Operations
(안정적 보안 운영 환경)
앤서블 : 손쉬운 공통 도구로 보안 강화
Use Ansible as the common language
ANSIBLE PLAYBOOK앤서블 플레이북
From development…(개발부문) …to production.(서비스)
DEV/TEST개발자 (테스트포함)
Q/A OPERATIONS운영담당
CHANGE SECURITY보안 담당관MANAGEMENT
#SecuritySymposium
자동화된 Security & Compliance 적용 방안for Infrastructure Operations
Automation & Analytics are the key to
effective Security & Compliance
자동화 및 분석(인식) 이 가장 중요한 키포인트
Red Hat Smart Management = 능동적 관리 솔루션
Cloud management services for Red Hat Enterprise Linux레드햇 리눅스를 위한 클라우드 관리 서비스 제공
+
Vulnerability취약점
Compliance규정준수
System comparison선택적 관리
Red Hat Satellite
Insights plans with Ansible playbooks(앤서블 플레이북을 통한 통합적 관리 및 문제 해결 플랜을 작성 및 수행)
Solve common issues through Ansible Automation
주요 레드햇 자동화, 파트너 소개(PARTNERS)
2,900+ integrations
(570+ network integrations)
27
4 million+systems under Red Hat® Ansible®
Tower management
1,500+Red Hat Ansible Automation
customers
2 million+ Downloads per month
38,000+ GitHub stars
https://cloud.redhat.com 접속/관리 제공 서비스
Integrated Experiences
Scaling Security and Compliance with Cloud Services in cloud.redhat.com
Applications
Applications IN CONTAINERs
원본 : 컨테이너연구소 - DevOps Korea branch (페이스북그룹)
물류비용및적재시간/공간절감의혁신
IT : Container 기반의 서비스 구축For Digital Business improvement
컨테이너 클라우드 : DevOps 가속화For Digital Business improvement
출처 : Kniberg, Henrik and Andres Ivarsson (2012)의 ‘Scaling Agile(@)Spotify’
지속적이며, 전방위적인 보안 체계로 대응해야 합니다Integrated throughout your IT life cycle
Design
보안 요구 사항 및
관리 모델을 식별해야 합니다.
Build
구축 후 보안성 검토가 아닌,
처음부터 보안을 구축해야 합니
다.
Manage and automate
보안 및 규정 준수 요구를 충족시키기 위해
시스템을 자동화해야 합니다.
Run
향상된 보안 기능으로 신뢰할
수 있는 플랫폼을 배포해야 합
니다.
Adapt
전체 구성 요건과 요구가
변화함에 따라 수정, 업데이트
및 수정할 수 있어야 합
니다.
Security policies,
processes, and procedures
HYBRID CLOUD 환경에서 보안 규격 및 체계는 더욱 강화해야
함
Linux container host (kernel)
Kubernetes kubelet
Identity Audits and logs sVirt
Security-Enhanced Linux (SELinux)
NamespacesSecure computing mode (seccomp)
Control groups (cgroups)
Container
Application
Linux operating system dependency
Container
Application
Linux operating system dependency
Container
Application
Linux operating system dependency
• Container 구동 및 운영 시 Host OS의 보안 규격 및 정책이 그대로 적용되게 됨
• SELinux and kernel namespaces 를결합해 제공되는 보안 체계는 컨테이너 및 Host-OS를 보다 더 완벽하게 보호할 수 있음
• Red Hat Enterprise Linux는 해당 컨테이너 프레임웍을 포함해서 CC 인증을 획득하여, 보안성이 높음
● Host & Runtime security(보안) 규격
● Identity and Access Management 관리 체계
● Role-based Access Controls (RBAC 기반한)
● 분리된 Project별 namespaces
● 통합된 Integrated SDN - Network Policies is default
● Integrated & extensible secrets management
● 로깅,모니터링 및 메트릭을 구축 즉시 제공ㄴ
권고되는 컨테이너 플랫폼의 보안 강화 요소
RHEL CoreOS RHEL
RHEL CoreOS RHEL
RHEL CoreOS
Red Hat Container Images
● Signed Images(검증된)
● Health Index(안정성 지표) (A to F grade)*
● 보안 권고사항 및 Errata 제공(patches)
○ 보안 patch가 신규 생성 시 신규 컨테이너 이미지 재생성 제공됨
신뢰할 수 있는 원본 소스, 레드햇 CERTIFIED 컨테이너 이미지 제공 서비스
https://access.redhat.com/ecosystem : Container Catalog를 제공함
Self-서비스 및 As-a-서비스로 보안 점검
- Offered as self-managed and as-a-service
취약성 점검 - Vulnerability Scanning (Clair)
이미지 멀티 복제 지원
- Geographic Replication
변경 발생 시 이미지 자동 생성 지원
- Build Image Triggers
컨테이너 이미지 롤백 지원- Image Rollback with Time Machine
RED HAT QUAY- ENTERPRISE IMAGE 검증 솔루션
UNITTEST
CODEQUAL
VULN SCAN
INTTEST
QAUAT
- Cucumber- Arquillian- Junit
- Sonarqube- Fortify- App Scan
- Aqua Security- Black Duck- Clair- Sonatype- Twistlock
OPENSHIFT CI/CD PIPELINE (JENKINS)
PROMOTETO PROD
☒
☑
PROMOTETO UAT
PROMOTETO TEST
IMAGE BUILD & DEPLOY
CI/CD 파이프라인 with 보안 적합성 점검툴
● 통합된 보안 테스팅을 포함한
CI/CD (security testing into your build / CI
process)
● 자동화된 정책 이용
(Use automated policies to flag builds with
issues)
● 컨테이너 이미지 Signed 적용
Elements of the Openshift container pipeline
데브섹옵스 & 보안 솔루션 검증된 파이프라인 샘플 레퍼런스
Automated ‘Software Factory’ Example
Ansible playbook to deploy this entire DevSecOps pipeline can be found here: http://tiny.cc/80hjbzSee the full documentation here: https://red.ht/securitylabs
액션 아이템 및 레퍼런스NEXT STEPS AND RESOURCES
41
Security IT 팀의 주요 업무는?
의심 행위 모니터링 위협 스나이핑 사후 대응 조치
신속한 사후 대처 후 보고Whitelist/Blacklist 업데이트
취약 구간/시스템 등 격리 조치
자동화된 경고 체계 구성연관 솔루션 업데이트 싱크
및 인증 기반 각 솔루션 최신화
의심 행위에 대한 로그 분석을 위해 타켓팅된 목표 혹은주변 주요 시스템의 로그를통합관리하도록 프로그래밍
We Believe These Are The Most Relevant Use Cases For Those Targets
DevSecOps 디스커버리 세션 소개
for A SECURITY AND COMPLIANCE
Develop a security and
compliance challenges
overview (요건 분석)
Identify potential
approaches and
frameworks (인식단계)
Create an action plan to
address vulnerabilities
(실행 계획 수립)
Red Hat 정규 보안 교육 과정 소개 - Security Training Offerings
1. D0500: DevOps Culture and Practice Enablement
2. D0700: Container Adoption Boot Camp
3. D0426: Securing Containers and OpenShift (with exam)
<Also free OpenShift hands-on training on : http://learn.openshift.com/
4. RH415: Red Hat Security: Linux in Physical, Virtual, Cloud (with exam)
5. RH413: Red Hat Security and Server Hardening (with exam)
Red Hat 온라인 교육 과정 - Online Learning Subscription
A prescriptive, reliable, learning solution for rapid skills transformation on Red Hat technologies
Red Hat의 신속한 기술 혁신적 변환을 위한 계획적인 신뢰할 수있는 학습 솔루션 제공
Simple, flexible, on-demand training
● 24x7 언제든 접속 가능한 교재와 클라우드 랩 시스템
● 레드햇 정규 교육 교재를 제한없이 접속 가능한 개인 학습 시스템
● 집필중인 최신 오픈소스 교육 교재에 대한 접속 제공
● 출판되기 전의 최신 솔루션에 대한 교육 자료 접근 제공
● 레드햇 전체 포트폴리오 제품에 대한 컨텐츠 제공
● 최신 교육 과정 코스에 대한 조기 접근 제공
결언 : 지금 당장, 우리 서비스 담당자가 DevSecOps를 경험해야 합니다.
쉽고 간단한 작은, 책임은 작게, 환경은 다양하게 DecSecOps를 경험하도록 클라우드 기반의 디지털팀을 양성하세요.
Simple, flexible, on-demand 디지털팀 with 우리 서비스 체계/환경
물리머신 가상머신 프라이빗클라우드
퍼블릭클라우드
우수한 인력다양한 레퍼런스안정적 교육 체계
우리의 Application 1 우리의 Application 2 우리의 Application 3 우리의 Application 4
우리기업의표준보안규격 / 보안정책 / 아키텍쳐 with DevSec Automation Engine
업계표준의컨테이너엔진 + Certified Kubernetes Orchestration
Red Hat Security 참고 자료 Links
● Solution Brief: Increase Security and Compliance with Advanced Automation
○ https://www.redhat.com/en/resources/automate-security-compliance-solution-brief
● Whitepaper: Red Hat Automated Security and Compliance
○ https://www.redhat.com/en/resources/red-hat-automated-security-and-compliance
● Videos:
○ https://www.redhat.com/en/about/videos/red-hat-automated-security-hipaa-compliancehttps://www.redhat.com/en/about/videos/red-hat-automated-security-compliance-for-telecommunications-service-providers
● Red Hat Consulting Services Datasheet: Automate Security and Reliability Workflows
○ https://www.redhat.com/en/resources/services-consulting-automate-security-reliability-datasheet
● Red Hat provided and supported security compliance Ansible remediation playbooks in Ansible Galaxy
○ https://galaxy.ansible.com/RedHatOfficial
● Red Hat Security Hands-on Labs : https://red.ht/securitylabs
Red Hat Security 참고 자료 Links (cont..)
● Guide to continuous security
○ https://www.redhat.com/en/technologies/guide/it-security
● Understanding IT Security
○ https://www.redhat.com/en/topics/security
● Container Security
○ https://www.redhat.com/en/topics/security/container-security
● Red Hat Product Security
○ https://access.redhat.com/security/overview
