Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
www.cloudsec.com | #cloudsec
하이브리드 클라우드에서 새로운워크로드(Docker + Container) 보안
김석주 | 부장
Trend Micro
클라우드의 환경의 지속적 변화
#cloudsec
서버 환경의 변화…
Physical servers
Virtual servers
Virtual desktops
Public cloud
Containers Serverless
#cloudsec
애플리케이션, 서비스 환경의 변화…
It’s a Hybrid Cloud World
Data Centers Cloud
Existing Applications = Cash Cow New Applications = Growth
Physical Servers
Virtual Servers
Cloud Instances
Containers Serverless
#cloudsec
애플리케이션, 서비스 환경의 변화…ESG Whitepaper, Leveraging the Agility of DevOps Processes to Secure Hybrid Clouds, 2018
#cloudsec
클라우드 보안 요구사항의 변화
Automation With Pipeline & Workload Security
IT Service Management
AmazonSNS
Environments
Monitoring Tools
AWSConfig
AWSCloudTrail
Pipeline Management & Deployment
AWSOpsWorks
#cloudsec
클라우드 워크로드 보안 적용범위
Build Pipeline Runtime
Intrusion Prevention
Sandbox Analysis
Network Security
FirewallVulnerability
ScanningAnti-
Malware
Malware PreventionSystem Security
Application Control
Integrity Monitoring
Log Inspection Behavioral Analysis
Machine Learning
Vulnerability Scanning
Image Scanning
Malware Detection
Sweeping& Hunting
클라우드 워크로드(as Cloud-Native) 보안
#cloudsec
기존의 워크로드 보안
개발, 빌드, 검증, 배포등 각단계별 분리된 보안
Physical Virtual Cloud Containers
서버백신으로만
보호
애플리케이션이 아닌서버 보안 관점
#cloudsec
기존의 워크로드 보안
가장 많이 사용된컨테이너들 중 최소한 하나이상의 심각한 취약점 가짐
20%
CI/CD Process에서분산된 서비스 개발
개발 소스 신뢰
#cloudsec
새로운 접근의 워크로드 보안
SINGLE STRATEGY FOR MULTIPLE PLATFORMS
위협 방어 연계 네트워크, 플랫폼 그리고 애플리케이션을
넘어 위협 정보를 공유하고대응하는 체계
자동화 Dev & Ops에사용되는 SDKs와 APIs를통한 자동화 및 간소화
개발 프로세스 과정보안 범위 확대
#cloudsec
새로운 접근의 워크로드 보안- Build Pipeline
SHIFT-LEFT APPROACH
DEVELOPMENT PIPELINE
취약점 스캔
안티멀웨어 스캔
BUILD PUSH DEPLOY RUNCOMMIT
Pre-registry 검사
Container Registry 검사
컴플라이언스 검증
빌드 이미지 검증
#cloudsec
방법론 시나리오
BuildCommit
Scan
Alert
DeployPush
Sign/Promote
ExamineRemediate
새로운 접근의 워크로드 보안- Build Pipeline
#cloudsec
파이프라인 스캔 태스크생성
스캔 결과에 따른이미지 허가/불가 판정
“안전한” 이미지만 후속파이프라인 수행
보완을 위해 개발자에게“안전하지 않은"이미지스캔 세부 결과 전송
완전 자동화 된 파이프 라인 스캐닝
새로운 접근의 워크로드 보안- Build Pipeline
#cloudsec
“DevOps” & “개발팀” 을 위한 이미지 문제점 상세정보 제공 상세 패치 정보
새로운 접근의 워크로드 보안- Build Pipeline
#cloudsec
SECURE FULL CONTAINER STACK
BUILD PUSH DEPLOY RUNCOMMIT
보호 영역:
• 컨테이너
• 플랫폼
• 호스트
새로운 접근의 워크로드 보안- Runtime
#cloudsec
Application Container
Docker Engine
Operating System
Cloud-Native Security Solution
Kubernetes
Cloud-native Container based
Security
Application Container
호스트 OS 보호
도커 보호
컨테이너 보호
쿠버네티스 보호
컨테이너 기반애플리케이션 보호
호스트
Full Stack Protection
새로운 접근의 워크로드 보안- Runtime
#cloudsec
Development
Build
Developers
Commit
Git Jenkins
Container Registry
Runtime: Drupal VPC
Drupal Databases
Drupal Staging
Drupal Master
Private SubnetPublic Subnet
Security
Deep Security
Manager
SOC
Deep
Security
Smart Check
Push Pull
<Drupal Demo>
www.cloudsec.com | #cloudsec
THANK YOU
김석주 | 부장
Trend Micro