www.cloudsec.com | #cloudsec

하이브리드 클라우드에서 새로운워크로드(Docker + Container) 보안

김석주 | 부장

Trend Micro

클라우드의 환경의 지속적 변화

#cloudsec

서버 환경의 변화…

Physical servers

Virtual servers

Virtual desktops

Public cloud

Containers Serverless

#cloudsec

애플리케이션, 서비스 환경의 변화…

It’s a Hybrid Cloud World

Data Centers Cloud

Existing Applications = Cash Cow New Applications = Growth

Physical Servers

Virtual Servers

Cloud Instances

Containers Serverless

#cloudsec

애플리케이션, 서비스 환경의 변화…ESG Whitepaper, Leveraging the Agility of DevOps Processes to Secure Hybrid Clouds, 2018

#cloudsec

클라우드 보안 요구사항의 변화

Automation With Pipeline & Workload Security

IT Service Management

AmazonSNS

Environments

Monitoring Tools

AWSConfig

AWSCloudTrail

Pipeline Management & Deployment

AWSOpsWorks

#cloudsec

클라우드 워크로드 보안 적용범위

Build Pipeline Runtime

Intrusion Prevention

Sandbox Analysis

Network Security

FirewallVulnerability

ScanningAnti-

Malware

Malware PreventionSystem Security

Application Control

Integrity Monitoring

Log Inspection Behavioral Analysis

Machine Learning

Vulnerability Scanning

Image Scanning

Malware Detection

Sweeping& Hunting

클라우드 워크로드(as Cloud-Native) 보안

#cloudsec

기존의 워크로드 보안

개발, 빌드, 검증, 배포등 각단계별 분리된 보안

Physical Virtual Cloud Containers

서버백신으로만

보호

애플리케이션이 아닌서버 보안 관점

#cloudsec

기존의 워크로드 보안

가장 많이 사용된컨테이너들 중 최소한 하나이상의 심각한 취약점 가짐

20%

CI/CD Process에서분산된 서비스 개발

개발 소스 신뢰

#cloudsec

새로운 접근의 워크로드 보안

SINGLE STRATEGY FOR MULTIPLE PLATFORMS

위협 방어 연계 네트워크, 플랫폼 그리고 애플리케이션을

넘어 위협 정보를 공유하고대응하는 체계

자동화 Dev & Ops에사용되는 SDKs와 APIs를통한 자동화 및 간소화

개발 프로세스 과정보안 범위 확대

#cloudsec

새로운 접근의 워크로드 보안- Build Pipeline

SHIFT-LEFT APPROACH

DEVELOPMENT PIPELINE

취약점 스캔

안티멀웨어 스캔

BUILD PUSH DEPLOY RUNCOMMIT

Pre-registry 검사

Container Registry 검사

컴플라이언스 검증

빌드 이미지 검증

#cloudsec

방법론 시나리오

BuildCommit

Scan

Alert

DeployPush

Sign/Promote

ExamineRemediate

새로운 접근의 워크로드 보안- Build Pipeline

#cloudsec

파이프라인 스캔 태스크생성

스캔 결과에 따른이미지 허가/불가 판정

“안전한” 이미지만 후속파이프라인 수행

보완을 위해 개발자에게“안전하지 않은"이미지스캔 세부 결과 전송

완전 자동화 된 파이프 라인 스캐닝

새로운 접근의 워크로드 보안- Build Pipeline

#cloudsec

“DevOps” & “개발팀” 을 위한 이미지 문제점 상세정보 제공 상세 패치 정보

새로운 접근의 워크로드 보안- Build Pipeline

#cloudsec

SECURE FULL CONTAINER STACK

BUILD PUSH DEPLOY RUNCOMMIT

보호 영역:

• 컨테이너

• 플랫폼

• 호스트

새로운 접근의 워크로드 보안- Runtime

#cloudsec

Application Container

Docker Engine

Operating System

Cloud-Native Security Solution

Kubernetes

Cloud-native Container based

Security

Application Container

호스트 OS 보호

도커 보호

컨테이너 보호

쿠버네티스 보호

컨테이너 기반애플리케이션 보호

호스트

Full Stack Protection

새로운 접근의 워크로드 보안- Runtime

#cloudsec

Development

Build

Developers

Commit

Git Jenkins

Container Registry

Runtime: Drupal VPC

Drupal Databases

Drupal Staging

Drupal Master

Private SubnetPublic Subnet

Security

Deep Security

Manager

SOC

Deep

Security

Smart Check

Push Pull

<Drupal Demo>

www.cloudsec.com | #cloudsec

THANK YOU

김석주 | 부장

Trend Micro