관찰성은 획득부터 빌드, 배포 및 실행에 이르기까지 다양한 단계에 대한 가시성, 모니터링 및 제어를 제공하여 컨테이너에 대한 공급망 전체에서 역할을 합니다. 컨테이너화된 애플리케이션의 수명 주기, 공급망의 다양한 단계, 종속되는 구성 요소 및 생성에 참여하는 행위자를 이해하는 것이 중요합니다. 가시성을 통해 기업은 컨테이너 공급망의 보안 격차를 식별하고, 인시던트 대응 중에 중요한 질문에 답변하고, 안전하지 않은 컨테이너가 프로덕션 환경에 배포되는 것을 방지할 수 있습니다.
Microsoft CSSC(Containers Secure Supply Chain) 프레임워크 의 중요한 구성 요소인 Observability 는 컨테이너화된 애플리케이션에 대한 모범 사례 및 지침 집합을 식별합니다. 이 문서에서는 컨테이너 보안 공급망의 가시성에 대한 배경, 목표 및 목표에 대해 알아봅니다.
배경
오늘날의 엔터프라이즈 환경에서 컨테이너화된 애플리케이션은 다양한 팀에서 관리하는 다양한 도구를 사용하여 빌드 및 배포됩니다. 이러한 도구의 관찰성 데이터는 종종 사일로화되어 컨테이너화된 애플리케이션의 수명 주기를 추적하기 어렵게 만듭니다. 이러한 가시성 부족으로 인해 공급망 보안의 격차를 식별하고 잠재적인 보안 문제를 감지하기가 어렵습니다.
CSSC 프레임워크의 관찰성 구성 요소는 컨테이너 공급망의 다양한 단계에서 필수 데이터를 캡처하기 위한 모범 사례 및 지침 집합을 권장합니다. 이 데이터를 사용하여 컨테이너화된 애플리케이션의 수명 주기에서 일반적인 단계를 설정하고 손상 지표(IoC)일 수 있는 변칙을 검색할 수 있습니다.
권장 사례
Microsoft는 컨테이너 공급망의 모든 단계에서 관찰 가능성을 구현하는 것이 좋습니다. 각 단계의 관찰성 데이터는 공급망의 전체적인 보기를 제공하는 단일 시스템에 통합되어야 합니다. 인공 지능은 여러 단계의 데이터를 상호 연결하고 변칙을 감지하고 보안 인시던트 방지에 사용할 수 있는 패턴을 식별할 수 있습니다.
자세한 보고 및 경고 기능으로 가시성을 강화해야 합니다. 보고는 팀이 현재 보안 상태를 이해하고 개선하면서 규정 준수 요구 사항을 충족하는 데 도움이 됩니다. 의심스러운 동작에 대해 적시에 경고하면 보안 인시던트를 방지하고 위반의 영향을 줄일 수 있습니다.
최소한 다음 관찰성 데이터를 캡처하는 것이 좋습니다.
- 외부 종속성의 위험을 평가하는 데 사용할 수 있는 외부 컨테이너 이미지의 원본, 버전 및 취약성 상태입니다.
- 잠재적인 내부 위협을 식별할 수 있는 외부 이미지 사용을 요청하고 승인하기 위한 사용자의 활동입니다.
- 취약성 및 맬웨어 검사 날짜 및 시간을 검사하여 정기적으로 수행되고 오래된 데이터를 방지합니다.
- 빌드 및 배포 파이프라인에서 외부 이미지를 사용하여 외부 종속성의 위험을 정량화합니다.
- 소스 코드 위치, 빌드 환경 및 빌드 아티팩트와 같은 세부 정보를 빌드하여 빌드가 규정을 준수하는지 확인합니다.
- 배포 환경, 배포 아티팩트 및 배포 구성과 같은 배포 세부 정보를 사용하여 배포가 규정을 준수하는지 확인합니다.
- 런타임 환경, 런타임 아티팩트, 런타임 구성 및 런타임 동작과 같은 런타임 세부 정보는 예상 동작과 편차가 없도록 합니다.
위의 관찰성 데이터는 방화벽 로그, 네트워크 트래픽 및 사용자 활동과 같은 SIEM(보안 정보 및 이벤트 관리) 시스템의 다른 데이터와 상호 연결하여 패턴을 감지하고 잠재적인 보안 인시던트를 식별할 수 있습니다.
가시성을 위한 보안 목표
각 단계 내에서 관찰 가능성을 구현하는 것은 격차를 식별하고 컨테이너에 대한 공급망의 보안 인시던트 방지에 매우 중요합니다. CSSC 프레임워크의 관찰성 구성 요소는 다음 보안 목표를 충족하기 위한 것입니다.
위협 및 악의적인 동작 검색
소프트웨어 공급망에 대한 공격은 점점 더 일반적이고 정교해지고 있습니다. 현재 모니터링 도구는 컨테이너 수명 주기의 전체 컨텍스트를 무시하는 단일 공급망 단계 내의 모니터링 시스템으로 제한됩니다. 기업은 지속적인 위협을 식별하거나 빠르게 진화하는 공격 패턴을 식별하는 데 덜 효과적인 주기적 또는 수동 검사 의존할 수 있습니다.
컨테이너용 공급망에서 종단 간 관찰 가능성을 구현하면 보안 팀이 공급망을 전체적으로 파악하고 잠재적인 위협 및 악의적인 동작을 식별하는 데 도움이 될 수 있습니다.
규정 준수 간소화
클라우드 네이티브 애플리케이션은 전역 규모로 배포되며 많은 수의 자산으로 구성됩니다. 컨테이너가 배포되는 위치, 사용되는 원본 및 보안 태세가 제한되므로 규정 준수 요구 사항을 충족하기가 어렵습니다. 또한 인벤토리가 부족하여 기업은 중요한 취약성의 영향을 신속하게 정량화하고 조치를 취할 수 있습니다.
컨테이너에 대한 공급망의 각 단계에서 관찰성 데이터를 캡처하면 기업이 컨테이너 자산의 포괄적인 인벤토리를 구축하고 위험을 신속하게 평가하고 규정 준수 보고를 제공하는 데 사용할 수 있는 종속성 그래프 만들 수 있습니다.
인시던트 대응 지원
관찰성이 부족하면 검색을 지연시키고, 가시성을 제한하고, 수동 워크로드를 늘리고, 대응 조치의 효율성과 효율성을 줄여 인시던트 대응 노력을 방해할 수 있습니다. 컨테이너에 대한 엔드투엔드 공급망의 전체 보기가 없으면 인시던트 응답자는 중요한 정보가 부족하여 인시던트의 심각도를 평가하고 효과적인 대응 전략을 수립하기가 어려울 수 있습니다.
컨테이너에 대한 공급망의 다양한 단계에서 관찰 가능성 데이터를 상호 연결하면 인시던트 응답자가 더 나은 결정을 내리고 보안 인시던트에 더 빠르게 대응할 수 있습니다.
권장 도구
Microsoft는 컨테이너 공급망에서 관찰 가능성을 구현하는 데 사용할 수 있는 도구 및 서비스 집합을 제공합니다.
ACR(Azure Container Registry) 감사 및 진단 로그 는 레지스트리에서 수행되는 모든 작업에 대한 자세한 감사 및 활동 내역을 제공합니다. 로그 및 모니어링 데이터는 Azure Monitor의 다른 관찰 가능성 데이터와 연결될 수 있습니다.
DevOps 용 Microsoft Defender는 Azure DevOps 및 GitHub를 사용하는 팀의 DevOps 보안 태세에 대한 통합된 가시성을 제공합니다. Defender for DevOps를 사용하면 배포 잘못 구성, 노출된 비밀을 검색하고 GitHub 및 Azure DevOps의 끌어오기 요청에 보안 정보를 주석으로 추가할 수 있습니다.