쿠버네티스를 사용할 때 보안이나 확장성을 희생하지 마십시오.

https://blogs.vmware.com/load-balancing/2021/03/31/dont-sacrifice-security-or-scalability-when-using-kubernetes/

첫 번째 블로그에서는 신속한 변화를 위한 Kubernetes 수신 서비스에 대해 논의했으며 VMware NSX® Advanced Load Balancer™(Avi Networks에서)을 Tanzu Advanced Edition과 함께 번들링한 내용을 소개했습니다. 통합 애플리케이션 서비스가 L4 로드 밸런싱, 수신 컨트롤러, WAF, DNS, IPAM 및 분석과 같은 여러 포인트 제품을 통해 애플리케이션 구축의 복잡성을 줄이고 장애 도메인을 축소하는 방법에 대해 간략하게 설명했습니다.

이 블로그에서는 NSX Advanced Load Balancer와 Tanzu가 함께 유니파이드 플랫폼에서 규모에 맞게 안전한 애플리케이션을 제공하는 방법에 대해 자세히 알아보려고 합니다.

Kubernetes는 컨테이너 기반 워크로드를 위한 우수한 자동화된 애플리케이션 배포 플랫폼을 제공합니다. 그러나, 기업이 비즈니스 라인에 대응하고 출시 기간을 단축해야 한다는 압박감에 시달리면서 팀은 보안과 확장성을 재고해야 합니다. 이 문제는 팀이 새로운 애플리케이션을 구현 및 배치하기 위해 서두를 때 더욱 악화됩니다.

확장성과 보안 기능은 수신, WAF, 로컬 및 글로벌 로드 밸런싱 등에 많은 포인트 제품 또는 상이한 오픈 소스 솔루션에 의존하지 않고도 동일한 방식으로 환경에 구축됩니다. 그것은 조각들이 잘 맞지 않는 퍼즐과 같다.

확장성과 보안이 함께 중요한 이유는 무엇입니까?

DDoS 공격으로 인해 애플리케이션을 사용할 수 없게 되면 영향을 완화하는 데 어떤 도구가 필요합니까? 확장성과 보안이 모두 필요한 것이 현실입니다. DDoS 볼륨 공격은 IT 부서에서 DDoS 문제를 해결하기 위해 분주한 동안 네트워크 침투 또는 멀웨어 배포와 같은 다른 외과적 보안 침해에 대한 보호를 제공하기 위해 점점 더 많이 사용되고 있습니다.

DDoS 공격의 영향을 완화하기 위해 애플리케이션 가용성을 복원하는 것이 최우선 과제입니다. 한 가지 방법은 클라우드를 터트리는 것입니다. 클라우드를 확장하면 퍼블릭 클라우드 환경에서 추가 리소스를 가동하여 일시적인 수요를 충족할 수 있으므로 애플리케이션을 계속 사용할 수 있습니다. 다음 단계는 DDoS 소스에서 나오는 연결을 제한하는 요율로 대상 환경에 대한 부담을 줄이는 것입니다. 이와 병행하여 보안 팀은 DDoS 공격 중 다른 보안 이벤트에 대한 WAF 경고를 모니터링합니다.

예측 자동 확장 및 성능

애플리케이션 전송 태스크를 수행하는 동안 로드 밸런싱 장치에서 리소스 소모가 발생할 수 있습니다.  이는 CPU, 메모리, 트래픽 패턴 또는 DDoS 공격과 같은 악의적인 활동으로 인해 발생할 수 있습니다. 기존 솔루션을 사용하면 용량을 초과 프로비저닝하거나 더 큰 용량을 구입할 수 있습니다. 소프트웨어 정의 솔루션을 통해 Avi Service Engine(데이터 플레인)이 실시간으로 인라인 애플리케이션 및 네트워크 원격 메트릭을 수집 및 모니터링하는 동안 Avi 컨트롤러는 가상 서비스를 사용하지 않는 서비스 엔진으로 자동 마이그레이션하거나 다중 지역 및/또는 다중 가용성에서 여러 서비스 엔진으로 가상 서비스를 확장할 수 있습니다.용량 증가를 위한 능력 영역 구축 이를 통해 여러 활성 서비스 엔진이 단일 가상 서비스의 워크로드를 동시에 공유할 수 있습니다.

또한 Avi는 애플리케이션 동작에 대해 학습하고 학습된 트래픽 패턴과 애플리케이션 사용량에 따라 지능적이고 예측적인 자동 스케일링을 수행할 수 있으므로 수요가 서비스 소진 또는 중단을 야기하기 전에 서비스를 충분히 이용할 수 있습니다. 탄력적 자동 스케일링에 대한 자세한 내용은 Decision Automation with Load Balancers and WAF 백서를 참조하십시오.

쿠버네티스를 위한 엔터프라이즈급 보안

컨테이너 기반 환경을 보호하는 몇 가지 필수 모범 사례는 다음과 같습니다.

  • 컨테이너의 항목을 루트로 실행하지 말고 낮은 권한으로 애플리케이션을 실행하십시오.
  • 환경 변수를 사용하여 기밀을 전달하지 마십시오. 대신 Docker Secrets을 사용하십시오.
  • TLS 확인 플래그를 지정하고 안전한 방법으로 네트워크를 통해 컨테이너에 연결할 수 있도록 신뢰할 수 있는 CA 인증서로 Docker의 tlscacert 플래그를 지정하여 TLS를 사용하도록 설정합니다.

애플리케이션 보안 및 네트워킹 팀은 이러한 기본적인 모범 사례 외에도 쿠버네티스 환경에 대한 보안 액세스를 더욱 강화하기 위해 폐쇄 루프 분석 및 애플리케이션 학습을 통해 보안을 강화하는 분산 패브릭인 Avi의 지능형 WAF(Web Application Firewall)를 사용할 수 있습니다. 포괄적인 보안 스택을 제공하는 동시에 정책 사용자 지정을 단순화하고 수요 증가에 따라 자동으로 확장됩니다.

전체 보안 스택

분산 애플리케이션 보안 패브릭은 폐쇄 루프 분석 및 적응형 애플리케이션 학습을 통해 보안을 적용합니다. Avi WAF는 OWASP CRS 보호, PCI DSS, HIPAA 및 GDPR과 같은 컴플라이언스 규정, 포지티브 보안 모델 및 서명 기반 탐지를 지원한다. 내장된 솔루션은 DDoS, 속도 제한, SSL/TLS 오프로드 및 암호화, 모든 환경에서 정책 사용자 지정을 단순화하고 온디맨드 방식으로 자동 확장할 수 있는 ACL을 포함한 포괄적인 보안 스택을 보안 및 네트워킹 팀에 제공합니다.

TLS/SSL 프로토콜 오프로드 및 TLS 인증서 관리

Avi Service Engine은 TLS/SSL 암호화/암호 해독 오프로딩을 제공합니다. Avi 컨트롤러는 TLS 키를 안전하게 암호화하고 보안 데이터베이스에 저장합니다. TLS 인증서 키는 기본 HAProxy 라우터가 있는 오픈 소스 솔루션과 달리 네트워크를 통해 전송되거나 디스크에 일반 텍스트로 저장되지 않습니다. Avi는 또한 보안 TLS 핸드셰이크, 키 스토리지 및 인증서 관리를 위한 사용자 지정 워크플로우를 위해 업계 최고의 HSM과 기본적으로 통합됩니다.

고급 보안 분석을 통한 가시성

Avi의 WAF는 관리자에게 성능, 최종 사용자 상호 작용 및 보안 이벤트에 대한 전체적인 보안 통찰력과 분석을 단일 대시보드에서 제공합니다. Avi는 TLS/SSL 버전 및 트랜잭션 속도에 대한 통찰력을 제공하고 SSL 상태 점수를 할당하여 각 가상 서비스의 상태를 지속적으로 평가합니다. SSL 점수는 PFS 지원, SSL/TLS 버전, 사용된 암호화 알고리즘, 암호 강도, 서명 알고리즘, 사용된 신뢰할 수 있는/신뢰할 수 없는 인증서, 사용된 SSL 인증서 또는 TLS 버전으로 잠재적인 위험을 강조하여 구성된 SSL 보안 프로파일을 기반으로 합니다.

사전 예방적이고 지능적인 웹 애플리케이션 보안

Avi PULSE Services를 사용하면 업계 최고의 위협 분석 회사에서 IP 평판, 서명, WAF CRS 규칙 등을 포함한 실시간 위협 업데이트를 제공하며, SQL 주입(SQL Injection) 및 사이트 간 스크립팅(XSS)과 같은 일반적인 취약점으로부터 웹 애플리케이션을 보호하기 위해 Avi의 WAF에 자동으로 제공됩니다. 각 응용 프로그램에 대해 규칙 집합을 사용자 지정할 수 있습니다.

WAF는 애플리케이션 및 공격 패턴이 학습될 때 알려진 양호한 동작을 검증하는 긍정 보안 모델(positive security model)인 허용 목록 엔진을 통해 검증되지 않은 트래픽을 분석한다. 마지막으로 서명 엔진은 특정 트랜잭션과 일치하는 보안 규칙을 실시간으로 처리합니다. 최적화된 보안 파이프라인은 효율성을 극대화하고, 거짓 양성 반응을 대폭 줄이며, 제로 데이 공격을 차단합니다.

HTTP 응용 프로그램에 대한 SAML 인증

Avi는 확장 권한 부여 정책과 심층적인 SAML 통합을 통해 HTTP 응용프로그램에 대한 보다 세분화된 액세스 제어를 가능하게 합니다. 권한 부여는 액세스를 요청하는 사용자, 요청의 컨텍스트 및 액세스 환경의 위험을 확인하는 기준으로 액세스를 검사합니다.

NSX Advanced Load Balancer(Avi Networks)의 향상된 SAML 권한 부여 정책과 OneLogin, Okta 또는 Idaptive와 같은 회사의 ID 및 액세스 관리 소프트웨어를 결합하여 IT 조직은 전례 없는 보안으로 HTTP 애플리케이션을 배포하고 다음과 같은 통합의 확장된 보안 기능을 활용할 수 있습니다.

  • Avi의 향상된 SAML 권한 부여 정책에 의해 트리거된 멀티 팩터 인증(예: 여러 인증 팩터 OTP, SMS, 이메일, 모바일 푸시 등 조직의 필요에 따라 단일 사용자 계정 및 암호를 보호합니다.
  • Active Directory와 같은 인증된 단일 사용자 데이터베이스에서 동일한 사용자 이름 및 암호를 사용하여 HTTP 응용 프로그램에 대한 Single Sign-On.
  • 요청된 리소스에 대한 보다 세분화된 액세스 제어.

요약

일반적으로 컨테이너 기반 구현에 사용되는 여러 개별 솔루션에서 발생하는 확장성, 보안 및 복잡한 운영의 문제를 극복하기 위해서는 단일 플랫폼에서 쿠베르네츠를 위한 통합 서비스를 보유해야 합니다. VMware NSX Advanced Load Balancer와 Tanzu는 통합 플랫폼 퍼즐을 완성하여 조직이 안심하고 애플리케이션 및 서비스를 제공할 수 있도록 지원하고 TCO를 절감합니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

You May Also Like