최근에 NeuVector 관련 내용이 보여서 좀 뒤져 보았습니다. 설명서에 있는 Overview 자료와 홈페이지의 The NeuVector Difference가 기본적인 제품 이해에 도움이 됩니다. 그 중에 The NeuVector Difference를 기계번역하고 관련 자료 링크 좀 정리해 놓았습니다.
NeuVector는 컨테이너 보안을 중요하게 생각합니다. 컨테이너 인프라를 구축하는 오늘날의 기업은 높은 수준의 보안을 유지하고 DevOps 팀에 속도와 민첩성을 제공하며 컴플라이언스 요구사항을 충족할 수 있어야 합니다. NeuVector는 Kubernetes의 보안 위험을 관리하고 위협을 차단하기 위해 선택한 솔루션입니다.
네트워크 검사 + 컨테이너 방화벽 : 운영 체제 보안의 핵심
심층적인 네트워크 가시성은 런타임 컨테이너 보안의 가장 중요한 부분입니다. 기존의 경계 기반 보안에서 관리자는 워크로드에 도달하기 전에 공격을 차단하거나 차단하기 위해 방화벽을 구축합니다. 컨테이너 네트워크 트래픽을 검사하면 응용 프로그램이 다른 응용 프로그램과 통신하는 방법을 알 수 있으며 응용 프로그램 또는 워크로드에 도달하기 전에 공격을 중지할 수 있는 유일한 위치입니다. 또한 네트워크를 통해 데이터를 전송하는 악용된 애플리케이션에 의한 데이터 침해를 방지할 수 있는 마지막 기회이기도 합니다. 적절한 네트워크 제어는 공격의 ‘폭발 반경’을 제한합니다.
이러한 추가적인 보호 계층은 사용 가능한 다른 컨테이너 보안 솔루션보다 뛰어납니다. NeuVector는 런타임에 컨테이너 서비스의 배포 매니페스트 검사와 개방형 포트 또는 syscall 검사를 기반으로 하는 정적 다이어그램을 넘어, 네트워크 연결을 추측하는 대신 필터링 및 검사 중인 실제 네트워크 트래픽에 대한 실시간 분석을 제공합니다. NeuVector의 특허 기술은 다음과 같은 특성을 가진 산업용 컨테이너 보안을 제공하는 유일한 솔루션입니다.
DPI(Deep Packet Inspection)를 수행
NeuVector는 DPI를 적용하여 공격을 식별하거나 중요한 데이터를 탐지하거나 애플리케이션 액세스를 확인하여 공격 표면을 더욱 줄입니다. 네트워크 계층 분석만이 보안 팀이 비즈니스 정책을 시행하는 데 도움이 되는 허용된 프로토콜을 탐지하고 검증할 수 있습니다.
업계 유일의 컨테이너 방화벽으로 실시간 보호 기능을 제공
NeuVector의 컨테이너 방화벽은 컨테이너로 들어오고 나가는 모든 트래픽을 검사, 세분화 및 보호합니다. 여기에는 컨테이너 간 트래픽뿐만 아니라 외부 소스에서 컨테이너로의 수신 및 컨테이너에서 외부 응용 프로그램 및 인터넷으로의 송신도 포함됩니다. NAT의 계층 7 컨테이너 방화벽은 DDoS 및 DNS와 같은 내부 애플리케이션 레벨 공격으로부터 애플리케이션을 보호합니다.
‘동-서’ 및 ‘북-남’ 컨테이너 트래픽을 모니터링
마이크로 서비스와 컨테이너는 데이터 센터의 내부 동-서 트래픽을 크게 증가시킵니다. 애플리케이션 인식 컨테이너 네트워크 보안 없이 공격자는 데이터 센터 내에서 컨테이너를 이용할 수 있습니다. NeuVector는 모든 컨테이너 트래픽, 내부, 수신 및 송신에 대한 실시간 연결 정보를 탐지하고 표시합니다.
디버깅 및 위협 조사를 위한 패킷을 캡처
NeuVector를 사용하면 연결 요약 데이터를 쉽게 보고 스케일업 및 스케일다운 중에도 각 컨테이너의 실제 패킷 세부 정보를 드릴다운할 수 있습니다. 위협이 탐지되면 NeuVector는 패킷 정보를 자동으로 캡처하고 표시하므로 쉽게 조사할 수 있습니다.
알려진 취약성 및 알 수 없는 취약성에 대한 엔드 투 엔드 컨테이너 보안
NeuVector는 알려진 취약점에 대한 포괄적인 위험 프로파일을 제공하고 알려진 취약성 및 알려지지 않은 취약성 모두에 대해 즉각적인 보호를 제공하는 유일한 Kubernetes 네이티브 컨테이너 보안 솔루션입니다.
심각한 컨테이너 보안은 완전한 취약성 관리에서 시작됩니다. NeuVector는 컨테이너 수명 주기 전체에 걸쳐 취약성을 지속적으로 평가합니다. 그러나 모든 CVE에 사용 가능한 패치가 있는 것은 아닙니다. 운영 환경에 푸시해야 하는 애플리케이션이 있습니다. 위험/이익을 어떻게 평가하십니까? NeuVector를 사용하면 DevOps 속도로 애플리케이션을 구축하고 보안을 유지할 수 있습니다.
- 프로파일링과 보호 기능의 탁월한 조합을 통해 컨테이너 수명 주기 전반에 걸쳐 360° 가시성을 확보할 수 있습니다.
- 비즈니스에 영향을 미치기 전에 비정상적인 동작을 중지하는 고유한 가상 패치 기능을 통해 Day 1의 알려진 위협과 알려지지 않은 위협을 차단합니다.
- 업계 유일의 레이어 7 방화벽과 프로덕션 애플리케이션에 대한 인라인 차단을 지원하는 심층 패킷 검사를 통해 제로 데이 및 내부자 위협으로부터 데이터를 보호하십시오.
- 보호 수준을 높이고 시간을 절약합니다.
Security as Code
최신 클라우드 네이티브 파이프라인에서 보안 및 규정 준수 요구사항을 적용하는 것은 어려운 과제입니다. 컨테이너 인프라의 공격 표면 증가로 보안이 더욱 중요해지고 있지만 보안 및 DevOps 팀은 수동 프로세스로 파이프라인 속도를 늦출 수 없습니다. NeuVector는 취약성 및 규정 준수 검색과 관련된 개발의 ‘왼쪽’에서 시작하여 오른쪽으로 진행되며 실시간 네트워크, 컨테이너 및 호스트 보호 기능을 제공합니다.
- 보안 정책 작성을 자동화하여 운영 환경의 애플리케이션 워크로드를 보호합니다. 런타임 보안 정책, 특히 방화벽 규칙은 지금까지 레거시 데이터 센터 기반 인프라에서 주로 수동 구성이 요구되었습니다.
- 보안을 코드로 배포합니다. CRD(Kubernetes Custom Resource Definition)를 사용하여 런타임 보안 정책을 자동화하고 유지합니다.
- 파이프라인의 모든 단계에서 응용 프로그램 보안 정책을 선언합니다.
- CRD를 사용하여 여러 Kubernetes 클러스터에 글로벌 보안 정책을 적용합니다.
- 응용 프로그램의 동작을 학습하고 특성화하는 행동 학습을 사용하여 보안 정책 CRD를 자동으로 초안합니다. Dev, DevOps 및 Security 팀은 필요에 따라 CRD를 검토 및 편집할 수 있으며, CRD를 운영 환경에 배포하기 전에 변경 관리 시스템을 체크인할 수 있습니다.
컴플라이언스
컴플라이언스는 조직이 Kubernetes 및 새로운 클라우드 인프라로 전환함에 따라 매우 중요한 문제입니다. 경계 기반 네트워크 보안에서는 간단했던 것이 오늘날의 하이브리드 환경에서는 더욱 복잡해지고 있습니다.
NeuVector의 Kubernetes 보안 솔루션은 PHI 및 PII 노출을 방지하고 요구 사항을 초과하며 PCI-DSS, GDPR, HIPAA 등에 대한 보고를 단순화하는 탐지 기능과 보안 정책 시행 기능을 제공합니다.
- 중요한 취약점 및 규정 준수 위반을 추적하고 즉각적인 패치 적용 또는 후속 경고가 필요한 사항을 신속하게 파악합니다.
- 이미지 및 컨테이너에서 내장된 암호를 검색하고 검사합니다.
- 외부 워크플로우 도구에 통합할 필요 없이 취약성 및 컴플라이언스 검색 결과를 관리할 수 있습니다.
- 이미지 및 런타임 검색 결과를 정리, 우선순위 지정 및 추적하여 DevOps를 가속화하기 위해 날짜, 상태 및 기타 메타데이터를 추적합니다.
- 클라우드 네이티브 컨테이너 환경에서 엄격한 PCI 요구사항을 적용하는 특허받은 네트워크 세분화 및 업계 유일의 컨테이너 방화벽을 통해 위협을 탐지하고 공격을 차단하며 포렌식 네트워크 데이터를 캡처할 수 있습니다.
기타 자료
- GitHub : https://github.com/neuvector
- 설명서 : https://open-docs.neuvector.com/
