Thales와 Red Hat이 5G 세상에서 Kubernetes 데이터를 보호하는 방법

5G 모바일 광대역 네트워크를 운영하는 모바일 네트워크 사업자(MNO)는 고도로 분산된 인프라와 관련된 많은 문제에 직면해 있습니다. 쿠버네티스는 이러한 문제를 해결하기 위한 유망한 솔루션을 제공하지만 MNO는 5G 배포에 쿠버네티스를 사용할 때 발생하는 데이터 보안 문제를 완화해야 합니다. Kubernetes용 Thales CipherTrust Transparent Encryption은 Red Hat OpenShift와 원활하게 통합되어 OpenShift에서 실행되는 포드에 연결된 영구 볼륨의 데이터를 보호합니다. Kubernetes용 Thales CipherTrust Transparent Encryption은 Red Hat 에코시스템 카탈로그 및 인증된 Kubernetes 운영자에서 인증을 받았습니다.

​

쿠버네티스와 5G 세계

​

Kubernetes는 5G NFV(Network Functions Virtualization)를 통해 통신 사업자를 지원할 수 있는 클라우드 소프트웨어 컨테이너 관리입니다. 컨테이너는 클라우드 소프트웨어 및 서비스를 대규모로 운영하는 데 필수적이기 때문입니다. Kubernetes 클러스터는 온프레미스, 퍼블릭, 프라이빗 또는 하이브리드 클라우드 전반에 걸쳐 호스트를 확장할 수 있습니다. 이러한 이유로 Kubernetes는 실시간 데이터 통신과 같이 빠른 확장이 필요한 클라우드 네이티브 애플리케이션을 호스팅하는 데 이상적인 플랫폼입니다.

​

고도로 분산된 5G 환경에서 MNO의 과제는 복잡한 IT 인프라를 관리하는 것부터 소프트웨어 애플리케이션이 모든 계층에서 효율적으로 실행되도록 하는 것까지 다양합니다. 끊임없이 변화하는 비즈니스 및 성능 요구 사항을 충족하려면 동일한 인프라도 유연해야 합니다.

​

이러한 이유로 5G 네트워크에는 서비스 기반 아키텍처에 구축된 동적이고 확장 가능한 인프라가 필요합니다. 이러한 서비스는 지리적으로 분산된 여러 환경에 배포되어야 하므로 네트워크 운영자에게 중대한 문제가 됩니다. 쿠버네티스는 5G 네트워크 인프라 내에서 컨테이너의 효율적인 관리를 가능하게 함으로써 유망한 솔루션을 제시합니다. 이러한 서비스는 지리적으로 분산된 환경 전체에 배포되어야 하므로 네트워크 운영자에게 중요한 과제가 됩니다. Kubernetes는 5G 네트워크 인프라 내에서 CNF의 효율적인 관리를 가능하게 함으로써 유망한 솔루션을 제시합니다.

​

5G 환경에서 Kubernetes를 보호하기 위한 과제

​

5G 기술의 등장으로 생성되는 데이터의 양이 엄청나게 급증했습니다. 이 데이터는 Kubernetes를 비롯한 수많은 시스템과 플랫폼에 저장됩니다. 무단 액세스 또는 위반이 심각한 영향을 미칠 수 있으므로 Kubernetes 내에서 미사용 데이터를 보호하는 것이 가장 중요합니다. 즉시 사용 가능한 Kubernetes 사용은 보안 관리자에게 몇 가지 과제를 제시합니다.

​

Kubernetes 보안 구성: Kubernetes를 배포할 때 보안 제어가 사전 구성되지 않습니다. 이러한 컨트롤의 작동 방식을 이해하고 안전하게 구성하는 것은 운영자의 책임입니다. 이것은 어려울 수 있으며 잘못된 구성의 가능성을 인식하는 것이 중요합니다.

워크로드 배포 보안: 사전 구성된 보안 지원 Kubernetes 배포를 사용하든 자체 클러스터 및 보안 조치를 구축하든 플랫폼에 정통하지 않을 수 있는 개발자 및 애플리케이션 팀에게 Kubernetes의 워크로드 보안은 어려울 수 있습니다.

내장된 보안 취약성: Kubernetes는 보안 클러스터를 구축하기 위해 액세스 제어 및 보안 기능을 제공하지만 초기 설정에서 보안 취약성이 남을 수 있습니다. Kubernetes 클러스터 및 컨테이너의 보안을 보장하기 위해 조직은 워크로드, 클러스터, 네트워킹 및 인프라 구성을 적절하게 수정해야 합니다.

Source: https://middleware.io/blog/kubernetes-challenges-and-solutions/

​

Kubernetes는 복잡한 특성과 취약성으로 인해 보안 측면에서 심각한 문제에 직면해 있습니다. 부적절한 모니터링은 특히 여러 컨테이너를 배포할 때 이러한 취약성의 식별을 방해하여 잠재적인 위험을 감지하기 어렵게 만듭니다. 따라서 악의적인 해커가 약점을 악용하고 시스템에 무단 액세스할 수 있는 기회가 생깁니다.

​

쿠버네티스를 활용한 성공적인 침입 사례는 Tesla 크립토재킹 공격입니다(https://arstechnica.com/information-technology/2018/02/tesla-cloud-resources-are-hacked-to-run-cryptocurrency-mining). -맬웨어/). 이 경우 공격자는 Tesla의 Kubernetes 관리 콘솔에 침투하여 암호화폐 채굴을 위해 Amazon Web Services(AWS)에서 Tesla의 클라우드 리소스를 악용했습니다. 이러한 보안 문제를 완화하기 위해 다음과 같은 몇 가지 조치를 취할 수 있습니다.

​

1. AppArmor 및 SELinux와 같은 보호 모듈을 사용하여 보안을 강화합니다.

​

2. RBAC(역할 기반 액세스 제어)를 활성화하여 모든 사용자에게 필수 인증을 적용하고 할당된 역할에 따라 액세스 권한을 규제합니다.

​

3. 프런트 엔드와 백 엔드 기능을 분리하기 위해 컨테이너 분리를 구현하여 규제된 상호 작용을 통해 개인 키를 숨김으로써 최대 보안을 보장합니다.

​

4. 강력한 보호를 위해 RBAC를 활용하여 컨테이너 및 데이터베이스 내에 저장된 모든 데이터를 보호하기 위해 데이터 암호화 기술을 사용합니다.

​

이러한 보안 조치를 구현하면 Kubernetes 환경을 강화하고 무단 위반 및 데이터 손상의 위험을 최소화할 수 있습니다.

​

저장된 데이터를 보호하기 위한 강력한 조치를 구현하는 것은 위험을 완화하고 중요한 정보의 기밀성, 무결성 및 가용성을 보호하는 데 필수적입니다. 이러한 제어에는 미사용 데이터 암호화, 데이터에 대한 무단 액세스를 방지하기 위한 강력한 액세스 제어, 컨테이너 이미지 강화, 컨테이너 및 데이터에 대한 의심스러운 액세스 시도를 감지하기 위한 일관된 감사가 포함되어야 합니다.

​

Kubernetes의 데이터 보안에는 상태 저장 애플리케이션에 데이터 스토리지를 제공하는 데 사용되는 영구 볼륨에 저장된 데이터 보호도 포함됩니다. 최신 앱이 컨테이너와 마이크로서비스를 사용하여 점점 더 많이 구축됨에 따라 Kubernetes는 이러한 애플리케이션을 더 빠르고 효율적으로 제공, 배포 및 관리합니다. 그러나 몇 가지 위험이 Kubernetes 내 데이터 및 앱의 보안을 위협하고 있습니다.

​

특권 사용자 남용.

​

기본적으로 컨테이너화된 프로세스는 루트 권한으로 작동하여 관리자에게 모든 테넌트 암호에 대한 완전한 액세스 권한을 부여합니다. 이러한 무제한 액세스 수준은 수많은 위험을 초래합니다. 조직은 관리자 계정이 손상되거나 도난당할 경우 권한 에스컬레이션 공격에 취약할 수 있습니다.

​

교차 컨테이너 액세스.

​

부적절하게 구성된 액세스 제어로 인해 개인 정보가 여러 컨테이너에 무단으로 노출될 수 있습니다. 또한 컨테이너가 공유 가상화 또는 클라우드 환경에서 호스팅되는 경우 기밀 데이터가 손상되어 승인되지 않은 제3자가 액세스할 수 있습니다.

​

규정 준수 위험.

​

규정 준수 규정은 종종 엄격한 액세스 관리와 철저한 데이터 액세스 감사를 요구합니다. 안타깝게도 보안 팀은 이미지 및 컨테이너에 포함된 데이터에 대한 액세스를 효과적으로 제어하고 모니터링하는 데 어려움을 겪을 수 있습니다. 이로 인해 필요한 보안 프로토콜을 준수하고 규제 요구 사항을 준수하는 것이 어려울 수 있습니다.

​

Kubernetes 데이터 보안을 위한 Thales 및 RedHat 솔루션

​

Kubernetes용 Thales CipherTrust Transparent Encryption을 사용하면 암호화, 프로세스 및 사용자 기반 액세스 제어, 데이터 액세스 로깅을 통해 OpenShift Container Platform에서 작동하는 포드에 연결된 영구 볼륨의 기밀 데이터를 보호할 수 있습니다. Red Hat이 인증한 이 강력한 솔루션은 개발자가 OpenShift 컨테이너 내에 보안 조치를 적용할 수 있도록 지원합니다. CipherTrust Transparent Encryption은 컨테이너 스토리지 인터페이스를 사용하여 액세스할 수 있는 개별 컨테이너 및 외부 스토리지에 데이터 보안을 적용할 수 있습니다.

​

5G 네트워크를 운영하는 MNO는 공동 Thales – Red Hat 솔루션에 투자함으로써 여러 가지 이점을 누릴 수 있습니다.

​

포괄적인 데이터 보안 보호 장치

​

CipherTrust Transparent Encryption for Kubernetes를 통해 보안 팀은 이제 CSI(Container Storage Interface)를 사용하여 컨테이너 내에서 데이터 보안 제어를 보장할 수 있습니다. MNO는 컨테이너별로 액세스 제어, 암호화 및 데이터 액세스 감사를 적용할 수 있습니다. 컨테이너화된 애플리케이션에 연결된 영구 볼륨은 암호화되며 데이터 액세스는 승인된 사용자 및 프로세스로 제한될 수 있습니다.

​

투명한 암호화

​

투명한 암호화를 통해 MNO는 애플리케이션, 컨테이너 또는 인프라 구성을 변경하지 않고도 데이터 보안 조치를 보장할 수 있습니다. 이 솔루션은 널리 사용되는 마이크로서비스 배포 모델을 수용하여 애플리케이션 포드에 연결된 모든 영구 볼륨에서 일관된 보호 정책을 허용하거나 Kubernetes 클러스터 내의 각 영구 볼륨에 대한 사용자 지정 암호화 및 액세스 제어를 허용합니다.

​

세분화된 액세스 제어 및 가시성

​

쿠버네티스용 CipherTrust Transparent Encryption을 통해 MNO는 가장 엄격한 규정, 정책 및 명령을 충족하는 데 필요한 가시성과 제어 기능을 갖게 됩니다. 컨테이너 내의 특정 사용자, 프로세스 및 리소스를 기반으로 상세한 액세스 정책을 만들 수 있습니다. 또한 이 솔루션은 컨테이너 격리를 제공하여 인증된 컨테이너만 중요한 정보에 액세스할 수 있도록 합니다.

​

쿠버네티스용 CipherTrust Transparent Encryption이 작동하는 모습을 보려면 이 데모를 시청하거나 당사에 문의하십시오.

​

 

---

Thales DIS CPL소개

​

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의 중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

​

 

탈레스 소개

​

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다.