컨테이너용 Microsoft Defender 이해

  • 7분

컨테이너용 Microsoft Defender는 컨테이너 보호를 위한 클라우드 네이티브 솔루션입니다.

컨테이너용 Defender 기능

  • 환경 강화: 컨테이너용 Defender는 Azure Kubernetes Service, Kubernetes 온-프레미스/IaaS 또는 Amazon EKS에서 실행 중이든 관계없이 Kubernetes 클러스터를 보호합니다. 클러스터를 지속적으로 평가함으로써 컨테이너용 Defender는 잘못된 구성에 대한 가시성과 식별된 위협을 완화하는 데 도움이 되는 참고 자료를 제공합니다.

  • 취약성 평가 - ACR 레지스트리에 저장되고 Azure Kubernetes Service에서 실행되는 이미지의 취약성 평가 및 관리 도구입니다.

  • 노드 및 클러스터의 런타임 위협 방지 - 클러스터 및 Linux 노드의 위협 방지는 의심스러운 활동에 대한 보안 경고를 생성합니다.

아키텍처

컨테이너용 Defender에서 제공하는 전체 범위 보호에 필요한 요소의 아키텍처는 Kubernetes 클러스터가 호스트되는 위치에 따라 달라집니다.

컨테이너용 Defender는 클러스터가 실행되고 있는지 여부에 관계없이 클러스터를 보호합니다.

  • AKS(Azure Kubernetes Service) - 컨테이너화된 애플리케이션 개발, 배포 및 관리를 위한 Microsoft의 관리형 서비스입니다.

  • 연결된 AWS(Amazon Web Services) 계정의 Amazon EKS(Elastic Kubernetes Service) - 자체 Kubernetes 컨트롤 플레인 또는 노드를 설치, 운영, 유지 관리할 필요 없이 AWS에서 Kubernetes를 실행하기 위한 Amazon 관리되는 서비스입니다.

  • 관리되지 않는 Kubernetes 배포(Azure Arc 지원 Kubernetes 사용) - 온-프레미스 또는 IaaS에서 호스트되는 CNCF(Cloud Native Computing Foundation) 인증 Kubernetes 클러스터입니다.

클라우드용 Defender는 클러스터의 구성을 지속적으로 평가하고 구독에 적용되는 이니셔티브와 비교합니다. Defender for Cloud는 잘못된 구성을 발견하면 보안 권장 사항을 생성합니다. Defender for Cloud의 권장 사항 페이지를 사용하여 권장 사항을 살펴보고 문제를 해결하세요.

EKS 기반 Kubernetes 클러스터의 경우 AWS 계정을 클라우드용 Microsoft Defender에 연결에 설명된 대로 환경 설정 페이지를 통해 AWS 계정을 클라우드용 Microsoft Defender에 연결해야 합니다. 그런 다음, CSPM 플랜을 사용하도록 설정했는지 확인합니다.

환경 강화

Kubernetes 컨테이너의 워크로드를 보호하기 위한 권장 사항 번들을 얻으려면 Kubernetes용 Azure Policy를 설치합니다. 기본적으로 컨테이너용 Defender를 사용하도록 설정하면 자동 프로비저닝이 사용됩니다.

AKS 클러스터에 추가 기능을 사용하면 Kubernetes API 서버에 대한 모든 요청은 클러스터에 유지되기 전에 미리 정의된 모범 사례 세트에 대해 모니터링됩니다. 그런 다음, 모범 사례를 적용하고 향후 워크로드에 대해 위임하도록 구성할 수 있습니다.

예를 들어 권한 있는 컨테이너를 만들지 않도록 위임할 수 있습니다. 그러면, 이러한 작업에 대한 이후의 모든 요청이 차단됩니다.

실행 중인 이미지에 대한 취약성 보기

컨테이너용 Defender는 Defender 프로필 또는 확장에서 제공하는 취약성에 대한 런타임 가시성의 미리 보기 기능을 도입하여 컨테이너 레지스트리용 Defender 플랜의 레지스트리 검사 기능을 확장합니다.

새 권장 사항인 “컨테이너 이미지를 실행하려면 취약성 발견이 해결되어야 합니다.”는 이미지 실행에 대한 취약성만 표시합니다. 권장 사항은 Defender 보안 프로필 또는 현재 실행 중인 이미지를 찾기 위한 확장명에 따라 다릅니다. 이 권장 사항은 취약성이 있는 실행 중인 이미지를 그룹화하고 발견된 문제 및 수정 방법에 관한 세부 정보를 제공합니다. Defender 프로필 또는 확장은 활성 상태인 취약한 컨테이너에 대한 가시성을 얻는 데 사용됩니다.

이 권장 사항은 실행 중인 이미지 및 ACR 이미지를 기반으로 하는 해당 취약성을 보여 줍니다. ACR이 아닌 레지스트리에서 배포된 이미지는 검색되지 않으며 해당 없음 탭 아래에 표시됩니다.

Kubernetes 노드 및 클러스터의 런타임 보호

Defender for Cloud는 실시간 위협 방지를 컨테이너화된 환경에 제공하고 의심스러운 활동에 대한 경고를 생성합니다. 이 정보를 사용하여 보안 문제를 신속하게 수정하고 컨테이너의 보안을 강화할 수 있습니다.

클러스터 수준의 위협 방지는 Kubernetes 감사 로그의 Defender 프로필 및 분석을 통해 제공됩니다. 이 수준 이벤트의 예로는 노출된 Kubernetes 대시보드, 권한이 높은 역할 만들기, 중요한 탑재 만들기 등이 포함됩니다.

또한 위협 탐지는 Kubernetes 관리 계층을 벗어납니다. 컨테이너용 Defender에는 런타임 워크로드를 기반으로 하는 60개 이상의 Kubernetes 인식 분석, AI 및 변칙 검색이 포함된 호스트 수준 위협 탐지가 포함됩니다. 글로벌 보안 연구 팀에서는 위협 환경을 지속적으로 모니터링합니다. 검색된 컨테이너 관련 경고 및 취약성을 추가합니다. 이 솔루션은 함께 다중 클라우드 Kubernetes 배포의 증가하는 공격 표면을 모니터링하고 컨테이너에 대한 MITRE ATT&CK® 매트릭스를 추적합니다. Microsoft 및 타사와 긴밀하게 협력하여 Center of Threat-Informed Defense에서 개발한 프레임워크입니다.