VM, 호스트, Kubernetes 및 클라우드 서비스 보호 방법, 규정, 예시

런타임에 활성 패키지에 집중하여 중요한 항목의 우선 순위를 지정합니다.

Falco는 클라우드 네이티브 위협 탐지를 위한 오픈 소스 표준입니다. 커널에서 발생하는 시스템 이벤트를 모니터링하고 호스트, 컨테이너 및 Fargate를 지원합니다. Falco를 기반으로 구축된 워크로드 보안 솔루션에는 클라우드용 Microsoft Defender, StackRox, Sumo Logic, Giant Swarm 등이 포함됩니다.

Sysdig는 심층 컨테이너 포렌식 및 문제 해결 기능을 제공합니다. Falco를 사용하면 소프트웨어 취약성, 런타임 위협, 구성 위험 및 규정 준수 격차를 식별하여 소스에서 실행까지 클라우드 간 보안을 제공합니다.

 

 

VM, 호스트, Kubernetes 및 클라우드 서비스 보호 방법, 규정, 예시

 

 

클라우드 규모의 보안 당면 과제

크게 우려되는 네 가지 영역과 질문이 있습니다: 

- 취약성 관리: 개발자를 압도하지 않고 취약성 백로그를 줄이고 리스크를 관리하는 방법은 무엇입니까?

- ID 및 액세스 관리: 어떤 리소스에 액세스할 수 있으며 실제로 사용되는 권한은 누구입니까?

- 구성 관리: 클라우드 리소스를 인벤토리하고 구성이 안전하고 규정을 준수하는지 확인하는 방법은 무엇입니까?

- 위협 탐지 및 대응: 클라우드에서 이상 징후 및 사고를 감지하고 이에 대응하는 데 핵심적인 데이터와 컨텍스트는 무엇입니까?

 

 

공급망 보안 규정 준수

Sysdig는 코드에서 공급망 보안 컴플라이언스를 제공하며 실행 및 대응할 수 있도록 설계되었습니다.

이 기능은 다음을 통해 수행됩니다:

- 표류 방지 및 위험한 구성을 차단하기 위한 코드 유효성 검사로서의 인프라.

- CI/CD 파이프라인, 레지스트리 및 호스트를 통한 취약성 관리 및 사용 중인 취약성을 기반으로 하는 우선 순위 지정.

- CPSM 및 클라우드 구성 오류 및 클라우드 인벤토리에 대한 구성 관리.

- IAM(Identity and Access Management): CIEM 최소 권한 및 사용 중인 권한에 기반한 우선 순위 지정.

- 클라우드 및 워크로드 런타임 보안에 대한 위협 탐지.

-  과학 수사를 위한 상세 레코드를 캡처하고 악의적인 컨테이너 및 프로세스를 차단하기 위한 인시던트 응답.

 

런타임 통찰력은 사용 중인 노출에서 우선 순위가 지정된 소스에서 문제를 해결할 수 있도록 왼쪽으로 이동하는 보안을 강화합니다.

 

 

위협 연구

Sysdig는 고객 및 프리미엄 위협 인텔리전스, 공개 저장소의 능동적 검색, 취약성 연구, 동작 기반 탐지 및 기계 학습(ML) 기반 탐지를 포함하는 위협 연구에 다층 접근 방식을 적용합니다.

그들은 12개 이상의 위협 연구와 나쁜 배우와 활동을 연구하는 ML 전문가를 보유하고 있습니다. 또한 Falco 기반의 샌드박스 기술을 사용하면서 컨테이너 이미지 레지스트리, GitHub 및 다크 웹에 대한 공용 저장소를 적극적으로 검색합니다.

이 회사는 자동 포렌식 및 빅 데이터 분석을 사용하여 수십 개 지역의 모든 주요 클라우드 공급업체를 위한 멀티 클라우드 네이티브 허니팟 네트워크를 구축했습니다.

그들은 클라우드 네이티브 기술에 대한 취약점을 지속적으로 연구하고 책임감 있는 공개를 제공하고 있습니다. 또한 즉시 사용 가능한 탐지 규칙으로 의심스러운 동작이 식별되면 사용자를 보호합니다.

머신 러닝은 비트코인 채굴기와 같은 도메인별 탐지를 처리하는 데 가장 적합합니다. 그들은 현재 99%의 정밀도로 암호 채굴자의 조기 발견을 위해 기계 학습을 사용하고 있습니다. 또한 프로세스 활동 원격 측정은 악의적인 동작을 정확하게 탐지하는 데 필요한 세부 수준을 제공합니다.

 

 

사용 중 위험 노출 시 우선 순위 지정

런타임에 15%의 취약성만 사용되고 있습니다. 사용 중인 위험 노출 필터를 사용하여 취약성, 구성, 권한 및 Kubernetes 네트워크 연결을 모니터링함으로써 사용자는 상위 위험을 식별할 수 있습니다. 사용자는 패키지를 사용하지 않을 때 조사할 필요가 없으므로 취약성당 1.5시간을 절약할 수 있습니다.

위험 스포트라이트는 실제 위험을 초래하는 몇 가지 취약성을 식별하여 노이즈를 제거합니다. 이것들은 런타임에 활성 패키지에 연결된 것들입니다. 이를 통해 취약성 노이즈를 최대 95%까지 줄일 수 있습니다.

 

 

고객 사용 사례

야후 재팬은 40,000개 이상의 쿠버네티스 노드를 보유하고 있습니다. Sysdig를 사용하여 CI/CD 파이프라인 및 런타임 환경에서 취약성을 분석하고 드리프트를 탐지 및 방지하고 규정 준수를 추적합니다.

글로벌 결제 프로세서는 AWS와 GCP 클라우드를 사용합니다. 이들은 Sysdig를 사용하여 사용자 클라우드 작업 로그를 기반으로 Kubernetes 런타임 보안 및 실시간 이상 징후 및 위협 탐지 기능을 제공합니다.

Goldman Sachs는 140,000개 이상의 Kubernetes 노드와 수천 개의 애플리케이션을 보유하고 있습니다. 이들은 Sysdig를 사용하여 Linux VM 및 컨테이너에 대한 엔드포인트 탐지 및 응답 기능을 제공하고 위협 탐지 및 보안 분석에 필요한 중요 런타임 데이터를 추출합니다. 

FINRA에는 3,000개 이상의 Fargate 작업과 EC2 호스트가 있습니다. 이들은 파이프라인 및 런타임 이미지 검색, Fargate 기반 애플리케이션의 위협 탐지 및 대응에 Sysdig를 사용합니다.