Threat Stack이 AWS Fargate에서 Amazon EKS를 쉽게 모니터링하는 방법
Threat Stack은 이제 F5 Distributed Cloud App Infrastructure Protection (AIP)입니다. 오늘부터 팀과 함께 분산 클라우드 AIP를 사용해 보세요.
이 글은 UI 및 에이전트 부문의 수석 기술 제품 관리자인 앰버 베누이와 AppSec 엔지니어링 부문 부사장인 사빈 토마스가 공동으로 작성한 블로그 게시물입니다.
Fargate란 무엇인가요?
AWS가 2017년에 출시한 Fargate는 서버나 가상 머신 클러스터를 관리할 필요 없이 컨테이너를 배포하고 실행할 수 있는 서버리스 컴퓨팅 엔진입니다. Fargate는 추가 인프라를 관리할 필요성을 없앰으로써 운영팀과 개발자가 자신이 가장 잘하는 일, 즉 애플리케이션 코드를 개발하고 배포하는 데 집중할 수 있도록 지원합니다.
Fargate를 사용하면 AWS, ECS, EKS 모두에서 컨테이너에 대해 적절한 크기의 온디맨드 컴퓨팅 용량을 프로비저닝할 수 있습니다. Threat Stack은 과거에 Fargate에서 ECS에 대한 가시성을 제공해 왔지만 이제는 Fargate에서 EKS에 대한 동일한 기능을 도입하게 되어 매우 기쁩니다. Threat Stack은 EKS와 ECS를 모두 포괄하는 몇 안 되는 클라우드 보안 공급업체 중 하나입니다. 작업 부하를 보호하고 악성 프로세스와 네트워크 활동을 찾아내 이러한 환경 내에서 데이터 유출과 같은 위협을 적극적으로 방지합니다. Threat Stack 에이전트를 사용하면 동서 및 남북 넷플로우를 모니터링하여 Fargate 환경에 대한 완전한 가시성을 확보할 수 있습니다. 이 블로그에서는 Fargate EKS에 대해 Threat Stack이 제공하는 탐지 기능을 종합적으로 살펴보겠습니다.
AWS Fargate에서 Amazon EKS를 사용해야 하는 이유는 무엇인가요?
Fargate에서 실행되는 Amazon EKS는 네이티브 Kubernetes를 실행하고 클러스터를 유지 관리하는 데 필요한 부담을 덜어내고자 하는 경우에 좋은 옵션입니다. Fargate는 머신 러닝 애플리케이션이나 마이크로서비스 아키텍처 애플리케이션 등 일반적으로 사용되는 모든 컨테이너 사용 사례를 지원합니다. 또한, 사용자 측에서 전체적인 제어가 필요하지 않은 애플리케이션은 EC2 인스턴스를 프로비저닝하거나 관리하지 않고도 컨테이너를 시작할 수 있으므로 Fargate에 적합한 후보입니다.
Fargate에서 EKS를 실행하면 Kubernetes와 환경의 기본 인프라를 유지 관리하는 데 드는 노력이 크게 줄어 DevOps와 보안을 위해 여러 부서를 운영하는 관리자에게 적합한 옵션입니다. 그러나 Fargate에서 EKS를 실행하면 보안 부담 중 일부가 AWS에 전가되지만 이 부담이 완전히 해결되는 것은 아닙니다. Fargate는 공유 보안 책임 모델을 클라우드 보안에서 클라우드 내부 보안으로 전환하기 때문입니다.
아래 그림과 같이, AWS는 AWS 클라우드에서 AWS 서비스를 실행하는 인프라를 보호할 책임을 맡습니다. Fargate EKS의 경우 AWS는 제어 평면 노드와 etcd 데이터베이스를 포함한 Kubernetes 제어 평면을 담당합니다.
AWS Fargate EKS는 고객 책임과 AWS의 책임을 보여주는 공유 책임 모델을 제공합니다.
AWS에 따르면 "보안과 규정 준수는 AWS와 고객이 공유하는 책임입니다. 이 공유 모델은 AWS가 호스트 운영 체제와 가상화 계층부터 서비스가 운영되는 시설의 물리적 보안까지 구성 요소를 운영, 관리 및 제어함에 따라 고객의 운영 부담을 덜어주는 데 도움이 될 수 있습니다." 결과적으로 Threat Stack은 공유 책임 모델을 염두에 두고 AWS 기능을 적용하는 것을 임무 수행에 중요한 요소로 만들었습니다. 따라서 Fargate EKS에서 네트워크 구성 및 애플리케이션 프로세스에 대한 완전한 가시성을 확보하기 위해 Threat Stack을 구성하는 작업은 공유 책임 모델의 '고객' 측면을 충족하면서 몇 분 안에 완료될 수 있습니다.
설치 및 구성
다음은 EKS Fargate의 샘플 애플리케이션에서 Threat Stack을 실행하는 방법에 대한 간단한 3단계 프로세스입니다.
1. 먼저, 애플리케이션 컨테이너와 Threat Stack 컨테이너 모두에서 액세스할 수 있는 Kubernetes 배포에 공유 볼륨을 마운트합니다.
2. 그런 다음 initContainer를 사용하여 기존 Kubernetes 배포를 업데이트하여 에이전트의 초기 계측을 허용합니다.
3. 마지막으로, 애플리케이션 컨테이너가 시작될 때 실행되는 Threat Stack 사이드카를 추가합니다.
AWS Fargate에서 Amazon EKS를 안전하게 모니터링하기 위해 Threat Stack 사용
Threat Stack 에이전트가 Fargate EKS에서 실행되는 애플리케이션에 배포되면 Threat Stack 플랫폼에 이벤트가 채워지고, 이러한 이벤트에 Threat Stack 관리 규칙을 적용하거나 사용자 지정 규칙을 만들 수 있는 기능이 제공됩니다.
Threat Stack은 Fargate EKS 환경에서 다음 활동에 대한 실시간 모니터링 및 감지 기능을 제공합니다.
- 대화형 세션
- SSHD 바이너리
- 데이터 유출 시도
- 예상치 못한 네트워크 연결
위협 스택 이벤트는 중요한 컨텍스트를 높은 수준에서 표면화하여 사용자가 프로세스와 네트워크 이벤트 메타데이터, 기간 및 특정 워크로드를 중심으로 포렌식 조사를 빠르게 수행할 수 있도록 합니다.
Fargate 프로세스 이벤트 요약 보기.
Threat Stack의 관리형 Fargate 규칙 세트 개요.
위협 스택 관리 규칙이나 사용자 정의 규칙과 일치하는 Fargate 프로세스나 NetFlow 이벤트는 환경에 대한 즉각적인 가시성을 제공하는 실행 가능한 알림을 생성합니다.
그룹 보기에서 위협 스택이 Fargate 경고를 감지했습니다.
AWS Fargate에서 Amazon EKS에 대한 Threat Stack 지원은 2021년 8월에 정식 출시될 예정입니다.
Threat Stack은 이제 F5 Distributed Cloud App Infrastructure Protection (AIP)입니다. 오늘부터 팀과 함께 분산 클라우드 AIP를 사용해 보세요.