조직이 쿠버네티스, 보다 광범위하게는 클라우드 네이티브 기술에서 가치를 얻을 수 있는 능력은 보안에 대한 우려로 인해 방해를 받고 있습니다. 가장 큰 우려 사항 중 하나는 현재 업계에서 가장 큰 문제 중 하나인 소프트웨어 공급망 보안을 반영합니다.
레드햇의 "2023년 Kubernetes 보고서 현황"는 것을 발견 쿠버네티스 보안 일부 회사에서 문제입니다. 전 세계의 DevOps, 엔지니어링 및 보안 전문가를 대상으로 한 설문 조사에 따르면 응답자의 67%는 Kubernetes 보안 문제로 인해 배포가 지연되거나 느려졌으며 37%는 컨테이너/Kubernetes 보안 사고로 인해 수익 또는 고객 손실을 경험했으며 38%는 보안을 컨테이너 및 Kubernetes 전략의 주요 관심사로 꼽았습니다.
소프트웨어 공급망은 점점 더 공격을 받고 있으며 Kubernetes 상점은 열기를 느끼고 있습니다. 가장 우려되는 특정 소프트웨어 공급망 보안 문제가 무엇인지 묻는 질문에 Red Hat 설문 조사 응답자는 다음과 같이 언급했습니다.
- 취약한 애플리케이션 구성 요소(32%)
- 불충분한 액세스 제어(30%)
- 소프트웨어 재료 명세서(SBOM) 또는 출처 부족(29%)
- 자동화 부족(29%)
- 감사 가능성 부족(28%)
- 안전하지 않은 컨테이너 이미지(27%)
- 일관성 없는 정책 시행(24%)
- CI/CD 파이프라인 약점(19%)
- 안전하지 않은 IaC 템플릿(19%)
- 버전 제어 약점(17%)
이러한 우려는 응답자들 사이에서 충분히 근거가 있는 것으로 보이며, 절반 이상이 거의 모든 문제, 특히 취약한 애플리케이션 구성 요소 및 CI/CD 파이프라인 약점에 대한 직접적인 경험이 있다고 언급했습니다.
이러한 문제에는 중복되는 부분이 많지만 조직은 신뢰할 수 있는 콘텐츠라는 한 가지에 집중함으로써 모든 문제에 대한 우려를 최소화할 수 있습니다.
점점 더 많은 조직이 클라우드 네이티브 개발에 오픈 소스 코드를 사용함에 따라 콘텐츠를 신뢰할 수 있는 능력이 점점 더 어려워지고 있습니다. 애플리케이션 코드의 XNUMX/XNUMX 이상 오픈 소스 종속성에서 상속되며 코드가 애플리케이션 및 플랫폼 보안을 강화하고 확장하여 컨테이너 오케스트레이션 플랫폼에서 최대한의 가치를 얻는 데 핵심임을 신뢰합니다.
실제로 조직은 제품 및 서비스를 구축하는 데 사용되는 코드를 신뢰할 수 있지 않는 한/그 때까지 신뢰할 수 있는 제품 및 서비스를 만들 수 없습니다. 소프트웨어 BOM은 코드의 출처를 확인하는 데 도움이 되도록 설계되었지만 단독으로 사용해서는 안 됩니다. 오히려 SBOM은 신뢰할 수 있는 콘텐츠를 핵심으로 하는 소프트웨어 공급망을 보호하기 위한 다각적인 전략의 일부로 간주되어야 합니다.
어떤 SBOM도 섬이 아닙니다
SBOM은 개발자가 활용하는 구성 요소에 대해 정보에 입각한 결정을 내리는 데 필요한 정보를 제공합니다. 이는 개발자가 애플리케이션을 구축하기 위해 여러 오픈 소스 리포지토리 및 라이브러리에서 가져오기 때문에 특히 중요합니다. 그러나 SBOM이 있다고 해서 무결성이 보장되는 것은 아닙니다. 우선, SBOM은 최신 상태이고 검증 가능할 때만 유용합니다.. 또 다른 예로, 소프트웨어의 모든 구성 요소를 나열하는 것은 첫 번째 단계일 뿐입니다. 구성 요소를 알게 되면 해당 구성 요소에 대해 알려진 문제가 있는지 확인해야 합니다.
개발자는 선택한 소프트웨어 구성 요소에 대한 선행 품질 및 보안 정보가 필요합니다. 소프트웨어 공급자와 소비자는 모두 출처 확인을 통해 검증되고 입증된 선별된 빌드와 강화된 오픈 소스 라이브러리에 집중해야 합니다. 디지털 서명 기술은 공용 저장소에서 최종 사용자 환경으로 이동하는 동안 소프트웨어 아티팩트가 어떤 식으로든 변경되지 않도록 하는 데 중요한 역할을 합니다.
물론 이 모든 것을 갖추고 있어도 취약점이 발생합니다. 그리고 소프트웨어 개발자 전체에서 식별된 많은 수의 취약점을 고려할 때 팀이 알려진 취약점의 실제 영향을 평가하는 데 도움이 되는 추가 정보가 필요합니다.
VEX-ing 문제
일부 문제는 다른 문제보다 더 큰 영향을 미칩니다. 이것이 바로 VEX(Vulnerability Exploitability eXchange)가 등장하는 이유입니다. 기계 판독이 가능한 VEX 문서를 통해 소프트웨어 공급자는 사전 예방적이고 자동화된 취약성 분석 및 알림 시스템을 사용하여 제품의 종속성 내에서 발견된 취약성의 악용 가능성을 보고할 수 있습니다.
VEX는 취약성 데이터 및 상태를 제공하는 것 이상입니다. 여기에는 악용 가능성 정보도 포함됩니다. VEX는 다음 질문에 답하는 데 도움이 됩니다. 이 취약점이 적극적으로 악용되었습니까? 이를 통해 고객은 문제 해결의 우선 순위를 지정하고 효과적으로 관리할 수 있습니다. 예를 들어 Log4j와 같은 것은 즉각적인 조치가 필요한 반면, 알려진 익스플로잇이 없는 취약점은 기다릴 수 있습니다. 패키지가 존재하지만 사용 또는 노출되지 않았는지 여부를 결정하여 추가 우선 순위 결정을 내릴 수 있습니다.
증명: 대변의 세 번째 다리
콘텐츠에 대한 신뢰를 얻으려면 SBOM 및 VEX 문서 외에도 패키지 증명이 필요합니다.
사용 중인 코드가 보안 원칙을 염두에 두고 개발, 조정 및 구축되었으며 출처 및 콘텐츠를 확인하는 데 필요한 메타데이터와 함께 제공된다는 사실을 알아야 합니다. SBOM과 VEX 문서가 모두 제공되면 취약성 스캐너를 실행할 필요 없이 알려진 취약성을 평가 중인 패키지의 소프트웨어 구성 요소에 매핑할 수 있습니다. 패키지 및 관련 메타데이터의 증명에 디지털 서명을 사용하면 콘텐츠가 전송 중에 변경되지 않았는지 확인할 수 있습니다.
결론
언급된 표준, 도구 및 모범 사례는 DevSecOps 모델과 일치(및 보완)하며 Kubernetes가 지원하는 빠른 배포 속도와 함께 발생하는 보안 문제를 완화하는 데 큰 도움이 될 것입니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- :있다
- :이다
- :아니
- :어디
- $UP
- a
- 능력
- 소개
- ACCESS
- 동작
- 활발히
- 실제
- 또한
- 추가
- 추가 정보
- 일직선으로하다
- 서로 같은
- All
- 또한
- 변경
- 중
- an
- 분석
- 및
- 다른
- 답변
- 어떤
- 어플리케이션
- 어플리케이션
- 있군요
- 약
- AS
- 평가하다
- 관련
- At
- 자동화
- 자동화
- 기반으로
- BE
- 된
- 존재
- 유익한
- BEST
- 모범 사례
- 그 너머
- 가장 큰
- 지폐
- 두
- 대체로
- 빌드
- 빌드
- 내장
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- CAN
- 체인
- 과제
- 도전
- 확인하는 것이 좋다.
- 암호
- 왔다
- 제공
- 기업
- 보어
- 구성 요소들
- 관심
- 관심
- 우려 사항
- 고려
- 소비자
- 컨테이너
- 함유량
- 제어
- 컨트롤
- 핵심
- 코스
- 만들
- 기획
- Current
- 고객
- 고객
- 데이터
- 날짜
- 거래
- 결정
- 지연
- 전달
- 전개
- 설계
- 결정
- 결정
- 개발
- 개발자
- 개발
- 디지털
- 문서
- 선적 서류 비치
- 서류
- 하지
- 두
- 효과적으로
- 수
- end
- 시행
- 만들어 내다
- 엔지니어링
- 확인
- 보장
- 환경
- 특히
- 평가
- 조차
- 예
- 교환
- 존재
- 경험
- 경험
- 공적
- 악용
- 드러난
- 확장자
- finds
- 화재
- 먼저,
- 초점
- 럭셔리
- 발견
- 에
- 이득
- 획득
- 점점
- 주어진
- 공
- Go
- 간다
- 큰
- 큰
- 반
- 손
- 발생
- 모자
- 있다
- 도움
- 도움이
- 그러나
- HTTPS
- 확인
- 형상
- 즉시
- 영향
- 중대한
- in
- 사건
- 포함
- 더욱 더
- 산업
- 정보
- 정보
- 보전
- 격리
- 문제
- IT
- JPG
- 키
- 알아
- 알려진
- 넓은
- 레버리지
- 도서관
- 처럼
- 리스팅
- 로그4j
- 긴
- 오프
- 만든
- 확인
- 관리
- 지도
- 재료
- 말하는
- 메타 데이터
- 수도
- 신경
- 모델
- 배우기
- 가장
- 여러
- 거의
- 필요
- 필요
- 유명한
- 공고
- 지적
- 숫자
- of
- on
- 일단
- ONE
- 만
- 열 수
- 오픈 소스
- or
- 오케스트레이션
- 조직
- 기타
- 평화
- 꾸러미
- 패키지
- 부품
- 조각
- 관로
- 장소
- 플랫폼
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 재생
- 정책
- 사례
- 제시
- 원칙
- 우선 순위
- 우선 순위
- 사전
- 제품
- 전문가
- 기원
- 제공
- 제공
- 제공
- 제공
- 공개
- 품질
- 문제
- 빠른
- 차라리
- RE
- 빨간색
- 레드햇
- 반영하다
- 의지하다
- 신고
- 저장소
- 필수
- 응답자
- 수익
- 직위별
- 달리기
- s
- 안전해야합니다.
- 확보
- 보안
- 보다
- 선택
- 서비스
- 세트
- 상점
- 영상을
- 서명
- 소프트웨어
- 소프트웨어 개발자
- 일부
- 무언가
- 출처
- 소스 코드
- 구체적인
- 기준
- 주 정부
- Status
- 단계
- 전략들
- 전략
- 공급
- 공급망
- 설문조사
- 시스템은
- 팀
- Technology
- 템플릿
- 보다
- 그
- XNUMXD덴탈의
- 정보
- 그들의
- 그들
- 그곳에.
- Bowman의
- 그들
- 맡은 일
- 제삼
- 이
- 그
- 도처에
- 강화
- 에
- 검색을
- 상단
- 방향
- 운송
- 믿어
- 신뢰할 수있는
- 신뢰
- 2/3
- 아래에
- 사용
- 익숙한
- 사용자
- 사용
- 가치
- 확인
- 확인
- 대단히
- 를 통해
- 취약점
- 취약점
- 취약
- 기다리다
- 영장
- 방법..
- 했다
- 언제
- 이므로
- 여부
- 어느
- 동안
- 의지
- 과
- 이내
- 없이
- 겠지
- 자신의
- 제퍼 넷