Kubernetes의 클라우드 네이티브 애플리케이션에서는 실시간 침입 탐지 및 지속적으로 업그레이드 되는 위협을 사전에 차단하는 것이 어렵습니다. 포드의 일시적인 특성으로 인해 소스 또는 대상 앤드포인트를 결정하고 충격 (blast radius)을 제한하기 어렵습니다.
방화벽은 일반적으로 경계에서 공격을 차단하는 데 사용되었지만 그 경계가 침해되면 클러스터 내에서 보호할 수 없습니다. 이제는 컨테이너, Kubernetes 및 클라우드에 대한 침입 감지 및 방지에 대한 전문적인 접근 방식이 필요합니다.
위협 인텔리전스 피드 (Threat intelligence feed)는 알려진 악의적인 행위자의 IP 주소를 기록하고 추적합니다. 최신 클라우드 네이티브 보안의 중요한 부분이죠. Calico Cloud는 이제 위협 인텔리전스 피드를 제공합니다. 의심스러운 IP에 대한 트래픽은 차단됩니다. 또한 Calico UI의 이상 감지 대시보드는 관련된 포드를 포함하여 전체 컨텍스트를 보여주어 분석하고 수정할 수 있습니다.
Calico Cloud에 도입된 침입 탐지 및 방지를 위한 또 다른 방법은 DPI(심층 패킷 검사)입니다. DPI는 네트워크를 통해 전송되는 데이터를 자세히 검사하고 IP 기반 정보를 컨테이너 및 Kubernetes 고유 정보로 보강하여 실시간 침입 탐지 및 방지를 제공합니다. 보안 팀은 잠재적인 위협을 식별하기 위해 클러스터의 비정상적인 네트워크 트래픽에 대한 응답으로 DPI를 빠르게 실행할 수 있습니다. DPI는 또한 클러스터 리소스를 효율적으로 사용하고 오 탐지의 영향을 최소화하기 위해 일부 워크로드에 사용할 수 있습니다.
Calico Cloud는 Snort 커뮤니티 규칙을 사용하여 DPI를 수행하는 쉬운 방법을 제공합니다. 언제든지 DPI를 비활성화하고, 네임스페이스 및 앤드포인트에 대해 선택적으로 구성하고, Calico의 Manager UI에 있는 경고 대시보드에서 경고를 볼 수 있습니다.
DPI 및 위협 인텔리전스 피드가 Calico와 어떻게 작동하는지 살펴보겠습니다!
Threat intelligence feed위협 인텔리전스 피드
방화벽은 알려진 악의적인 행위자와 관련된 트래픽을 탐지하고 차단하는 경우가 많지만 어떤 포드가 감염되었는지에 대한 세부적인 가시성은 없습니다. Calico의 위협 피드는 악성 트래픽의 정확한 출처를 찾아 보고할 수 있습니다.
작동 방법
Calico Cloud는 알려진 악의적인 행위자의 IP 주소를 식별하는 위협 피드를 수집합니다. 해당 IP에 대한 모든 트래픽은 자동으로 차단되고 경고를 생성합니다. 클러스터를 Calico에 연결하면 해당 클러스터의 모든 워크로드가 송신 및 수신 트래픽을 차단할 수 있는 보안 정책으로 보호됩니다.
DPI (DeepPacketInspection)심층 패킷 검사
Calico Cloud는 Kubernetes 사용자 지정 리소스로 DPI를 제공합니다. 각 DPI 리소스(DeepPacketInspection)에 대해 Calico는 Snort 커뮤니티 규칙과 일치하는 패킷의 헤더 및 페이로드 정보를 검사하는 라이브 트래픽 흐름을 보여줍니다. 악의적인 활동이 의심될 때마다 Calico Cloud Manager의 경고 페이지에 경고가 자동으로 추가됩니다.
작동 방법
리소스(DeepPacketInspection)를 적용하면 데몬셋이 생성되고 DPI 포드가 각 노드에 배포됩니다. 사용자 지정 리소스(DeepPacketInspection)의 선택기와 일치하는 각 작업 부하 앤드포인트에 대해 Snort 프로세스가 시작되어 해당 인터페이스를 모니터링합니다.
위협 인텔리전스 피드 및 심층 패킷 검사는 다양한 유형의 위협에 빠르고 효율적으로 대응하고 해결하는 데 도움이 되는 중요한 도구입니다.
이제 Calico Cloud를 사용하여 악의적인 활동의 출처를 정확히 찾아내고, 머신 러닝을 사용하여 이상을 식별하고, 중요한 워크로드 주변에 더욱 강력한 보안 설정을 할 수 있습니다.