cloud security , container security , oracle cloud infrastructure container engine for kubernetes (OKE) , depth-in-defense ,

1. Cloud Security
발표자 : 김석 ( 김재벌 : Suk Kim )
SNS/E-mail : ostoneo@gmail.com
블로그 : 김재벌의 IT 이야기 ( http://blog.solaris.co.kr )
Nobreak.Co.,LTD / Oracle ACE Director

2. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• 김석 ( 김재벌 / Suk Kim )
– ㈜노브레이크 대표이사
– 한국클라우드컴퓨팅연구조합 (2016~현재)
– 정보통신산업진흥원 클라우드 GSIP 운영/보안 분야 멘토 (2017~현재)
– 안산대학교 IT응용보안과 겸임교수 (2012.2-2018.8)
– 한양사이버대학교 해킹보안과 교수(2015.2-현재)
– 다수의 기업 보안 컨설팅 및 국가 연구과제 수행
– 강의
• 국가기관 / 다수의 기업 및 대학 /교육센터 등 (22년 경력)
– 커뮤니티 활동
• 한국 솔라리스 사용자 그룹 회장
• 솔라리스 테크넷 / 솔라리스 스쿨 운영자
• 오라클 테크니컬 에반젤리스 ( ORACLE ACE Director ) 1/100
– 집필
• 테크넷과 함께 하는 엔터프라이즈 리눅스 1,2 등 다수의 서적 집필
About Speaker

3. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• 개인정보 유출
– 캐피털 원 ( Capital One ) 고객 정보 해킹 사건
– 미국 대형은행 중 하나인 “캐피털 원＂에서 약 1억 600만명의 고
객(미국인 1억명, 캐나다인 600만명) 개인정보 해킹
– 유출된 개인정보는 AWS에 저장되어 있고, 대부분 2005년 부터
2019년 초까지 신용카드를 신청한 고객들의 정보로, 성명, 주소,
우편번호,전호번호,생년월일,연간소득 등의 정보가 유출
– 캐피털원은 금융 클라우드의 성공사례로 소개된 만큼 충격이 큰
사건
– WAF(ModSecurity)설정 오류를 이용한 SSRF(Server Side Request
Forgery) 취약점을 이용한 공격
– 유출된 데이터에는 미국인 고객에 대한 약 14만개의 사회보장번
호와 약 8만개의 은행 계좌번호, 캐나다 신용카드 고객에 대한 약
1백만개의 사회 보장 번호가 포함
– 깃허브(github)에 고객정보 일부가 공유되고 있는 사실을 고객이
알려옴에 따라 확인
클라우드 보안 동향 및 사고사례

4. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• 개인정보 유출
– AWS S3 버킷 설정 오류
• 미국 유권자 1억 9천만명 개인정보 유출
– 2016년 선거 시즌 RNC(Repubican National Committee)
와 계약 맺은 딥 루트사는 유권자들의 데이터를 암호화
하지 않은 상태로 약 2주간 클라우드 기반 스토리지인
아마존 S3 서버에 저장, 노출된 상태로 방치
( 2017.6.20 )
• 미국 유권자 개인정보가 공개 ( 웹 서버 )
– RNC와 계약된 딥 루트는 6월 1일 부터 12일 동안 미국
유권자 개인정보를 암호화 하지 않은 상태로 방치
– 보안 업체 UpGuard의 사이버 분석가인 Chris Vickery는
약 1억 9천만 명의 유권자의 생일, 주소, 전화번호, 덩당
가입, 유권자 등록 상태 등 개인정보에 누구나 접근 가
능하다는 사실을 파악
• 미국 유권자 데이터베이스가 유출되어 개인정보보
호에 대한 우려제기
• 딥 루트는 개인정보 노출건에 대해 전적으로 책임진
다는 성명 발표
클라우드 보안 동향 및 사고사례

5. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• 정보 유출
– 미국 정보기관의 민감 파일이 암호화 없이 저장 , 노출
– 보안 업체 (Upguard), AWS서버에서 미군 프로젝트 관련 6만
개 문서 발견
– 미국 NGA (National Geospatial-Intelligence Agency)의 미
군 프로젝트에서 6만 개의 문서가 익명 계정 로그인을 통해
접속 가능한 Amazon 클라우드 스토리지 서버에서 저장되어
있음을 공개
– 암호화되지 않은 노출된 파일 약 28GB 정도
• 미국 정부 시스템, 국방성 시스템에 대한 접속 암호 및 고
위 직원에 보안 자격 증명
• 펜타곤 시스템에 대한 관리 접근 권한을 부여하는 마스터
자격증명
• 최고 기밀 정부 시설에 관리를 위해 계약된 업체의 평문
으로 저장된 접근 계정 및 컨설팅 업체(부즈앨런 사) 직원
의 SSH 키 존재
• 공격자가 별도의 해킹 없이 노출된 문서에 대한 최고 관
리자 계정을 획득 가능
클라우드 보안 동향 및 사고사례

6. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• 클라우드 자원 악용
– 테슬라 클라우드 서버 해킹
• 쿠버네티스 콘솔 노출
– 보안업체 RedRock CSI 연구팀 발견 ( AWS 쿠버네티스 포드 한 개에서 엑세스 자격 노출)
– 원격 측정 및 민감한 데이터가 담긴 웹 스토리지 서비스 역시 노출
• 암호화폐 채굴용으로 악용
클라우드 보안 동향 및 사고사례

7. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• 여러 계층으로 추상화 되고 다양한 파트(parts)로 이루어져 매우 복잡
– 컨테이너(container)
– 런타임 (run-time)
– 레지스트리(registry)
– 호스트/또는 게스트OS 오케스트레이션 엔진
(orchestration engine)
– 스토리지 시스템 (Storage System)
– 네트워크 오버레이 (network overlay)
– 컨테이너와 상호작용하는 기타 서비스와 리소스
(services and resource interact with container)
컨테이너 보안이 어려운 이유?

8. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• 커널 공유
• privileged mode로 컨테이너 구동
• 컨테이너로 무엇을 할 수 있을지에 대한 느슨한 접근 제어 정책
• 이미지 취약점
• 컨테이너 이미지 하드 코딩
• 컨테이너 환경을 위한 강력한 보안 솔루션 부족
• 컨테이너 스프롤 (Container Sprawl )
Top Security Challenges
보안에 관심있다 말하고, 실제 투자는 zero
개발자의 보안 개념 부재 및 보안을 어떻게 해야 하는지 방법을 모름

9. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• 도커 허브 상의 컨테이너는 안전하지 않다.
• 도커 허브의 약 1000개의 이미지의 20%는 취약
• 도커 허브의 약 1000개의 이미지는 root 패스워드가
부재
• 도커 허브의 top 10 이미지는 약 30여개 이상의 취약
점을 가짐
(ex : nodejs, nginx, Jenkins,postges 등)
Docker Hub 보안 이슈

10. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• 컨테이너 이미지들을 보안 관리
• 컨테이너 이미지 레지스트리 보안 관리
• Root 권한으로 컨테이너 구동 금지
• 컨테이너들의 리소스 제한
• 컨테이너 런타임 보안 관리
• API 와 네트워크 보안
• 호스트 보안
• 컨테이너 관리 오케스트레이션 (management orachestraion ) 보안 관리
Container Security Best Practices

11. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• Cound Native Compute Foundation (CNCF)를 관리를 위한 오케스트레이션 도구로 83%가
Kubernetes 를 활용한다는 설문 조사 결과.
Container Orchestration 시장 상황
• Kubernetes 를 어떻게 보안 할 것인가? Kubernetes Security Issue !!.

12. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE)
• 특징
• 쿠버네티스 기반의 컨테이너 오케스트레이션 서비스 ( 엔터프라이즈급 개발 친숙함)
• Fully managed
• CNCF 준수, 수정되지 않은 업스트립 kubernets 구현
• 통합된 프라이빗 레지스트리
• 모든 OCI 지역에서의 사용 가능
• 무엇이 장점인가?
• 빠른 마켓 진입
• 시간 절약
• 저렴한 비용
Introducing OKE

13. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• DIY Kubernetes VS Oracle Kubernetes Engine (Container Engine for Kubernetes)
– 장점
• 빠른 배포
• 신뢰도 향상
• 낮은 리스크
• 혁신 가속화
Introducing OKE

14. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• OKE Shared Responsibility Model
OKE Shared Responsibility Model

15. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• OKE Architecture
OKE High-level Architecture

16. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• Secure Infrastructure
– 인프라 컴플라이언스, 데이터 보안 , 운영 접근 보안 , 콘솔 & API 보안,
호스트보안, 네트워크 보안 , 데이터센터보안
• Resource Isolation
– Region(지역), Compartment(구획) , Availability Domain(가용도메인), Host(호스트)
• Security Controls
– OCI IAM policy , RBAC , Secure Key , 인증서 , 토큰 기반 클라스터 인증
Secure API server , Multi-factor Authentication (MFA)/OCI IAM
정시 CVE patches, OS updates , Kubernetes version upgrade
OKE Security Feature Categories

17. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• Network Security
– 퍼블릭 IP가 없는 작업노드 (worker node)
– 클러스터 트래픽을 내부 트래픽으로 만 제한 (NAT 및 서비스 게이트 웨이를 트래픽 라우팅 지원 포함)
– 네트워크 수신 및 송신에 대한 세부정책
– 프라이빗 서브넷의 프라이빗 로드밸런서
– 보안제어 및 트래픽 필터링을 위한 수신 컨트롤러
– OCI Web Application Firewall(WAF)
• Data Encryption
– KMS , TLS , 블록 및 오브젝트 스토리지 미사용 데이터 암호화, OCI 레지스트리 서비스에서 컨테이너 이미지
전송 중 미사용 암호화
• Visibility & Audit
OKE Security Feature Categories

18. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• Edge (엣지) 서버들은 공격자와 서버(orgin) 사이에 방어막으로 동작
심층방어 ( Defense in Depth )

19. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• 셋업 / 활성화는 수분내에 가능
• 하드웨어 및 소프트웨어의 설치 및 구성은 불필요
심층방어 ( Defense in Depth )

20. Copyright ⓒ 2019 NOBREAK All Rights Reserved
• 클라우드 우선 설계
• 큐레이트와 자동화된 보안 제어
Intelligent Edge Security

21. Always Free
Services you can use for unlimited time
30-Day Free Trial
Free credits you can use for more services
+oracle.com/gbtour
New Free Tier
Oracle Cloud Infrastructure