넷스케이프라는 툴을 기억하는가? 기억한다면 아재라 불릴만한 세대이다. 넷스케이프가 네트워크 상의 여러가지 정보들을 찾아다닌다면 쿠버네티스 환경에서 내부의 정보들을 누비고 다닐듯한 이름인 kubescape라는 오픈소스가 있어 이를 자세히 들여다 보고자 한다.

넷스케이프는 최초의 대중적 인터넷 브라우저의 이름이자 이를 유지보수하던 회사의 이름이기도 했다. 마이크로소프트의 인터넷 익스플로러 끼워팔기로 입지를 잃으면서 점유율이 급격히 하락하였고 결국 회사는 파산하였다. 추후 마이크로 소프트가 반독점 금지법에 걸리고 잘못한 것으로 판결받았으나 넷스케이프는 이미 역사속으로 사라진 후 였다. :(

kubescape?

kubescape는 DevOps를 위한 kubernetes용 보안 플랫폼이다. NSA/CISA의 ‘쿠버네티스 보안강화지침(kubernetest hadrdening guidance)’에 맞게 안전하게 배포되었는지 테스트하는 도구로 단일 yaml파일부터 클러스터 단위의 테스트를 수행한다. 또한 그 결과로 JSON 형태의 출력을 하여 이를 기반으로 CI를 비롯한 다른 시스템의 연동이 용이하다.

쿠버네티스 보안강화지침의 주요 내용

• 취약점 또는 잘못된 구성을 찾기 위해 컨테이너와 포드 스캔하기
• 최소한의 권한으로 컨테이너와 포드 실행하기
• 네트워크를 분리하여 발생할 수 있는 데미지를 제어하기
• 방화벽을 사용해서 필요없는 네트웍 연결을 제한하고, 암호화하기
• 강력한 인증 및 권한관리를 통해서 사용자 및 관리자의 접근을 제한하고, 공격 표면(Attack Surface)을 한정시키기.
• 관리자가 활동을 모니터링하고, 잠재적인 위험 동작에 대해 경고할 수 있도록 Log Auditing 사용하기
• 정기적으로 모든 k8s 설정을 검토하고, Vulnerability 스캔을 사용해서 위험 방지및 보안 패치가 적용되었는지 확인하기

kubescape의 핵심가치

• 쿠버네티스 상에서 잘못된 설정정보나 취약점을 감지
• 이를 수치화해서 위험정도를 체크하고 과거의 수치들을 기반으로 경향도 파악
• 실시간 설정변경파악
• 특정 기준(NSA, Mitre, Devops best practice)을 준수하도록 프레임 워크들 제공하고 사용자화도 할수 있음
• 예외관리를 통해 무분별한 알람발생 제어
• 다양한 devops 도구들고 연동 (Jenkins, CircleCI, Github workflows, Gitlab, Prometheus, Slack,…)
• 사용하기 쉬운 cli 제공과 유연한 결과출력 조정 (json, junit xml..)
• 쿠버네티스의 상태와 정책의 준수를 보여주는 ui
• 복구지원 - 장애지정과 원인을 알려주고 자원 선택시 crd에서 문제를 일이킨 지점으로 이동
• 이미지 스캔 - 취약점을 보여주는데 편리하게 정령이나 필터등 가능
• RBAC 생성지원 - 시각화 지원을 통해 클러스터에 추가되는 rbac의 복잡도를 줄여줌

내부동작