다음을 통해 공유

카탈로그 단계 개요

  • 아티클

내부 사용을 위해 컨테이너 이미지 카탈로그를 빌드하는 것은 컨테이너에 대한 공급망의 두 번째 단계입니다. 획득 단계에서 특정 품질 검사 전달하는 컨테이너 이미지는 내부 레지스트리에서 호스트됩니다. 내부 팀이 엔터프라이즈 애플리케이션 및 서비스에 필요한 승인된 이미지를 쉽게 검색하고 사용할 수 있도록 컨테이너 이미지를 카탈로그화해야 합니다. 또한 카탈로그의 컨테이너 이미지는 지속적으로 취약성 및 맬웨어를 검사하여 최신 보안 요구 사항을 충족하는지 확인합니다.

Microsoft의 CSSC(Containers Secure Supply Chain) 프레임워크는 컨테이너 이미지를 카탈로그화할 필요성을 식별하고 카탈로그에서 컨테이너 이미지를 안전하게 호스트하는 데 도움이 되는 모범 사례 및 도구 집합을 제공합니다. 이 문서에서는 CSSC 프레임워크의 카탈로그 단계에 사용할 수 있는 목표, 모범 사례 및 도구에 대해 알아봅니다.

배경

현재 기업은 다양한 방법을 사용하여 컨테이너 이미지를 관리합니다. 엔지니어가 사용 가능한 컨테이너 이미지를 검색하고 엔터프라이즈 내의 보안 상태 및 액세스 수준 제한을 이해하는 것은 어려운 일입니다. 일부 기업은 엔지니어가 사용 가능한 컨테이너 이미지를 검색할 수 있도록 레지스트리 위에 자체 포털을 빌드합니다. 또한 일부 기업에서는 엔지니어가 외부 레지스트리에서 직접 컨테이너 이미지를 사용하지 못하도록 제한하는 방화벽 제한 및 정책을 적용합니다.

CSSC 프레임워크의 카탈로그 단계에서는 컨테이너 이미지를 검색하고 지속적으로 모니터링하여 보안을 보장하기 위해 구현해야 하는 일련의 단계 및 보안 제어를 권장합니다.

가능한 경우 내부 팀에서 내부 카탈로그의 컨테이너 이미지를 사용하는 것이 좋습니다. 기업에서 이 작업을 수행할 수 없는 경우 컨테이너 이미지 카탈로그에 대해 다음 방법을 사용하는 것이 좋습니다.

  • 내부 팀이 엔터프라이즈 애플리케이션 및 서비스에 필요한 승인된 이미지를 쉽게 검색하고 사용할 수 있도록 골든 이미지를 카탈로그화합니다.
  • 컨테이너 이미지에서 취약성 및 맬웨어를 지속적으로 검사하고, 보고서를 생성하고, 보고서에 서명하여 신뢰성과 무결성을 보장합니다.
  • 카탈로그 이미지의 수명 주기를 모니터링하고 지원되지 않는 이미지를 사용 중지합니다.

컨테이너 이미지 카탈로그에 대한 워크플로

CSSC 프레임워크는 컨테이너 이미지를 카탈로그화하고, 컨테이너 이미지, 내부 레지스트리에 대한 보안을 보장하고, 내부 사용을 위해 컨테이너 이미지를 허용하는 데 도움이 되는 다음 워크플로를 권장합니다. 컨테이너 이미지 카탈로그에 대한 워크플로는 다음을 수행합니다.

  1. 내부 스테이징 레지스트리에서 품질 검사 및 관련 메타데이터를 전달하는 컨테이너 이미지를 호스팅합니다.
  2. 내부 팀이 엔터프라이즈 애플리케이션 및 서비스에 필요한 승인된 이미지를 쉽게 검색하고 사용할 수 있도록 컨테이너 이미지를 카탈로그로 작성합니다.
  3. 취약성 및 맬웨어 검사를 정기적으로 예약하고 취약성 및 맬웨어 보고서를 생성합니다.
  4. 무결성을 보장하고 내부 사용을 위해 신뢰할 수 있는 승인 스탬프를 제공하기 위해 엔터프라이즈 키를 사용하여 보고서에 서명합니다.
  5. 카탈로그에서 컨테이너 이미지의 수명 주기를 모니터링하고 지원되지 않는 이미지를 사용 중지합니다.

카탈로그 단계의 보안 목표

컨테이너 이미지 카탈로그에 대해 잘 정의된 워크플로를 사용하면 기업이 보안을 강화하고 컨테이너에 대한 공급망의 공격 노출 영역을 줄일 수 있습니다. CSSC 프레임워크의 카탈로그 단계는 다음 보안 목표를 충족하기 위한 것입니다.

외부 종속성으로 인한 공격 노출 영역 줄이기

컨테이너 이미지를 사용할 수 없거나 찾기 어려운 경우 내부 팀은 외부 레지스트리에서 직접 컨테이너 이미지를 사용하도록 선택하여 악의적인 컨테이너 이미지와 같은 공격에 노출할 수 있습니다.

이러한 위험을 해결하기 위해 CSSC 프레임워크의 카탈로그 단계에서는 내부 팀이 엔터프라이즈 애플리케이션 및 서비스에 필요한 승인된 이미지를 쉽게 검색하고 사용할 수 있도록 카탈로그 골든 이미지를 권장합니다. 또한 내부 팀 사용에 따라 획득 단계의 이미지를 지속적으로 추가합니다.

보안 결함 발생 위험 최소화

카탈로그의 컨테이너 이미지는 오래되었거나 패치가 적용되지 않게 될 수 있으므로 보안 취약성 및 맬웨어를 엔터프라이즈 애플리케이션에 도입할 수 있는 이미지를 실수로 사용할 위험이 높아집니다.

이러한 위험을 해결하기 위해 CSSC 프레임워크의 카탈로그 단계에서는 컨테이너 이미지에서 취약성 및 맬웨어를 지속적으로 검사하고 표준 형식으로 보고서를 생성하는 것이 좋습니다. 이렇게 하면 소프트웨어 공급망의 후속 단계에서 사용하기 전에 보고서의 유효성을 검사할 수 있습니다.

Microsoft는 기업이 카탈로그 스테이지 워크플로에서 권장되는 단계를 구현하고 위에 나열된 보안 목표를 해결하는 데 도움이 되는 도구 및 서비스 세트를 제공합니다.

컨테이너 이미지를 호스팅하기 위한 서비스

ACR(Azure Container Registry )은 컨테이너 이미지 및 기타 클라우드 네이티브 아티팩트의 배포를 지원하는 관리형 OCI 규격 레지스트리입니다. ACR은 최신 OCI 사양을 준수하며 공급망 아티팩트를 저장하는 데 사용할 수 있습니다.

취약성 검사 도구

클라우드용 Microsoft Defender 컨테이너화된 워크로드의 보안을 개선, 모니터링 및 기본 위해 클라우드 네이티브 솔루션입니다. 클라우드용 Microsoft Defender Azure Container Registry에 저장된 이미지에 대한 취약성 평가 및 관리 도구를 제공합니다.

이미지의 신뢰성을 보장하기 위한 도구

공증 프로젝트는 소프트웨어 아티팩트 서명 및 확인을 위한 사양 및 도구를 개발하는 Microsoft 지원 CNCF 프로젝트입니다. 공증 프로젝트의 notation 도구를 사용하여 엔터프라이즈 키를 사용하여 컨테이너 이미지 및 기타 클라우드 네이티브 아티팩트 서명할 수 있습니다.

다음 단계

컨테이너 이미지를 안전하게 빌드하기 위한 빌드 단계의 개요를 참조하세요.