컨테이너 보안

컨테이너 보안

Docker, Kubernetes 등 컨테이너 환경의 이미지, 런타임, 오케스트레이션 계층을 보호하는 보안 실천

특징: 경량/빠른 배포, 공격 표면 최소화, DevSecOps 통합

구성요소: 이미지 보안, 런타임 보안, 네트워크 정책, 오케스트레이션 보안(Kubernetes)

기술요소: 이미지 스캔(Trivy/Clair/Anchore), 런타임 보호(Falco/Sysdig), 네트워크 정책(NetworkPolicy), 시크릿 관리(Vault), RBAC(Kubernetes RBAC), Admission Controller(정책 검증)

위협: 취약한 이미지, 과도한 권한(privileged 컨테이너), 시크릿 노출, 컨테이너 탈출(Escape), 공급망 공격

대응: 최소 권한 이미지(Distroless), 이미지 스캔(CI/CD 통합), 런타임 모니터링, 네트워크 세그먼테이션, 시크릿 암호화, Admission Controller(정책 강제)

4C 모델: Cloud(인프라) → Cluster(K8s) → Container(컨테이너) → Code(애플리케이션)

적용사례: Kubernetes 클러스터 보안, CI/CD 파이프라인 보안, 마이크로서비스 보안

비교: VM(격리 강함/무거움) vs 컨테이너(격리 약함/가벼움/공유 커널)

연관: DevSecOps, Kubernetes, 공급망 보안, 런타임 보호