D05/Docker 보안 강화 - 보안 컨텍스트 유지 관리
OWASP(Open Web Application Security Project)은
인터넷 세상에서 발생가능한 가장 중요한 보안 취약점을 정리한 문서입니다.
Overview
Docker Container에 대한 OWASP TOP 10 보안 위협 중
다섯 번째 항목인 D05 - Maintain Security Contexts 대한 학습 내용을 담았습니다.
D01 ~ D04/Docker 보안강화[P1]에서 4가지 보안 관점을 배울 수 있었습니다.
OWASP 최소권한의 원칙에 맞춰서 공격 표면을 최소화 해야 한다. [P1-1]
OWASP 알려진 이슈(Known Vulnerabilities)를 정기, 긴급 패치해야 하며,
모니터링, 자동화, 롤백 전략 등이 구축되어야 한다. [P1-2]공개된 서버가 공격 표면으로 작용하여 전체 컨테이너를 위협할 수 있으며,
이에 따라서 Network, Ipatbles 등의 설정을 해야 한다. - [P1-3]컨테이너, 오케스트레이션 도구, 호스트 머신에 보안 기본 설정을 신경써야한다. [P1-4]
Maintain Security Contexts
앞선 내용들로 컨테이너의 격리 수준이 결코 안전하지 않으며 공격 표면을 최소화화는 것으로 보안이 시작됨을 배웠습니다.
동일한 맥락에서 보안 컨텍스트라는 것은
서로 다른 목적을 가진 컨테이너가 단일 호스트에 모이는 것은 옳지 않다 임을 의미합니다.
크게 방법론이 있는 것이 아니라,
그냥 다른 호스트에 분할해서 배포해야 하는 것이기에,
그 대상이 되는 사례들만 리스트업 하는 것으로 마무리하겠습니다.
서로 다른 운영환경이 한 호스트에 있을 경우
서로 다른 서비스(DB, Middleware, Authentication, FE, K8s Control Plane)가 한 호스트에 있는 경우
다만 비용적인 이유를 무시할 수 없기 때문에
비용 목표, 보안 목표를 적절히 트레이드하는 계획 설정이 필요하다고 생각했습니다.