Vault Radar vs Trivy

클라우드, 컨테이너 환경에서 시크릿 키 유출은 매년 20%씩 급증하고 있습니다.
GitGuardian 2023 [1][2]에서는 총 10억 건의 유출 사고가
GitGuardian 2024 [3][4]에서는 벌써 12억 건의 유출 사고가 보고되어 있습니다.

(주) CarrieVerse.에서는 이런 문제를 식별 및 해결하기 위해
HashiCorp의 Vault Radar [5][6], AquaSecurity의 Trivy [7][8]을 검토했습니다.

이 내용으로 스타트업 엔지니어 분들이 보안 강화를 할 수 있으면 좋겠습니다.

0. 결과

비교군의 지원 기능이 다르기에 전체 요구사항에 따라 결정하면 될 것 같습니다.

  1. 시크릿 감지 부분은 Vault Rdara CLI가 성능, 속도, 사용성 부분에서 편리합니다.

  2. CVE 감지 부분은 Trivy CLI만 지원하고 있습니다.

항목

Vault Radar CLI

Trivy CLI

시크릿 감지

지원

지원

CVE 감지

미지원

지원

내장 대시보드

지원

미지원

타사와의 통합

편리함

불편함

시크릿 감지만 한다고 했을 때,
성능, 속도, 사용성 및 타사와의 통합 등은 HCP Vault Radar가 월등히 좋습니다.

작성일 기준으로 무료로 사용할 수 있으니 PoC를 해봐도 좋을 것 같습니다.

0-1. 아쉬운 점

다만 둘 모두가 랜덤 문자열, 암호화 문자열, AI 모델*, 컨트렉트* 등은 감지하지 못했습니다. 추가적인 패턴 등록 없이 아래 케이스가 감지되면 좋을 것 같습니다.

암호화 문자열* : base32, base64, sha-1, sha-256, sha3-256, …
AI 모델* : .pt, .pth, .h5, …
블록체인 컨트렉트* : 0xDmasnk, aF41, …

1. 시크릿 감지 비교 : Vault Radar vs Trivy

총 10 종류의 비교군 테스트 [E1] 진행하였으며,
범위, 성능, 속도 및 사용성 측면에서 Vault Radar CLI가 월등히 뛰어납니다.

  1. Vault Radar CLI가 더 넓은 범위를 탐지합니다.

    Trivy CLI는 password라는 키워드를 탐지하지 않으나
    Vault Radar CLI는 password가 포함된 문자열을 모두 탐지합니다.

  2. Vault Radar CLI가 더 높은 성능 및 속도를 보여줍니다.

    1. 전체적으로 Vault Radar CLI가 PEM, Credentials, Password를 예외없이 탐지하였으나, Trivy CLI는 그렇지 않습니다.

      Trivy CLI는 aws_access_key_id = AKI… 만 감지하였으나
      Vault Radar CLI는 AKI… 만 기록되어 있어도 감지가 됩니다.

    2. 전체적으로 Vault Radar CLI가 1600만개 탐지에 87배 이상 빨랐습니다.

  3. 둘 모두 6-7 가지 사레를 탐지하지 못함이 아쉬웠습니다.

아래는 정리한 내용이며 실제 테스트 파일은
Sarif 뷰어 [T1]Trivy 테스트 [E4], Vault Radar 테스트 [E5] 참고해주세요.

No.

Option

Trivy

Vault Radar

1

API Key
(aws, gcp, ncp, azure)

제한된 형태만 감지*

대다수의 형태를 감지*

2

X.509
(key, csr, crt key)

key 만 감지

key 만 감지

3

RSA, ED25519
(priv, pub key)

priv 만 감지

priv 만 감지

4

Encoded String
(base32, base64)

-

-

5

MD5, SHA-1, SHA-256, SHA3-256, PBKDF2

-

-

6

Random String

-

-

7

DB Params
(MongoDB, RDS)

-

특정한 키만 감지*
(e.g. password)

8

AI Model

-

-

9

Blockchain Contract

-

-

10

PCI-SSC
(Name, ID, Passport)

-

-

2. Secret, CVE Detect 기능 비교

Trivy 사용 사례[E2]Vault Radar 사용 사례[E3]에서 각 항목을 확인하였습니다.
전체적으로 Trivy의 감지 범위가 더 넓은 부분을 볼 수 있습니다.

종류

옵션

Vault Radar

Trivy

시크릿

파일시스템 검사

지원

지원

시크릿

Git 저장소 검사

지원

지원

시크릿

컨테이너 이미지 검사

지원

지원

CVE

CVE 검사

미지원

지원

CVE

Kubnetes CVE 검사

미지원

지원

CVE

Virtual Machine 검사

미지원

지원

CI/CD, 컨테이너부터 오케스트레이션 환경까지
제품 개발 및 배포 과정 전체는 공급망 체인 취약점[9]에 노출되어 있습니다.
이들은 알려진 보안취약점(CVE)[10][11]들을 수없이 가지고 있어서 위험합니다.

취약점이 악용(Exploit)되는 사례를 방지하기 위해서는
공격표면을 최소화하기 위한 모범사례의 감사가 필요하고 이는 Trivy(혹은 Kyvreno)로 보완할 수 있어 보입니다.

3. 대시보드 기능 비교

Vault Radar가 자체 대시보드[12]를 가지고 있어서 사용성 측면에서 좋습니다.

  • 시간대별, 데이터소스별 유출 현황을 위험도 시간 순 등으로 볼 수 있음

  • 감지된 Secret 들에 대한 코드리뷰가 가능함

  • 편리하게 타사 제품과의 통합을 연동할 수 있음

Trivy는 추가적으로 Trivy Operator[13]와 시각화 툴을 추가해야합니다.

  • Trivy Operator Metrics와 Prometheus, Grafana[14][15] 연동

  • Trivy Operator Metrics와 Trivy Operator Lens Extension[16] 연동

  • Trivy 데이터를 PostgreSQL로 전송[17] 후 SuperSet에 연동[18]

4. 타사 제품과의 통합

Vault Radar가 자체 대시보드[12]에서 통합을 지원하고 있어 편리합니다.
Trivy 또한 GitHub Actions 등에서 통합을 지원하고 있어 편리하게 사용 가능합니다.
(e.g. Jira 이슈 자동 발행, 슬랙 알림 발송 등)

Ref. (24)

  • Ref. Example. (5)

  • Ref. Tech. (1)

  • Ref. Post. (18)

Ref. Example. (5)

Ref. Tech. (1)

Ref. Post. (18)

Share article

Unchaptered