메가 슬롯에 대한 기밀 정보 보호 용
Kubernetes 클러스터 모니터링 및 로그 관리 도전

메가 슬롯는 2013 년 2 월에 "새로운 가치를 창출하는 글로벌 시장 창조"라는 사명으로 설립되었습니다. 회사가 운영하는 벼룩 시장 앱인 메가 슬롯는 유사한 서비스의 대표가되기 위해 성장했습니다. 2019 년 2 월, 자회사 인 Merpay는 비접촉식 결제 서비스 인 Merpay를 제공하기 시작했습니다. 이러한 서비스의 개발을 통해 우리는 제한된 자원을 순환하여보다 번영하는 사회를 창출하는 것을 목표로합니다.

원래 메가 슬롯는 모 놀리 식 아키텍처로 서비스 플랫폼을 만들었습니다. 그러나 서비스의 수가 증가하고 많은 사람들이 동시에 발전하기 시작함에 따라 생산성 향상이 더욱 어려워졌습니다. 따라서 2017 년 말에 회사는 메가 슬롯를 마이크로 서비스로 전환하기로 결정했습니다. 이 회사는 GCP (Google Cloud Platform)를 클라우드 인프라로 채택했으며 GKE (Google Kubernetes Engine)를 컨테이너 관리 도구로 채택했으며 점차 마이크로 서비스 아키텍처로 이동했습니다.

이에 따라 마이크로 서비스의 변환으로 인해 개발 조직이 변화하는 방식과 백엔드 엔지니어는 개발에서 운영에 이르기까지 모든 것에 책임이 있습니다. 결과적으로 개발자가 인프라와 상호 작용할 수 있다고 가정하면 새로운 보안 조치가 필요했습니다. 여러 마이크로 서비스가 Kubernetes 클러스터에서 실행됩니다. 따라서 각 마이크로 서비스가 영향을 미치는 정도를 최소화해야합니다.

Mercari는 일반적으로 현재 상태 인 Kubernetes는 기본 제품에 의해 안전하지 않으며 컨테이너간에 커널을 공유하는 특성으로 인해 보안 위험을 신중하게 고려해야하는 제품이라고 생각합니다. Mercari는 조치를 취하고 있지만 Kubernetes를 기본 환경으로 사용하는 경우 권한을 쉽게 확대 할 수있는 기능과 같은 문제가 있습니다. 이와 관련하여 보안 엔지니어링 팀의 수즈와 유키 (Suezawa Yuki)는 "우리가 예방하고자하는 공격은 중요한 장치의 외부 또는 절도에서 취약성을 악용하는 공격으로 인해 컨테이너에 대한 무단 침입입니다. 일단 특권이 노드로 높아지면 다른 컨테이너에서 자격 증명을 얻는 것이 가능해집니다."

메가 슬롯에 대한 엄청난 양의 거래 정보를 처리하는 회사의 경우 기밀 정보를 보호하는 것이 최우선 과제입니다. 따라서 회사는 자체 침투 테스트 및 클러스터의 견고성을 포함하여 Kubernetes의 보안 조치로 다양한 이니셔티브를 구현했습니다. 이 중 모니터링 및 운영 로그 녹음은 보안을 더욱 강화하기위한 수단으로 등장했습니다.
"우리는 인프라 및 응용 프로그램에 대한 무단 침입을 즉시 감지하고 응답하고 Kubernetes의 운영 로그를 얻고 기록하기 위해 모니터링이 필요하다고 생각합니다.

높은 사기 탐지 능력과 운영 관리에 대한 부담이 적습니다
"메가 슬롯 Secure DevOps 플랫폼"
사기 침입을 모니터링 할 수 없습니다

메가 슬롯는 세 가지 관점에서 컨테이너 관리를위한 보안 조치를 고려해 왔습니다. POC는 세 가지 제품으로 구현되었으며 사기 탐지 능력, 기록 능력 및 운영 관리의 세 가지 범주로 점수를 받았습니다. 이 중에서 그들은 전체 점수가 가장 높은 컨테이너 및 Kubernetes 환경을위한 보안 모니터링 플랫폼 인 Sysdig Secure Devops 플랫폼 (SysDig라고 함)을 채택하기로 결정했습니다.
"메가 슬롯에서 우리는 POC에서 알고있는 Kubernetes에 대한 모든 공격을 시도했습니다. 여기에는 취약한 컨테이너 생성 및 Kubernetes를 운영하기위한 자격 증명 도난과 같은 시나리오가 포함됩니다. 이들 중 Sysdig는 POC에서"사기 열망 능력 "을 스캔했습니다. Kubernetes에 에이전트를 배포하여 간단히 배포 할 수 있습니다. 회사는 사내에서 운영 할 필요가 없으며 콘솔을 통해 쉽게 관리 할 수 ​​있습니다. "

또한, 그들은 Sysdig가 주로 개발하고 Kubernetes 커뮤니티에 깊이 관여하는 오픈 소스 Kubernetes 모니터링 도구 인 Falco의 지속적인 개선에 감사했습니다. 또한 Sysdig 자체는 유료 도구이지만 다양한 주변 장치 도구가 오픈 소스가 개발되었으며,이 과정은 메가 슬롯의 요청을 신속하게 반영하고 메가 슬롯의 기여를 통합 한 것에 대해 칭찬했습니다.

일반 국내 판매 에이전트 인 메가 슬롯는이 선택 및 구현에 대한 지원을 제공했습니다. 세 가지 제품 모두 해외 도구 였지만 핵심 요점은 Sysdig만이 컨테이너 보안에 대해 깊은 논의를 할 수 있었으며 메가 슬롯는 Sysdig 본사와 파이프 라인을 통해 새로운 기능에 대한 요청을 전달할 수 있다는 것입니다.
"일본에서는 보안 제품이 사용자에 대한 대응으로만 에이전트로 제한됩니다. Sysdig와 관련하여 메가 슬롯와 Sysdig의 두 회사 인 Sysdig를 돕기 위해 협력하여 제품에 대한 이해를 심화 시켰습니다. 또한 우리의 개발 팀이 일반적으로 사용하는 Slack을 사용할 수 있었으며 빠르게 의사 소통 할 수있었습니다." (Suezawa 씨)

메가 슬롯의 도입은 약 한 달 안에 완료되었습니다. 이 작업은 내부 Kubernetes 팀에 의해 수행되었지만 성능에 미치는 영향을 고려할 때 메가 슬롯 에이전트는 단계적으로 Kubernetes 클러스터에 배치되었습니다. 당시에는 주요 성능 영향을 확인할 수 없었습니다.

이 회사는 메가 슬롯를 도입하여 무단 침입을 모니터링하여 Kubernetes 클러스터의 보안 수준을 크게 증가 시켰습니다.

성능 및 가용성 모니터
메가 슬롯 모니터도 계획되어 있습니다

"구글은 컨테이너 간의 분리를 향상시키는 기본 및 컨테이너 오케스트레이션을 실현하기 위해 Gvisor라는 컨테이너 런타임을 만들었습니다. Gvisor를 사용하면 침입이 발생한 후 특권 에스컬레이션을 방지 할 수 있지만, 그럼에도 불구하고 무단 침입 자체를 모니터링해야 할 필요성은 일부 네트워크와 다른 부분의 모니터링이 어려울 수 있다고 생각합니다. 가능한." (Suezawa 씨)

회사 인 메가 슬롯와 Sysdig는 보안 문제를 해결하기 위해 계속 협력 할 것입니다.