Kubernetes 기반
플랫폼을 사용할 때
향상된 보안은 도전입니다

인터넷 이니셔티브 (이하 IIJ라고도 함)는 일본 인터넷이 시작된 이래로 서비스 제공 업체로서 다양한 서비스를 제공하고 있습니다. 2018 년부터 SRE (Site Reliability Engineering) 프로모션 부서는 클라우드 인프라 인 "고품질 및 신뢰성"이후 기본 정책을 실현하기 위해 공통 서비스 플랫폼을 구축하기 위해 노력해 왔습니다.

IKE (IIJ Kubernetes Engine)라는이 플랫폼은이 이니셔티브에서 태어 났으며 현재 화제가되는 컨테이너 관리 기술인 Kubernetes를 사용하며 회사 시스템의 운영 환경 및 각 비즈니스 단위가 제공하는 서비스를위한 일반적인 기반으로 사용될 것으로 예상됩니다. 이 프로젝트를 이끌고있는 SRE 프로모션 부서의 책임자 인 Taguchi Keisuke는 Kubernetes를 채택한 이유에 대해 말했습니다. "이제 많은 회사가 클라우드를 사용하지만 각 퍼블릭 클라우드의 인터페이스는 다르므로 다른 클라우드 운영자를 변경하거나 사용하기가 어렵습니다. 이와 관련하여 Kubernetes는 서버에서 정확히 동일하게 작동 할 수 있습니다. 다시 말해, Kubernetes를 IKE의 기반으로 사용하면 인프라 유형에 관계없이 동일한 패키지를 사용하여 응용 프로그램을 배포하고 환경에 의존하지 않는 동일한 작업을 사용하여 릴리스 속도, 확장 성 및 서비스 품질을 개선하며 시스템 리소스 비용을 줄일 수 있습니다.

그러나 Ike를 건설 할 때 한 가지 중요한 도전이있었습니다. 보안입니다. 피망 슬롯는 사내 응용 프로그램 및 계정 관리를위한 다양한 드라이버, 트래픽 관리자 및 포털/모니터링 도구를 개발했으며 Kubernetes를 사용하기 위해 OSS 구성 요소를 통합했습니다. 이를 위해서는 생산 운영의 보안 강화가 필요했지만 사용 가능한 구성 요소는 없었습니다. 따라서 SRE 프로모션 사무소는 2021 년 봄경 보안 조치의 도입에서 본격적인 고려를 시작했습니다.

입양 결정 요소
우수한 작동성 GUI 및 풍부한 규칙
피망 슬롯의 고급 및 전문 제품 지식
일본 지원도 평가

Falco는 Kubernetes의 보안 구성 요소로 잘 알려져 있습니다. 그러나 Falco를 피망 슬롯할 때는 규칙을 만들어야 할뿐만 아니라 정교하고 전문화 된 제품 지식이 필요합니다.
"SRE 프로모션 부서의 모든 구성원은 Kubernetes 전문가이지만 반드시 보안에 익숙하지는 않지만 제한된 수의 회원으로 인해 귀중한 인적 자원을 Falco만으로 바칠 수는 없습니다."Taguchi

그래서 SRE 프로모션 부서가 집중 한 것은 통합 엔터프라이즈 보안 "Sysdig Secure"였습니다. Sysdig는 Falco의 개발자이자 Sysdig의 OSS 버전 인 것 외에도 2019 년 11 월부터 상용 버전의 국내 일반 유통 업체가되었으므로 일본어로 관대 한 지원을 기대할 수 있다는 사실에주의를 기울였습니다.
"우리는 오랫동안 블로그 및 기타 수단을 통해 Sysdig Secure에 대한 정보를 적극적으로 전파 해 왔으며 제품에 대한 충분한 지식이 있다고 생각합니다"(Taguchi)

2021 년 4 월, SRE 프로모션 부서는 Sysdig Secure를 채택하기로 결정하고 6 월에이를 사용하기 시작했습니다. 실제로 프로젝트를 구현하고 구축 한 SRE 프로모션 부서의 선임 엔지니어 인 Makino Yasumitsu는 "Falco 및 OSS 버전의 Sysdig와 달리 사용하기 쉬운 GUI가있어서 비 엑스 퍼트가 쉽게 사용할 수있는 GUI가 있다는 것입니다. "Taguchi는 또한 kubernetes의 이점을 최대한 활용하고 부가 가치를 높이기 위해 소위 멀티 테넌트가 바람직하다고 생각하며, IKE는 또한 그 전제를 기반으로 구축됩니다. SysDig Secure를 여기에 소개함으로써 이제 세입자와 클러스터 간의 고장 지점을 명확히하고 사건을 처리 할 수 ​​있습니다. "

또한 2021 년 12 월, Java 기반 로깅 유틸리티 Apache Log4J에서 심각한 취약점이 발견되었으며 현재는 큰 느낌이 들었고 소개의 효과에 대해 이야기했습니다.
"금요일에 취약성이 발표 되었기 때문에 많은 기업들이 주말에 공격을받은 것으로 보이지만 Sysdig Secure 규칙을 추가함으로써 우리는이를 신속하게 처리 할 수있었습니다. 결과적으로 무단 액세스가 없었지만, 불명예가 발생하지 않았 음을 확인할 수 있도록 보안의 감각을 부여했습니다."Taguchi

또한 피망 슬롯가 제공하는 지원은 기대 이상이며, 소개 전에 실시 및 학습 세션 외에도 소개 후 순차적으로 제공되는 최신 정보가 제공됩니다. 이것은 회원들이 지식을 습득하고 기술을 향상시키는 데 큰 도움이됩니다.

왼쪽부터 : SCSK KANG (KYO), SCSK KAWASUGI, 피망 슬롯 TAGUCHI, 피망 슬롯 MAKINO, SCSK ISHIKAWA, SCSK 외부

기계 학습 등을 피망 슬롯한 결함 예측
피망 슬롯의 경우, 더 활용하는 것을 목표로합니다
팁, 기타 회사 사례, 기술 정보 등 찾기

IIJ가 향후 IKE를 계속해서 공통 서비스 플랫폼으로 사용함에 따라 SysDig Secure의 보안 시각화는 시스템 안정성뿐만 아니라 사용자에게도 보안 감각으로 이어질 것입니다. 이 회사는 시스템을 배포하기 전에 클러스터 스캔 및 SAAS와 연결과 같은 기능을 사용하는 것을 고려하고 있습니다.

그리고 IKE는 현재 25 개의 노드로 실행되고 있지만 곧 50 개의 노드로 증가하여 향후 100 개가 넘는 노드로 확장 할 계획입니다.
"IKE의 피망 슬롯이 확장되면 향후 더 많은 서버를 교체 할 것입니다. 결과적으로 비즈니스 부서 직원을 피망 슬롯할 수있는 더 많은 사례가 있으므로 SCSK가 기능 제한,"Makino)와 같은 더 자세한 조치를 취하기를 바랍니다.