SCSK 엔지니어의 블로그!
이것은 11 번째 에피소드를 담당하는 Kawasugi입니다. 이번에는 SysDig를 안전하게 사용하는 데 도움이되는 기능을 소개합니다.
이제, 가자!

"피망 슬롯 SaaS에 대한 보안 조치를 취하고 싶습니다"

피망 슬롯와 같은 보안 플랫폼에서 무단 액세스가 발생하면 공격자가 컨테이너 이미지에서 쉽게 취약성을 찾을 수 있으며 심각한 손상이 예상됩니다.
이제 많은 보안 공급 업체가 SaaS와 함께 관리 플랫폼을 제공하고 있습니다. SaaS를 사용할 때는 외부 네트워크와의 통신이 발생하므로 공격이 언제 또는 어디에 공격 될지 알 수 없습니다.

보안 도구 자체의 보안을 처리하는 방법. 이것은 모든 보안 도구에 도전이됩니다.
고객은이 문제에 관한 메시지를 제공합니다"피망 슬롯 SaaS에 대한 감사 로그를 유지하고 싶습니다", "IDP (Idp Provider)를 사용하여 피망 슬롯 SaaS에 액세스하고 싶습니다", "피망 슬롯 SaaS에 연결할 수있는 IP를 제한하고 싶습니다"와 같은 다양한 요청을받습니다.
피망 슬롯에는 위의 요청을 충족 할 수있는 기능이 있습니다.
이번에는 IP가 이번 달에 출시 된 피망 슬롯 자체를 보호하는 보안 기능에서 IP를 제한하는 기능인 IP AllowList를 소개합니다.

IP allowlist

피망 슬롯 GUI 및 API에 액세스하는 글로벌 IP 주소를 제한하는 기능.*함수를 잘못 설정하면 더 이상 피망 슬롯에 액세스 할 수 없습니다.설정 화면에서 다음 작업을 수행 할 수 있습니다.

• 활성화/비활성화 IP 허용 목록 기능
• 새 IP 주소 또는 IP 범위 추가
• 이미 구성된 IP 주소 및 IP 범위의 목록 표시
• 기존 IP 주소 또는 IP 범위 변경 또는 삭제
• 구성된 IP 주소 또는 IP 범위 활성화/비활성화

이 함수를 사용하면 무단 로그인이 외부에서 또는 API 명령의 실행을 방지 할 수 있습니다.
피망 슬롯 액세스 정보가 유출 되더라도 외부 범죄자가 정보를 훔치는 것을 방해하는 것이 좋습니다!

준비

이제 확인을 준비하여 시작하겠습니다.
다음은이 확인을 위해 미리 준비 할 것입니다.

• 다른 글로벌 IP를 가진 두 개의 환경 준비.

*환경을 준비 할 사양은 없습니다. 이 검증에서 검증을위한 네트워크 환경의 글로벌 IP 주소는 SysDig에 등록되며 시나리오는 휴대 전화의 테 더링을 통해 네트워크 환경에서 해당에 액세스하려고 시도하는 것입니다.

• IP 허용리스트에 등록하려는 글로벌 IP 주소 확인

ip allowlist 등록하려는 환경에서 장치에서 다음 명령을 실행합니다. Windows의 터미널에서 쉘을 시작하고 PowerShell 또는 명령 프롬프트인지 확인하십시오.

$ curl ifconfig.me

피망 슬롯 GUI에 액세스하려는 PC 또는 API 명령을 실행하려는 Linux 환경 에서이 명령을 실행하고 등록하려는 각 환경에 대한 전역 IP 주소를 확인해야합니다.

https : //github.com/pmarques/ifconfig.me

첫 번째 설정

먼저 IP 허용리스트 설정 화면으로 이동하십시오.
피망 슬롯의 설정으로 이동하여 왼쪽 탭에서 IP 허용 목록을 클릭하십시오.
다음 화면을 보려면 클릭하십시오.
*피망 슬롯 saa에 대한 다양한 설정을 구성 할 수있는 [설정 패널]로 이동하는 방법에 대한 지침은 아래 URL을 참조하십시오.
https : //docs.피망 슬롯.com/en/docs/administration/administration-settings/#access-the-esettings-panel

처음에는 기능이 비활성화되었습니다.
화면 오른쪽 상단에있는 [IP]에서 글로벌 IP 주소를 설정합니다.
사전 준비 중에 확인한 글로벌 IP 주소를 입력하고 [IP 주소 또는 범위]에 [IP 주소 또는 범위]를 입력하고 오른쪽 상단에서 [저장]을 클릭하십시오.
예 : 다음과 같이 설정하십시오. 예에서 IP 범위는 접두사 값이 24로 설정됩니다.

등록이 완료되었습니다. 쉽습니다!
작업이 완료되면 아래 화면으로 자동으로 돌아갑니다.

다음으로 화면 오른쪽 상단에서 [IP allowList]를 클릭하여 기능을 활성화합니다.
다음 디스플레이가 나타나면 [예]를 클릭하여 설정을 완료하십시오.
*글로벌 IP 주소를 잘못 설정하면 피망 슬롯에 액세스 할 수 없습니다. 기능을 활성화하기 전에 설정을주의 깊게 확인하십시오.

추가 설명으로 IP 허용 목록 화면을 설명합니다.

미등록 IP에서 액세스하려고 시도하십시오

검증을 위해 네트워크 환경의 글로벌 IP 주소로 상위 16에서 시작하는 IP 범위를 등록했습니다.

나는 또한 API 명령을 시도했고 등록되지 않은 IP를 사용해 보면 연결이 불가능하다는 것을 발견했습니다.
실행 결과는 다음과 같습니다. "메시지": "자격 증명을 확인할 수 없습니다"와 연결을 만들 수 없습니다.

$ curl -request get get -url "https://secure.피망 슬롯.com/api/secure/falco/lists/summaries"-h "권한 부여 : Bearer [API Token]"-H "-H"수락 : Application/JSON "| JQ.

나는 또한 CLI 스캐너를 시도했지만 등록되지 않은 글로벌 IP 주소에서 사용할 수 없었습니다.

$ secure_api_token = [API 토큰] -apiurl [피망 슬롯 region] nginx : 최신

예상대로 GUI에 로그인하거나 등록되지 않은 글로벌 IP 주소에서 API 명령을 실행할 수 없다는 것을 알았습니다!

Last

이번에는 IP allowlist를 소개했습니다. 연결 소스의 글로벌 IP 주소를 등록하여 서비스 사용자를 제한 할 수 있습니다.

*이 시간에 소개 된 기능에 대한 자세한 정보는 아래 URL에서 찾을 수 있습니다.
https : //docs.피망 슬롯.com/en/docs/administration/administration-settings/access-and-secrets/ip-allowlist/

담당자 소개