컨테이너화 된 마이크로 서비스 기반 인프라에서 런타임 보안 및 모니터링 도구 구현은 큰 과제입니다.
이번에는 Sunrun의 소프트웨어 건축가 인 John Hovell과 회사 교장 인 Andy Vansickle-Ward가 어떻게 이루어 졌는지에 대해 인터뷰했습니다.

Sunrun 소개

Sunrun은 미국에서 가장 큰 주거용 태양 광 발전 회사입니다.
이 회사는 주택 소유자가 집과 라이프 스타일에 적합한 태양 광 발전을 쉽고 빠르게 접근 할 수 있도록 도와줍니다.
회사는 기술 혁신과 전문 지식을 합병 한 역사를 가지고 있습니다.
2007 년 "서비스로서의 태양"모델을 고안 한 Sunrun은 고품질 태양 광 시스템을 설계하고 운영하는 데 17 년 이상의 경험을 가지고있어 깨끗한 태양 에너지와 주류를 공통적으로 만들어 미국의 모든 사람이 접근 할 수있게 해줍니다.
판매 모델은 전화, 웹, 소매 업체 및 인증 된 파트너 네트워크를 통해 소비자에게 제공됩니다.
이 회사는 태양 광 발전 시스템에서 46 억 달러 이상을 구현 한 기록을 보유하고 있으며 미국 전역에서 10 만 명 이상의 고객들과 빠르게 성장하고 있습니다.

Sunrun의 시스템 환경은 어떻습니까?

"우리 팀은 맞춤형 비즈니스 애플리케이션을 제공 할 책임이 있습니다.
이 앱은 고객과 파트너에게 보이므로 수익과 직접 연결됩니다.
이것은 매우 신뢰할 수 있고 매우 고성능이 필요합니다.
우리 시스템에는 현재 수십 개의 VM과 수백 개의 컨테이너가 실행되고 있지만 3 명의 엔지니어만이이를 관리합니다.
우리의 응용 프로그램은 표준에 따라 구축되었지만 서비스 지향적 접근 방식으로 특징 지어집니다.
그리고 우리는 백엔드 응용 프로그램 및 구성 요소에 Java를 사용하여 웹 기반 고객 포털과 모바일 앱을 구축하는 프론트 엔드 팀이 있습니다.
이들 모두는 AWS에서 개발되고 운영되며 일관성을 보장하기 위해 가능한 한 Amazon에서 모든 것을 실행하려고 노력합니다.
아마존은 매우 훌륭하고 비용 효율적이며 신뢰할 수 있습니다.
나는 또한 AWS Lambda를 사용하고 컨테이너는 EC로 조정됩니다. "

EC를 사용하고 있습니까? 왜 그 선택을했는지 알려주세요.

"몇 년 전 컨테이너를 처음 소개했습니다.
당시 우리는 일부 옵션에도 불구하고 Kubernetes와 EC에 초점을 맞췄습니다.
우리는 Kubernetes가 매우 강력한 플랫폼이라는 것을 알고 있었지만 우리에게 필요한 것보다 더 복잡해 보였습니다.
우리는 소규모 DevOps 엔지니어 팀 이었으므로 Kubernetes 비용, 튜닝 및 관리를 배우는 데 시간을 투자하는 것은 큰 관심을 기울이지 않았습니다.
반면에, ECS는 우리의 사고 방식에 가장 적합했습니다.
사용하기 쉽고 빠르게 시작하며 필요한 모든 핵심 기능이 있습니다.
또한 EC2에서 모두 실행되고 있기 때문에 설정해야 할 투자 금액을 정확하게 파악할 수있었습니다. "

이러한 시스템 환경은 어떻게 시각화 되었습니까?

이것은 우리가 컨테이너 화로 변할 때 우리가 직면 한 첫 번째 도전 중 하나였습니다.
전통적인 도구를 사용하여 호스트의 상태를 이해할 수 있었지만 컨테이너를 실행하기 시작하면 이것이 충분하지 않다는 것을 깨달았습니다.
우리는 컨테이너를 이해하고 컨테이너간에 필요한 데이터를 함께 스티치하여 서비스의 성능에 대한 완전한 이해를 제공한다고 생각했습니다.
그래서 우리는 컨테이너를 지원할 수있는 새로운 도구를 찾기로 결정했습니다.
몇 가지 도구가 있었지만 우리가 시도한 것들 중에서 우리는 무료 슬롯가 최고라고 결정했습니다.
좋은 예는 무료 슬롯 모니터의 "그룹화"기능입니다.
이것은 자동으로 ECS 작동을 캡처하고 작업 및 서비스를 포함하여 정확한 메타 데이터를 추출했습니다.
SYSDIG를 소개 한 이후로 이제 서비스를 구성하는 모든 컨테이너에서 데이터를 자동으로 집계했으며 컨테이너가 얼마나 자주 이동하든 자동으로 집계됩니다.
이제 대시 보드를 구축하고 경고를 구현하며 모든 데이터를 서비스 중심 방식으로 탐색 할 수 있습니다.
또 다른 좋은 점은이 기본 요원이 모두 서비스 운영에 거의 영향을 미치지 않았다는 것입니다.
각 호스트에 추가 컨테이너를 배포 할 때마다 무료 슬롯는 컨테이너 내부에서 어떤 응용 프로그램이 실행되는지를 포함하여 모든 것을 자동으로 알고있었습니다.
이것은 정말 편리했습니다.
무료 슬롯는 EC가 컨테이너를 움직이거나 재정의 할 때 수동으로 구성 할 필요없이 어떤 응용 프로그램 메트릭을 얻어야하는지 자동으로 검색해야하기 때문입니다.

보안과 관련하여 어떤 종류의 위험 관리를 고려하십니까?

우리는 훌륭한 보안 팀을 보유하고 있으며 한동안 강력한 보안 조치를 취해 왔습니다.
그러나 모니터링과 마찬가지로 컨테이너로 이동함으로써 훨씬 더 지능적인 런타임 보안 메커니즘을 구현해야한다는 것을 발견했습니다.
우리는 시스템에서 비정상적인 행동이 감지되어 조치를 취할 경우 경고 할 메커니즘을 구현해야한다고 생각했습니다.
그러나, 우리 시스템은 지난 1 년 동안 컨테이너 보안에 대한 다양한 접근 방식으로 발전했으며, 우리는 몇 가지를 발견했습니다.

또한 성능 정보, 이벤트 또는 잠재적 시스템 문제를 나타내는 데이터 등 환경에 대한 데이터는 통일 된 초점이 아닙니다.
그런 다음 무료 슬롯의 솔루션 플랫폼이 보안으로 확장되었음을 알게되었습니다.
우리는 Sysdig가 얻은 성능 관련 데이터 외에도 "서비스 관점"에서 보안 관리에 대한 큰 가시성을 제공 할 수있는 잠재력을 기대하면서 시도해보기로 결정했습니다.

무료 슬롯 모니터에서 무료 슬롯 Secure 및 Monitor를 포함하는 "무료 슬롯 플랫폼"을 사용하기 시작한 방법을 알려주시겠습니까?

우선, 내가 말하고 싶은 것은 이미 배치 된 무료 슬롯 에이전트에 추가 계측이 필요하지 않았다는 것입니다.
이제 기존 에이전트의 구성 파일에 단순히 표시되어 보안 UI에 쉽게 액세스 할 수 있습니다.
이것은 매우 간단 할뿐만 아니라 자원 사용 측면에서도 중요했습니다.
호스트 당 하나의 에이전트를 갖는 것으로 충분합니다.
여러 에이전트가 필요하지 않으므로 호스트 당 리소스 비용이 5-10%감소합니다.
이것은 매우 큰 성과였습니다.

나는 무료 슬롯 Secure를 사용하기 시작했고 그 어느 때보 다 편안한 환경을 가지고 있습니다.

무료 슬롯 모니터 및 보안 UI를 공유하여 응용 프로그램 상태를 실시간으로 이해할 수 있습니다.
더 중요한 것은 무료 슬롯는 물리적 인프라 및 논리 ECS 메타 데이터를 통해 보안 정책 및 이벤트를 그룹화 할 수있는 능력을 가졌습니다.
이것은 보안 정책을 관리하는 서비스 중심의 방법 인 우리가 원하는 것입니다.
문제가 발생하면 영향을받는 서비스를 빠르게 이해하고 UI를 사용하여 컨테이너가 배포되는 위치에 관계없이 해당 컨테이너 세트의 데이터를 필터링 할 수 있습니다.
정책 자체를 변경하는 것도 매우 쉽습니다.
다른 보안 제품과 마찬가지로 우려 사항에 맞게 정책을 수정하기 위해 미리 시간을 보내야했지만 무료 슬롯의 학습 비용은 매우 낮았습니다.
저를 저장 한 것은 무료 슬롯가 데이터베이스가 아웃 바운드 연결을 열 때 또는 사용자가 컨테이너 내부의 쉘을 시작할 때와 같은 많은 강력한 정책을 미리 가지고 있다는 것입니다.
다른 제품은 성능 모니터링 및 보안을 중앙에서 관리 할 수 ​​없었으며, 저수고, 가장 비용 효율적인 방법으로 그렇게 할 수 없었습니다.

향후 노력에 대해 알려주십시오.

앞으로 내가 사용하고 싶은 기능 중 하나는 무료 슬롯 캡처입니다.
이것은 어떤 종류의 경고가 트리거 될 때 또는 보안 정책의 위반이 감지 될 때 시스템 호출의 스냅 샷을 취하는 함수입니다.
우리에게는이 기능이 이상을 분석하고 문제의 원인을 결정하는 매우 강력한 방법이라고 생각합니다.
무료 슬롯는 캡처 분석을위한 새로운 인터페이스를 발표했으며, 앞으로 워크 플로우를 조정하여 팀 이이 기능을 최대한 활용할 수 있도록 도와 드리겠습니다.