SAP Concur는 전세계 5 천만 명 이상의 최종 사용자에게 안전하고 준수하는 솔루션을 제공합니다

요약

SAP Concur는 비즈니스 및 정부 기관에 출장, 비용 및 송장 관리 서비스를 제공하는 SaaS 회사입니다. 북아메리카에만 25,000 명 이상의 글로벌 중소기업 고객을 보유한 SAP Concur는 매우 큰 인프라를 운영합니다. 최종 사용자에게 최대한 안전하고 신뢰할 수있는 서비스를 제공하는 것이 비즈니스 배포에 가장 중요합니다.

SAP Concur는 응용 프로그램을 더 빨리 제공 할 수있는 유연성을 제공하기 위해 모 놀리 식 아키텍처에서 마이크로 서비스로 이동하기로 결정했습니다. 그 결정 후 4 년 후 SAP Concur는 현재 2,000 명 이상의 노드의 컨테이너 생태계에서 20 명으로 구성된 팀과 함께 운영되고 있습니다.

챌린지

SAP Concur의 마이크로 서비스 구성은 소규모 전문가 팀으로 시작되었습니다. 회사의 엔지니어링 이사 인 Mike Luedke는 다음과 같이 설명했습니다.

나는 풀뿌리 활동으로 시작했습니다. 다른 조직의 여러 사람들이 클러스터를 구축하기 시작했습니다. 궁극적으로, 우리는 새로운 이니셔티브에 더 관심이있는 Concur의 회원들에게 공개했습니다. 그 후, 그는 견인력을 상당히 빠르게 얻었습니다. 이 활동을 관리하는 비공식 그룹으로 시작하여 Concur의 분명한 미래가있을 것임을 알게되었습니다. 그 시점에서 우리는 공식적인 팀을 구축하기 시작했습니다.

당시 SAP Concur 스택에 관한 모든 것은 오픈 소스였습니다. 그들이 성장함에 따라, 그들은 보안 팀을 참여시키기 시작했습니다. 특히, 기존 인프라 보안을 새로운 컨테이너 환경과 비교할 때 보안 및 가시성 측면에서 격차를 신속하게 식별했습니다.

Luedke Said :

오픈 소스 Prom Etheus를 사용하면 100 개의 노드에 도달했을 때 변곡점에 도달했습니다. 이제 더 나은 스케일링 전략을 제시해야합니다. 우리는 자원에 묶여있었습니다. 우리는 팀을 키우고 내부 응용 프로그램 팀의 요구를 충족 시켰으며 Prometheus를 확장 할 수있는 효과적인 솔루션을 찾을 여유가 없었습니다. 그래서 우리는 상업적 옵션을 고려하기 시작했습니다.

SAP Concur가 SysDig를 선택한 이유

알려진 상업용 모니터링 및 보안 도구를 비교 한 후 SAP Concur는 다음과 같은 이유로 SysDig를 선택하기로 결정했습니다.

• 보안 필드에서 Kubernetes-First 접근 방식을 취하십시오
• 오픈 소스 뿌리
• 내 자신의 syscall 구현
• 통합 보안, 준수 및 모니터링 메커니즘이 있습니다
• PROMQL 지원이 있습니다
• 다양한 각도에서 자세한 커널 수준 메트릭 얻기

수천 시간을 절약하고 매일 릴리스를 허용

SYSDIG를 소개하기 전에 SAP Concur는 코드를 생산으로 밀기 전에 수동으로 검토합니다. Luedke가 말했다 :

슬롯 나라를 통해 많은 수동 리뷰를 자동화 할 수있었습니다. 슬롯 나라는 파이프 라인에 통합되어 생산에 컨테이너를 배포 할 때 컨테이너 취약성 및 준수 점검을 수행합니다. 이러한 자동 점검을 통해 비즈니스 프로세스를 더욱 발전시킬 수있었습니다.

Luedke는 슬롯 나라가 다음과 같이 소개되기 전 상황을 설명합니다.

취약성의 수동 검토 또는 수동 검사는 체크인 당 10 분 이상 걸렸습니다. 슬롯 나라를 도입하기 전에 취약점 스캔은 오픈 소스 클레어를 사용했습니다. 따라서 결과를 확인하기 위해 다른 인터페이스를 갖는 데 오랜 시간이 걸렸습니다. 슬롯 나라를 사용하면 컨테이너를 배포 할 때 파이프 라인의 일부로 자동화됩니다. 현재 우리는 하루에 수천 개의 프로세스를 실행합니다. 각 사례가 평균 약 10 분이 걸리고 매일 수천 개의 작업이 필요하다는 점을 고려하면 슬롯 나라 없이는 더 이상 작동 할 수 없습니다.

보안과 가시성 사이의 격차 제거

SYSDIG는 유일한 통합 보안, 규정 준수 및 모니터링 플랫폼으로서 개발, 개발자 및 보안 팀 간의 정보 사일로를 제거하기위한 유일한 신뢰할 수있는 정보 소스를 제공합니다. 이 접근 방식을 통해 조직은 클라우드 및 Kubernetes 컨텍스트와 자동으로 관련된 시스템 데이터에 대한 자세한 분석을 제공하여 문제를보다 빠르게 해결할 수 있습니다. 또한 DevOps 팀은 보안을 책임질 수 있습니다.

SYSDIG는 응용 프로그램, 운영, 인프라, DEV OPS 및 보안 팀을 포함한 많은 SAP Concur 팀에서 사용됩니다. 여러 사용 사례에 단일 공통 도구를 사용하여 모든 사람은 이제 보안을 책임지고 안전한 DevOps를 달성 할 수 있습니다. Luedke가 말했다 :

SYSDIG를 통해 응용 프로그램 개발자는 무슨 일이 일어나고 있는지 직접 확인할 수 있습니다. 성능 메트릭 등을 확인할 수 있으며 SysDig를 문제 해결 도구로 사용할 수도 있습니다. 이를 통해 응용 프로그램이 자체 DevOps를 실행할 수 있습니다. 운영 또는 인프라 팀에 연락하는 번거 로움을 제거하고 SysDig에 액세스하여 무슨 일이 일어나고 있는지 확인하십시오.

취약점의 수동 검토 또는 수동 검사는 체크인 당 10 분 이상 걸렸습니다. (생략) 슬롯 나라는 컨테이너를 배포 할 때 파이프 라인의 일부로 모든 것을 자동화합니다. 이제 우리는 하루에 수천 개의 프로세스를 실행합니다. (생략) 이제 슬롯 나라 없이는 작동하는 것은 불가능합니다.

Luedke는 계속됩니다 :

Sysdig는 응용 프로그램 팀뿐만 아니라 인프라 팀에서도 시간을 절약합니다. Sysdig 배포를 통해 모든 사람은 이제 인프라에서 무슨 일이 일어나고 있는지 자세히 자세히 볼 수 있습니다.

Luedke는 또한 슬롯 나라의 통합 플랫폼이 안전한 환경을 제공 할뿐만 아니라 자원과 비용을 절약한다고 설명했습니다.

이것이 큰 가치가 있다고 생각합니다. 예를 들어, 보안 및 운영 모니터링을위한 별도의 도구를 구현하는 경우 각 에이전트를 처리하려면 리소스가 필요하므로 단일 슬롯 나라 에이전트만으로 처리 할 수 ​​있으면 엄청난 비용을 절약 할 수 있습니다.

엔터프라이즈 규모의 프로 메테우스 메트릭

SAP Concur가 Sysdig를 도입하기 전에 팀은 Prometheus를 사용하여 모니터링했습니다. Luedke에 따르면

메트릭 수집 측면에서 프로 메테우스가 있었기 때문에 괜찮 았습니다. 그러나 우리가 직면 한 문제는 확장성에 관한 것이 었습니다. Prometheus는 한 시간 분량의 데이터 만 저장할 수있었습니다. 한 시간 전에 무언가가 일어났다는 것을 깨달았다면 혼란 스러울 수있었습니다. Prometheus 데이터베이스는 완전히 손실되었고 때로는 추락했습니다. 모든 데이터를 잃어 버리고 있습니다. 우리는 맹목적으로 날고있는 상황에있었습니다.

슬롯 나라는 Prometheus와 완전히 호환되는 유일한 솔루션입니다. 슬롯 나라에는 고급 메트릭 쿼리를 실행하고 대시 보드 구축 및 알림 생성을위한 PROMETHEUS 쿼리 언어 (PROMQL)에 대한 지원이 포함되어 있습니다. 슬롯 나라는 Prometheus 레버리지를 방해하는 문제를 해결합니다 : 확장 성, 데이터 보유 및 엔터프라이즈 액세스 제어.

이미지 스캔으로 보안 가속

팀은 이미지 스캔을 통해 DevOps 프로세스 초기에 취약성 및 오해를 식별하고 수정하여 보안 위험을 관리 할 수 ​​있습니다. SAP Concur는 SysDig를 사용하여 레지스트리 및 CI/CD 파이프 라인 및 생산 환경에서도 지속적인 이미지 스캔을 가능하게합니다. 현재 감지 된 취약점은 Kubernetes 기반 응용 프로그램에 고유하게 매핑되어 작업을보다 효율적으로 만들 수 있습니다.

Luedke Said :

SAP Concur는 Sysdig에 취약성 스캔 및 침입 탐지를 위해 의존합니다. SYSDIG가 도입되기 전에, 숙주 기반 침입 검출이 노드에서 수행되었다.
그러나이 메커니즘은 Docker ID와 같은 영향을받는 프로세스 만 제안했습니다. 넓은 다중 테넌트 환경에서는 Kubernetes 메타 데이터와 연관되지 않는 한 컨테이너가 무엇인지 몰랐습니다. 우리가 그 정보를 얻지 못했지만 정기적으로하는 것은 힘든 일이었습니다. Sysdig는 보안 이벤트 및 기타 저 위험 정보를 매우 빠르게 확인하는 기술을 제공했습니다.

SysDig를 사용한 시스템 환경의 보존은 회사가 발전함에 따라 발전했습니다. 이전에는 기업 고객에 매우 집중했지만 최근에는 공공 부문에서 사업을 가속화했습니다. 이로 인해 새로운 규정 준수 의무가 발생했습니다. Sysdig를 사용하여 이러한 규정 준수 검사도 지울 수있었습니다. 이 점검은 이전에 일주일에 한두 번 수동으로 몇 시간 동안 수행해야했습니다. 그러나 Kubernetes 환경의 확장에 따라 규정 준수 요구 사항이 증가함에 따라 더 이상 수동으로 수행 할 수 없습니다. 현재 규모로 Sysdig를 잃어서 작동하는 것은 불가능합니다. 또한 Sysdig를 잃어 버렸고 Kubernetes를 운영 할 수 없었습니다.

컨테이너 취약점을 실행하고 컨테이너가 생산에 배치 될 때 슬롯 나라를 파이프 라인에 구축하여 컨테이너 취약점을 실행하고 준수 점검을 수행했습니다.
이 자동 점검은 우리의 진화 속도를 더욱 향상시킵니다.

단순화 된 준수 보고서

SysDig의 활동 감사 기능을 사용하면 SysDig가 컨테이너 활동을 캡처하고 해당 정보를 응용 프로그램 컨텍스트 및 Kubernetes 사용자 및 서비스와 연결할 수 있습니다. 이 기능은 감사 기간을 포함하여 수백 번 유용했습니다.

Luedke가 설명합니다 :

감사 트레일을 추적하면 많은 상황에서 우리가 도움이되었습니다. 어느 날 우리가 언급 한 것처럼 환경이 진행되고 있는지 확인하고자하는 감사관이있었습니다. 그들은 인프라에서 실행되는 컨테이너 프로세스에 대한 정보를 요청했지만 컨테이너가 방해로 실행 중이기 때문에 쉘이 없습니다. 실행해야 할 것에 만 잠겨 있기 때문에 매우 안전하지만 쉘이나 프로세스에 대한 정보를 얻을 수는 없습니다. 우리는 sysdig를 사용하여 컨테이너를 시각화하고 감사인에게 증거를 제공 할 수있었습니다.

또한 Luedke는 다음과 같이 말했습니다 :

나는 해당 인스턴스의 최상위 프로세스 메트릭보기의 대시 보드를보고 필요한 것을 제공했습니다. 우리는 컨테이너가 불변하다는 것을 확인하는 추가 질문을 받았습니다. 나는 우리 가이 의무를 충족시키고 있다고 말했기 때문입니다. 슬롯 나라를 사용하여 시작된 이후로 작동하는 컨테이너가 변경되지 않았 음을 증명할 수있었습니다. 슬롯 나라 Audit 이벤트를 사용하여 컨테이너의 파일 시스템 및 쉘 활동을 보여주고 증명했습니다.

컨테이너가 사라진 후에도 법의학

규정 준수 감사를 도와주는 유사한 활동 감사 트레일도 비정상적인 행동의 경우 매우 유용합니다. 슬롯 나라를 사용하면 컨테이너가 더 이상 존재하지 않더라도 비즈니스는 법의학을위한 캡처 파일에 모든 활동 정보를 저장할 수 있습니다.

Luedke가 설명합니다 :

슬롯 나라는 관련 데이터를 많은 문제 해결을 제공했습니다. 성능이 느려질 때마다 항상 문제 해결 도구로 사용합니다. 슬롯 나라는 문제가있는 위치를 식별하는 데 매우 도움이됩니다. 이것은 슬롯 나라의 가장 귀중한 기능 중 하나입니다.

Luedke에 따르면

다른 관점에서 다른 속성의 메트릭을 자세히 분석 할 수있는 것이 매우 유용합니다. 무언가 잘못되면 종종 전례없는 문제입니다. 문제를 확인하는 데 기본보기가 필요하지 않으면 문제를 직접 작성할 수 있습니다. 나는 계획대로 무언가가 진행되지 않을 때 이것이 얼마나 가치있는 지 설명 할 수는 없습니다.

딥 커널 데이터는 비교할 수없는 가시성을 제공합니다

슬롯 나라는 시스템 호출을 사용하여 컨테이너 내부에서 무슨 일이 일어나고 있는지보고합니다. SyScall은 사용자 커널 상호 작용의 주요 메커니즘으로 프로그램이 수행하는 작업에 대한 훌륭한 통찰력을 제공하며 병목 현상 문제 해결, 모니터링 및 식별에 매우 유용합니다.
Luedke에 따르면

나는이 sysdig 접근법을 정말로 좋아했습니다. 우리는 그것이 다른 도구, 정보 측정 방법 및 데이터 수집 방법에 비해 특히 우수한 보안 감시 솔루션이라고 생각했습니다. 다른 회사의 보안 도구는 많은 Kubernetes 기능을 확장했습니다. 그들은 Kubernetes의 간격을 채우는 것과 같지만 Kubernetes 자체가 성숙함에 따라 이러한 격차는 채워 지거나 상류로 해결됩니다. 우리는 커널에서 메트릭을 얻는 것에 대한 강한 믿음을 가지고 있습니다. 나는 그것이 매우 견고한 전략이라고 생각합니다. 나는 항상 Sysdig에서 얻은 즉시 사용 가능한 메트릭에 깊은 인상을 받았습니다. 하위 계층에서 얻을 수있는 상세한 데이터는 다른 솔루션에 비해 매우 광범위하여 직면 한 문제를 깊이 볼 수 있습니다.

전체 하이브리드 클라우드 인프라의 가용성 최대화

SAP Concur 환경은 AWS 클라우드 및 온 프레미스 인프라에 걸쳐 있습니다. SYSDIG를 사용하면 SAP Concur가 배포하는 모든 인프라에서 정확히 동일한보기를 얻을 수 있으므로 플랫폼 전체에 종속성이있는 마이크로 서비스 문제를보다 쉽게 ​​관찰 할 수 있습니다. 즉, 문제가 발생하면 전반적인 시스템 가시성을 보장하면 더 빨리 해결하기가 더 쉬워집니다.

Luedke Said :

Sysdig는 AWS와 온-프레미스 모두 문제를 조사하고 검색하게합니다. 둘 다의 UI를 비교하여 어느 쪽에도 이상이 있는지 여부를 빠르게 이해할 수 있습니다. 대시 보드의 스마트 그룹화를 통해 우리는 우리가 필요로하는 맥락과 의미있는 방식으로 다양한 메트릭 속성을 그룹화 할 수 있습니다. Kubernetes 또는 네임 스페이스보기,보다 물리적보기 또는 클러스터 등을보고 싶은 것처럼 데이터를 범위로 나눈 다음 자세히 분석하여 원하는 뷰를 정확하게 얻을 수 있습니다. SysDig 컨텍스트를 사용하면 인프라 전반에 걸쳐 무슨 일이 일어나고 있는지 더 깊이 이해할 수 있습니다.

오픈, 커뮤니티 중심 회사

또한 SAP Concur 팀은 오픈 소스 기반 SysDig로 끌려갔습니다. Luedke가 말했다 :

나는 또한 슬롯 나라가 오픈 소스에 기여했다는 사실을 좋아했습니다. 그것은 우리에게 매우 중요했습니다.

오늘날 오픈 소스가 클라우드 시장을 주도하고 있음이 분명합니다. 슬롯 나라 제품은 슬롯 나라 Inspect, Falco, Prometheus 등과 같은 오픈 소스를 기반으로하여 더 빠르게 진화하고 동시에 더 안전한 소프트웨어를 제공 할 수 있습니다.
이에 대해 Luedke는 말했습니다 :

슬롯 나라가 Prometheus와 같은 개방형 표준에서 작동하며 빠르고 쉽게 사용할 수 있다는 것은 큰 의미가 있습니다. 일부 기능이 혼합되지 않고 즉시 사용할 수 없더라도 Prometheus 엔드 포인트를 사용하여 필요한 것을 신속하게 빌드 할 수 있기 때문입니다. 정말 쉽고 빠릅니다. 이것은 매우 훌륭합니다.

Sysdig는 오픈 소스 기반 회사이며, 이는 공동 작업을 믿는다는 것을 의미합니다. Sysdig는 처음부터 고객의 요구에 따라 고객의 의견을 듣고 로드맵을 발전시키는 데 몇 시간을 보냈습니다. 오랜 Sysdig 사용자로서 Luedke는이 서비스 수준을 유지 한 Sysdig를 칭찬합니다.

슬롯 나라는 우리에게 좋은 파트너입니다. 그들은 항상 우리의 진화하는 요구를 받아들이고 크고 작은 우리를위한 해결책을 찾아 우리를 도와줍니다. 그들은 우리와 함께 계속 싸우고 있습니다.

Ayumi Kudou에 의해 번역