한국어 
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
마침내 클라우드 컨테이너 레지스트리 보안을 향상할 수 있는 방법이 있습니다
릴리 헤이 뉴먼
악의적인 행위자가 개발 또는 배포 프로세스의 한 단계를 방해하는 소프트웨어 공급망 공격이 일상적인 위협으로 등장함에 따라 기술 업계는 체인의 각 링크를 보호해야 할 필요성에 대해 경각심을 불러일으켰습니다. 그러나 실제로 개선 사항을 구현하는 것은 어려운 일이며, 특히 광범위한 오픈 소스 클라우드 개발 생태계의 경우 더욱 그렇습니다. 이제 보안 회사인 Chainguard는 유비쿼터스이지만 오랫동안 간과되었던 구성 요소에 대한 보다 안전한 솔루션을 보유하고 있다고 말합니다.
"컨테이너 레지스트리"는 개발자가 각기 다른 소프트웨어 프로그램을 보유하는 클라우드 컨테이너의 "이미지"를 업로드하는 일종의 앱 스토어 또는 정보 센터와 같습니다. 매일 사용하는 클라우드 서비스는 애플리케이션에 액세스하기 위해 지속적으로 자동으로 컨테이너 레지스트리를 탐색하지만, 이러한 레지스트리는 분실, 도난 또는 추측될 수 있는 비밀번호만으로는 보안이 취약한 경우가 많습니다. 이는 특정 컨테이너 이미지에 액세스할 수 없는 사람이 해당 이미지를 다운로드할 수 있거나, 더 나쁜 경우에는 악의적일 수 있는 이미지를 레지스트리에 업로드할 수 있음을 의미하는 경우가 많습니다. Chainguard의 새로운 컨테이너 이미지 레지스트리는 이 난해하지만 널리 퍼져 있는 구멍을 막는 것을 목표로 합니다.
Chainguard의 CEO이자 오랜 소프트웨어 공급망 보안 연구원인 Dan Lorenc는 "상상할 수 있는 거의 모든 나쁜 일이 컨테이너 레지스트리에서 발생했습니다."라고 말합니다. "사람들은 비밀번호를 잃어버리고, 사람들은 고의로 맬웨어를 설치하고, 사람들은 업데이트하는 것을 잊어버립니다. 업계에서는 오랫동안 이 방식을 사용해 왔습니다. 모두가 재미있게 코드를 전달하고 있었고, 장기적인 결과에 대해 생각하는 사람은 아무도 없었습니다."
Chainguard 연구원들은 오랫동안 보다 신중하게 설계된 레지스트리, 특히 비밀번호를 제거하고 대신 SSO(Single Sign-On) 접근 방식을 사용하여 레지스트리 액세스를 제어하는 레지스트리 개발을 고려해 왔다고 말합니다. 이러한 방식으로 레지스트리는 필요에 따라 액세스 가능하거나 잠기도록 설계할 수 있으며 기업 ID 서비스 또는 Google 계정과 같은 다른 계정에 로그인한 후 특별히 승인된 사람만 레지스트리와 상호 작용할 수 있습니다.
Chainguard 소프트웨어 엔지니어인 Jason Hall은 "컨테이너 레지스트리는 약한 연결 고리였습니다."라고 말합니다. "그들은 꽤 지루하고 꽤 표준적입니다. 이것은 소프트웨어를 전달하기 위해 소프트웨어에 의존하는 소프트웨어입니다. 우리는 더 잘해야 하며 레지스트리와 통신하고 레지스트리로 푸시할 수 있도록 비밀번호를 제거해야 합니다."
하지만 이와 같은 시스템을 배포하는 데 있어 가장 큰 제약은 비용이었습니다. 컨테이너 레지스트리를 실행하는 것은 일반적으로 "송신 수수료"로 인해 비용이 매우 많이 듭니다. 즉, 클라우드 제공업체는 기업 고객에게 클라우드에 데이터를 업로드하는 데 비용을 청구하지 않지만 누군가가 데이터를 다운로드할 때마다 비용을 청구합니다. 따라서 컨테이너 레지스트리가 모든 사람이 컨테이너 이미지를 다운로드하기 위해 오는 앱 스토어와 같다면 송신 비용이 매우 빠르고 커질 수 있습니다. 아무도 더 안전한 대안을 제공하는 데 드는 비용을 부담하기를 원하지 않았기 때문에 컨테이너 레지스트리의 보안을 정밀 검사하는 작업에 대한 인센티브가 사라졌습니다.
제레미 화이트
케이트 닙스
유선 직원
스테파니 맥닐
Chainguard의 획기적인 발전은 인터넷 인프라 회사인 Cloudflare가 9월에 R2 스토리지 서비스의 일반 출시를 발표했을 때 이루어졌습니다. 이 제품의 목표는 Cloudflare 고객에게 송신 비용을 낮추고, 자주 다운로드되지 않는 데이터에 대해서는 비용을 부과하지 않는 것입니다. R2가 옵션으로 등장하자 Chainguard 연구원들은 보다 안전한 레지스트리를 사용하는 데 필요한 모든 것을 갖추게 되었습니다.
Cloudflare의 직원용 제품 관리 부사장인 Aly Cabral은 콘텐츠 전달 네트워크로서 회사가 R2와 같은 서비스를 제공할 수 있는 이유는 전 세계에서 데이터를 효율적으로 관리하고 이동하기 위해 시스템을 최적화하는 데 이미 막대한 투자를 했기 때문이라고 말합니다. . 그리고 그녀는 송신 비용이 클라우드 소프트웨어 개발뿐만 아니라 여러 영역에서 문제가 된다고 지적합니다. 예를 들어, AI 회사는 GPU 처리 능력을 찾기 위해 교육 데이터 세트를 다른 지역과 플랫폼으로 이동하는 방법이 점점 더 필요합니다.