‘가상화 및 쿠버네티스 인프라 보호‘
클라우드 환경의 보안에 대한 우려는 어제오늘 일이 아닙니다. 주요 CSP(Cloud Service Provider)는 보안 강화를 위해 오랜 기간 노력해 왔고 그 결과 2022년 현재 클라우드 보안은 걱정이 필요 없는 수준까지 발전하였습니다.
이런 흐름을 이끄는 CSP(Cloud Service Provider)가 바로 구글 클라우드(Google Cloud)입니다. 구글 클라우드는 APT 공격, 악의적인 내부자, 펌웨어 조작, 인프라 버그로 인한 침해를 방지하기 위해 근본적인 보안 강화 수단을 제공합니다.
이번 포스팅에서는 구글 클라우드의 가상화 및 쿠버네티스 인프라 보안에 대해 알아보겠습니다.
😃 구글 클라우드 보안이 강할 수밖에 없는 이유
세부적인 내용을 알아보기에 앞서 구글 클라우드가 인프라 보안을 위해 어떤 노력을 기울이는지 요약해 보겠습니다.
구글 클라우드는 보안 가상화 플랫폼을 제공합니다. 이를 통해 악의적인 내부 관리자부터 외부 공격자 그리고 최근 물의를 일으키고 있는 국가가 배후에 있는 공격 그룹의 침해 시도를 차단합니다.
다음으로 구글 클라우드는 공격 표면적(Attack Surfaces)을 줄이는 다양한 기능과 기술을 지속해서 적용하고 있습니다.
마지막으로 구글 클라우드는 취약점을 완화할 수 있도록 서비스의 보안을 강화하고 있습니다.
😃 칩 수준의 보안 강화
먼저 타이탄(Titan) 칩 이야기를 해보겠습니다.
구글 클라우드는 칩 수준의 보안을 제공합니다. 타이탄 칩은 부팅 시점에 펌웨어 수준의 검증을 합니다.
타이탄 칩에서 시작되는 보안 강화 절차를 알아보겠습니다.
먼저 프로덕션 환경의 서버를 부팅하면
☝️ 타이탄 칩이 BIOS 유효성을 검증하고,
☝️☝️ 뒤를 이어 부트로더 검증이 이루어지고,
☝️☝️☝️ 다음으로 커널을 검증하고,
☝️☝️☝️☝️ 커널은 시스템의 다른 부분을 살핍니다.
이를 통해 해커에 의한 임의적인 조작이나 수정이 없는지를 사전에 평가한 다음 안전하게 부팅을 합니다. 칩 수준에서 펌웨어와 주요 코드 검증이 이루어진다고 보면 됩니다.
이 외에도 구글 클라우드는 네트워크 인터페이스 카드(NIC), 메인보드, 스토리지 등 주변기기에 대한 보안 검증도 수행합니다.
🙂 가상화 및 컨테이너 보안 강화를 위한 구글 클라우드의 보안 조치
📌 Google KVM Hypervisor
가상화의 경우 구글 클라우드는 KVM 환경의 보안을 강화하였습니다. 그 방향은 공격 표면적을 줄이는 쪽을 향하고 있습니다. 앞서 소개한 타이탄 칩을 통해 펌웨어 수준의 검증을 합니다.
그리고 구글 클라우드는 유저 스페이스 가상 머신 모니터 및 하드웨어 에뮬레이션인 QEMU를 사용하지 않습니다. 대신 보안성이 높은 유저 스페이스 가상 머신 모니터를 직접 작성하였습니다.
이와 더불어 오픈 소스 커뮤니티에 주도적으로 참여해 KVM 관련 보안 취약점을 식별하고 해결책을 제시하고 있습니다.
📌 Shielded VM
[더 높은 수준의 보안을 원한다면?] 이런 요구를 수용하기 위해 구글 클라우드는 Shielded VM과 Shielded GKE 노드를 제공합니다. Shielded VM은 호스트와 게스트에 TPM(Trusted Platform Module)을 적용한 서비스입니다. 이를 통해 하드웨어와 플랫폼의 무결성을 철저히 검증합니다. 물론 일반적인 KVM 환경처럼 타이탄 칩을 이용한 펌웨어 수준의 보안 강화도 당연히 지원합니다.
📌 Shielded GKE Node
Shielded GKE 노드도 개념은 비슷합니다. 쿠버네티스 클러스터 마스터와 게스트에 TPM 드라이버를 적용하여 보안성을 강화한 서비스입니다.
📌 Confidential VMs and GKE
이외에도 구글 클라우드는 Confidential VM 및 GKE 노드도 제공합니다. 이들 서비스는 AES 암호화 엔진으로 메모리 컨텐츠를 암호화합니다. 이를 통해 성능 저하 없이 민감한 데이터를 암호화 할 수 있습니다.
이상으로 『 구글 클라우드의 가상화 및 쿠버네티스 환경의 보안 』 에 대해 알아보았습니다. 😎
더 자세한 내용은 언제든지 메가존소프트로 문의 바랍니다. 👉 메가존소프트 문의 바로가기
