아콘소프트가 전하는 다양한 소식을 만나보세요.
7
A. 쿠버네티스(PaaS)에 필요한 보안 기능
쿠버네티스 또는 칵테일 클라우드와 같은 PaaS는 추가 적인 보안 기능이 필요합니다. 여기서 '추가적'이란 말이 중요 합니다. 이 말은 기존 인프라와 어플리케이션 보안을 새롭게 변경하는 것이 아니라 추가된 보안을 구축 하여야 함을 말합니다. 따라서 기존 보안 정책은 칵테일 클라우드를 도입하여도 그대로 적용 됩니다.
예를 들어 현대 카드의 보안성 심사 매뉴얼을 보면 인프라, 네트워크, OS, 어플리케이션에 필요한 항목은 기존과 동일하고 컨테이너와 연관된 쿠버네티스, 도커 관련 보안이 추가 되어 있습니다. 따라서 칵테일 클라우드가 기업 전체의 보안 정책을 준수 하는게 아니라 컨테이너와 연관된 보안 기준을 충족 하는 형태로 보안성 심사를 받습니다.
컨테이너 관련 주요 보안 영역은 아래와 같습니다.
컨테이너 런타임(도커)의 설치와 구성
쿠버네티스 설치와 구성
컨테이너 실행 보안(파드 보안 정책 적용)
컨테이너 네트워크 보안(네임스페이스 네트워크 정책)
컨테이너 이미지 보안(취약점 검사)
쿠버네티스 클러스터 계정 관리(인증과 권한, 감사로그)
위 영역을 제외한 영역(인프라, 물리 네트워크, 어플리케이션 등)은 기존 보안 정책에 맞게 구성 하면 됩니다.
A. 칵테일 클라우드의 보안 기능 특징
우선 위 컨테이너 영역의 보안 정책에 필요한 기능은 칵테일 클라우드가 모두 제공 합니다. 다만, 경쟁 솔루션과 비교하여 차별화 된 점은 '멀티 클러스터' 보안을 통합 관리 한다는 것과 '클러스터 계정 관리' 입니다.
하나 이상의 멀티 클러스터 환경에서 보안 정책을 통합 관리 하는 것은, 업무 효율과 통제 면에서 매우 중요 합니다. 칵테일 클라우드는 GUI 기반 클러스터 관리 기능을 통해 각 클러스터의 보안 정책을 관리합니다.
클러스터 계정은 쿠버네티스에 사용자가 직접 접속하여 작업하는 경우에 사용 됩니다. 사용자에게 인증 파일을 제공하는 형태로, 만약 사용자가 제공된 인증 파일을 허술하게 관리 하면 보안에 큰 문제가 생깁니다.
칵테일 클라우드는 사용자에게 클러스터 계정을 필요한 권한과 함께 부여하고, 전체 현황/사용 기한/회수를 통해 철저한 관리를 할 수 있도록 지원 합니다. 또한 보안 문제 발생 시 감사로그 추적을 통해 원인과 책임자를 찾아 조치 할수 있도록 합니다. 클러스터 계정은 외부 접속 용도로 사용하고 유출 시 피해가 매우 클 수 있어 철저한 관리가 필요 합니다.
A. 칵테일 클라우드는 CNCF에서 인증하고, 메이저 금융 기업을 포함한 대기업에서 검증하고, 채택하였습니다.
최근 오픈시프트와 같은 외산 제품과 비교하여, 칵테일 클라우드 제품 안정성을 믿을 수 있는지에 대한 질문이 늘어나고 있습니다.
PoC나 BMT를 하면 증명 할 수 있지만, 그렇지 못한 상황에서는 어떻게 설명 할지 난감한 경우가 있는데요, 아래와 같은 내용을 골자로 설명하면 좋을 것 같아 소개 드립니다.
Cocktail 클라우드는 2016년도 제품 출시 이후 Kubernetes 원천 기술을 가지고 있는 Google의 Cloud Technology Partner 인증, Kubernetes 국제 표준 기구 역할을 하고 CNCF 재단의 Product / Service / Admin / Trainer 인증을 모두 획득하였습니다.
또한, 한국정보통신기술협회(TTA)의 GS (Good Software) 소프트웨어품질 인증(1등급), 클라우드 상호 운영성, 클라우드 컴퓨팅 품질·성능 시험 인증, 한국클라우드산업협회의 클라우드 서비스 관리체계 인증 등을 통하여
‘클라우드컴퓨팅서비스 품질·성능에 관한 기준(과학기술정보통신부고시)’에 적합한 PaaS 기술의 가용성, 응답성, 확장성,신뢰성 등을 검증 받았습니다.
거기에 LS그룹, 두산그룹, 쌍용정보통신, S전자, 신한은행, H금융, 특허청, LH공사, 스트림미디어(일본), 에이젠텍(일본) 등 다년간 다양한 PaaS 프로젝트를 통하여 Openstack, VM웨어, Citrix Hypervisor, HCI, Azure, AWS, GCP 등 Multi Hypervisor 및 Multi Cloud, Multi IaaS 플랫폼에 실제 구축한 경험을 보유하게 되었습니다.
최근에는 H금융그룹의 표준 PaaS 플랫폼 제품으로 선정 구축되었고, PaaS 보안 심의도 통과하였습니다.
보안 심의는 Kubernetes API Server/Etcd/ PodSecurityPolicy Config. 및 PaaS 어드민 포탈, PaaS 관리 DB 부문의 각 세부 항목에 대한 금융감독원 보안 심사 기준에 준하는 보안 심의를 진행 완료하였습니다.
그리고 수십만 명이 동시에 이용하는 Mission Critical한 App 서비스의 운영 안정성과 가용성을 검증,확보하기 위한 25,000 TPS 이상의 부하테스트 및 물리/논리(VM)노드에 대한 Fail Over테스트를 모두 통과 하였고 비상 재해 시 필요한 DR 시스템 구축까지 완료하였습니다. 이는 국내에서 PaaS DR 을 도입한 첫 사례 입니다.
A. 쿠버네티스 클러스터 기능 만 가지고 타 제품과 비교하면 차별 점을 찾기 어렵습니다. 물론 타제품도 마찬가지 입니다.
칵테일 클라우드는 CUBE라는 쿠버네티스 제품(배포판)를 가지고 있습니다. 신한은행, 현대키드 등 프로젝트를 통해 매우 안정된 성능을 보여 주는 제품입니다.
하지만 이 제품도 쿠버네티스 기능에 기반하고 있습니다. 타 제품과 마찬가지로. 따라서 쿠버네티스 또는 클러스터 기능만 가지고 타 제품과 비교한다면 차별 점을 찾기 어렵습니다.
칵테일 클라우드는 CUBE 클러스터 위에 통합 관리와 DevOps를 지원하는 플랫폼이 있습니다. 칵테일 클라우드를 통합 관리 플랫폼이라 하는 이유도 여기에 있습니다.
타 제품과 비교하여 차별점을 찾으려면 통합관리 플랫폼 기능에서 찾아야 합니다.
A. 가능합니다. 다만, 이미 구축된 환경에 대해서 사전 확인이 필요합니다.
문의/FAQ 메뉴로 연락 주시면 상담을 통해 해결 방법을 제안해 드리겠습니다.
예. 기업형 제품인 칵테일 클라우드를 선택하시면 프라이빗 클라우드를 구축할 수 있습니다.
문의/FAQ 메뉴로 연락 주시면 상담을 통해 상세히 설명 드리겠습니다.
칵테일 클라우드는 자체 개발한 CI/CD 파이프라인을 제공합니다.
고객 레거시 시스템과의 연동도 가능합니다만, 무료 플랜을 통해 자동화 된 CI/CD 파이프라인을 경험 해 보시기 바랍니다.
칵테일 클라우드 온라인은 설치형인 칵테일 클라우드를 온라인에서 편하게 사용 하실 수 있도록 경량화한 제품입니다.
온라인 서비스에 맞도록 사용의 편의성과 인프라 도입/구축 단계의 사용자 복잡도를 GUI 수준에서 단순화하였습니다.