Amazon Inspector 업데이트 – Amazon ECR 이미지 매핑을 통한 실행 중 컨테이너 보안 강화 기능 출시

컨테이너 워크로드를 실행할 때는 소프트웨어 취약성으로 인해 리소스에 대한 보안 위험이 어떻게 발생하는지 이해해야 합니다. 지금까지는 Amazon Elastic Container Registry(Amazon ECR) 이미지의 취약성을 식별할 수는 있었지만, 이러한 이미지가 컨테이너에서 활성 상태인지 확인하거나 사용량을 추적할 수는 없었습니다. 실행 중인 클러스터에서 이러한 이미지가 사용되고 있는지 확인할 수 없었기 때문에 실제 배포 및 사용 패턴을 기반으로 수정 사항의 우선순위를 지정하는 기능이 제한되었습니다.

오늘부터 Amazon Inspector에서 취약성 관리를 강화하는 두 가지 새로운 기능을 제공하여 컨테이너 이미지를 보다 포괄적으로 볼 수 있습니다. 먼저 이제 Amazon Inspector에서 실행 중인 컨테이너에 Amazon ECR 이미지를 매핑하여 보안 팀이 현재 환경에서 실행 중인 컨테이너를 기반으로 취약성의 우선순위를 지정할 수 있습니다. 이러한 새로운 기능을 사용하면 Amazon ECR 이미지의 취약성을 분석하고 현재 실행 중인지 여부와 컨테이너 환경에서 마지막으로 실행된 시점을 기준으로 조사 결과의 우선순위를 지정할 수 있습니다. 또한 이미지가 배포된 클러스터 Amazon 리소스 이름(ARN), EKS 포드 수 또는 ECS 태스크를 확인할 수 있어 사용량과 심각도에 따라 수정 사항의 우선순위를 지정하는 데 도움이 됩니다.

둘째, 취약성 검사 지원을 스크래치 이미지, 디스트로리스 이미지, Chainguard 이미지를 포함한 최소 기본 이미지로 확대하고, Go 도구 체인, Oracle JDK 및 JRE, Amazon Corretto, Apache Tomcat, Apache httpd, WordPress(코어, 테마, 플러그인), Puppeteer 등의 추가 에코시스템에 대한 지원을 확대하고 있어 고도로 최적화된 컨테이너 환경에서도 팀이 강력한 보안을 유지할 수 있습니다.

Amazon Inspector는 컨테이너에서 실행되는 이미지에 대한 지속적인 모니터링과 추적을 통해 팀이 해당 환경에서 활발하게 실행 중인 컨테이너 이미지와 배포 위치를 식별하고 Amazon Elastic Container Service(Amazon ECS)와 Amazon Elastic Kubernetes Service(Amazon EKS)의 컨테이너에서 실행되는 Amazon ECR 이미지와 관련 취약성을 감지할 수 있도록 합니다. 이 솔루션은 단일 AWS 계정, 교차 계정 시나리오, 위임된 관리자 기능을 갖춘 AWS Organizations에서 Amazon ECR 이미지를 관리하는 팀을 지원하여 컨테이너 이미지 실행 패턴을 기반으로 한 중앙 집중식 취약성 관리를 가능하게 합니다.

작동 방식 배워보기
Amazon ECR 이미지 스캔은 Amazon Inspector와 통합되어 리포지토리에 대한 자동화된 지속적인 스캔을 제공하는 향상된 스캔을 통해 컨테이너 이미지의 취약성을 식별하는 데 도움이 됩니다. 이 새로운 기능을 사용하려면 Amazon ECR 설명서 페이지의 이미지에 대한 향상된 스캔 구성 단계에 따라 Amazon ECR 콘솔을 통해 향상된 스캔을 활성화해야 합니다. 저는 이미 Amazon ECR의 향상된 스캔을 사용하고 있으므로 별도의 작업을 수행할 필요가 없습니다.

Amazon Inspector 콘솔에서 일반 설정으로 이동하고 탐색 패널에서 ECR 스캔 설정을 선택합니다. 여기에서는 마지막 사용 중 날짜와 마지막 풀링 날짜 중에서 선택하여 새로운 이미지 재스캔 모드 설정을 구성할 수 있습니다. 기본적으로 마지막 사용 중 날짜는 그대로 두고 이미지 마지막 사용 중 날짜를 14일로 설정합니다. 이렇게 설정하면 Inspector가 지난 14일 동안 Amazon ECS 또는 Amazon EKS 환경에서 이미지가 실행된 시점을 기준으로 이미지를 모니터링합니다. 이러한 설정을 적용한 후에는 Amazon Inspector가 컨테이너에서 실행되는 이미지에 대한 정보를 추적하기 시작하고 이를 취약성 조사 결과에 통합하므로 현재 환경의 컨테이너에서 활발하게 실행 중인 이미지에 집중할 수 있습니다.

구성이 완료되면 세부 정보 메뉴에서 컨테이너에서 실행되는 이미지에 대한 정보를 보고, 마지막 사용 중 날짜와 풀링 날짜, EKS 포드 또는 ECS 태스크 개수를 확인할 수 있습니다.

배포된 ECS 태스크/EKS 포드 수를 선택하면 각 이미지의 클러스터 ARN, 마지막 사용 날짜 및 유형을 볼 수 있습니다.

교차 계정 가시성 데모를 위해 두 계정에 배포된 EKS 포드가 있는 리포지토리가 있습니다. 리소스 범위 메뉴에서 컨테이너 리포지토리로 이동하여 리포지토리 이름을 선택하고 이미지 태그를 선택합니다. 전과 마찬가지로 배포된 EKS 포드/ECS 태스크 수를 확인할 수 있습니다.

배포된 EKS 포드/ECS 태스크 수를 선택하면 해당 항목이 다른 계정에서 실행되고 있음을 확인할 수 있습니다.

조사 결과 메뉴에서 모든 취약성을 검토할 수 있으며, 취약성을 하나 선택하면 영향을 받은 리소스 데이터에서 취약성과 관련된 마지막 사용 중 날짜와 배포된 ECS 태스크/EKS 포드를 찾을 수 있어 실제 사용량에 따라 수정의 우선순위를 지정하는 데 도움이 됩니다.

모든 조사 결과 메뉴에서 이제 계정 ID, 이미지 사용 횟수, 이미지 마지막 사용 시간과 같은 필터를 사용하여 계정 관리 내의 취약성을 검색할 수 있습니다.

주요 기능 및 고려 사항
컨테이너 이미지 수명 주기 기반 모니터링 – 이제 Amazon Inspector는 이미지 푸시 날짜(14일, 30일, 60일, 90일 또는 180일) 또는 수명, 이미지 풀 날짜(14일, 30일, 60일, 90일 또는 180일), 중단 기간(없음~14일, 30일, 60일, 90일 또는 180일) 및 컨테이너에서 실행되는 이미지의 상태를 기준으로 이미지 활동을 결정합니다. 이러한 유연성을 통해 조직은 리포지토리 이벤트뿐만 아니라 실제 컨테이너 이미지 사용량을 기준으로 모니터링 전략을 조정할 수 있습니다. Amazon EKS 및 Amazon ECS 워크로드의 경우 마지막 사용 기간, 푸시 및 풀 기간은 14일로 설정되며, 이제 이것이 신규 고객의 기본값입니다.

이미지 런타임 인식 조사 결과 세부 정보 – 수정 작업의 우선순위를 지정하는 데 도움이 되도록 이제 Amazon Inspector의 각 검색 결과에 이미지가 컨테이너에서 마지막으로 실행된 날짜와 현재 이미지를 사용하고 있는 배포된 EKS 포드/ECS 태스크 수를 나타내는 lastInUseAt 날짜와 InUseCount가 포함됩니다. Amazon Inspector는 모든 계정의 Amazon ECR 마지막 풀 날짜 데이터와 Amazon ECS 태스크에서 실행되는 이미지 또는 Amazon EKS 포드 컨테이너 데이터를 모두 모니터링하여 이 정보를 하루에 한 번 이상 업데이트합니다. Amazon Inspector는 이러한 세부 정보를 모든 조사 결과 보고서에 통합하고 Amazon EventBridge와 원활하게 작동합니다. 롤링 윈도우 또는 고정 범위 옵션을 사용하여 lastInUseAt 필드를 기준으로 조사 결과를 필터링하고 지난 14일, 30일, 60일 또는 90일 내의 마지막 실행 날짜를 기준으로 이미지를 필터링할 수 있습니다.

포괄적인 보안 적용 범위 – Amazon Inspector는 이제 단일 서비스를 통해 기존 Linux 배포판과 스크래치, 디스트로리스, Chainguard 이미지를 비롯한 최소 기본 이미지 모두에 대한 통합 취약성 평가를 제공합니다. 이렇게 확장된 적용 범위를 통해 기존 배포부터 고도로 최적화된 컨테이너 환경에 이르기까지 전체 컨테이너 에코시스템에서 강력한 보안 관행이 유지되면서 여러 스캔 솔루션을 사용할 필요가 없어집니다. 이 서비스는 중앙 집중식 플랫폼을 통해 포괄적인 취약성 관리를 제공하여 보안 운영을 간소화하고 모든 컨테이너 유형을 효율적으로 평가할 수 있도록 합니다.

교차 계정 가시성 향상 – 이제 위임된 관리자 기능을 통해 단일 계정, 교차 계정 설정 및 AWS Organizations 전반의 보안 관리가 지원됩니다. Amazon Inspector는 동일한 조직 내에서 컨테이너 정보에서 실행되는 이미지를 공유하는데, 이는 골든 이미지 리포지토리를 유지 관리하는 계정에 특히 유용합니다. Amazon Inspector는 리소스가 API가 있는 계정에 속하는 경우 이미지가 실행되는 Amazon EKS 및 Amazon ECS 클러스터에 대한 모든 ARN을 제공하여 여러 AWS 계정에 대한 포괄적인 가시성을 제공합니다. 시스템은 배포된 EKS 포드 또는 ECS 태스크 정보를 매일 한 번 이상 업데이트하고 계정이 조직에 가입하거나 조직을 탈퇴할 때 자동으로 정확성을 유지합니다.

가용성 및 요금 – 새로운 컨테이너 매핑 기능은 현재 Amazon Inspector가 제공되는 모든 AWS 리전에서 추가 비용 없이 사용할 수 있습니다. 시작하려면 AWS Inspector 설명서를 참조하세요. 요금 세부 정보와 리전별 가용성은 AWS Inspector 요금 페이지를 참조하세요.

PS: 게시물 제목 아래에 이름이 하나만 표시되더라도 AWS 블로그 게시물은 항상 팀의 노력을 통해 작성됩니다. 이 개요를 포괄적으로 작성할 수 있도록 기술적인 조언과 전문 지식을 아낌없이 제공해 준 Nirali Desai에게 감사의 말씀을 전합니다.

– Eli

뉴스 블로그를 어떻게 생각하시나요? 이 1분짜리 설문조사에 참여해 주세요!

(이 설문조사는 외부 기업에서 호스트합니다. AWS는 AWS 개인정보 처리방침에 설명한 대로 사용자 정보를 처리합니다. AWS는 이 설문 조사를 통해 수집된 데이터를 소유하며 수집된 정보를 설문 응답자와 공유하지 않습니다)