Cloud One Workload Security로 인프라 보호하기

Trendmicro 의 Cloudone Workload Security를 도입하는 내용을 기재한 블로그입니다
2021.11.11

안녕하세요 클래스메소드의 수재입니다.
이번에 TrendMicro 사의 Cloud One Workload Security(Deep Security) 를 이용하여 인프라를 보호하는 작업을 했습니다.
앞으로도 많이 사용하게 될 것이라 생각되기에 블로그로 남겨두려 합니다.

Cloud One 에 대해

추가 보안 툴을 사용하는 이유

AWS, Azure, GCP 등에서 제공하는 보안 관련 서비스 이외에 인프라를 보호하는 툴을 도입하는 이유는 뭘까요?
보안은 고객과 클라우드 서비스의 공동 책임이기 때문입니다.

AWS를 예로 들면 인프라에 관한 공동 책임 모델이라는 AWS와 고객의 보안의 책임 범위에 대해 서술한 내용이 있습니다.
공동 책임 모델에 따르면 AWS 에서는 AWS 클라우드에서 제공되는 모든 서비스를 실행하는 인프라를 보호할 책임을 가집니다.
고객은 사용 서비스에 따라 다른 보안 책임을 가지게 됩니다.
그리고 클라우드에 넣는 데이터와 워크로드에 대한 궁극적인 책임이 사용자에게 있습니다.

특히 민감한 데이터를 다루는 인프라에서는 이러한 보안 책임을 충족하기 위해 외부 보안 툴을 도입하고 있습니다.

Cloud One 란?

그럼 이번에 사용한 Cloud One 이 어떤 서비스인지 알아보도록 하겠습니다.

트렌드마이크로 Cloud One™을 통한 클라우드 보안 서비스 플랫폼 - 공식 페이지

Trend Micro 사에서 제공하고 있는 서비스 중 하나로 클라우드 보안을 강화할 수 있는 서비스입니다.

제공하고 있는 솔루션으로는 다음과 같습니다.

  • 워크로드 보안
    • 물리, 가상, 클라우드, 컨테이너에 대한 런타임 워크로드 보안 솔루션
  • 컨테이너 이미지 보안
    • 파이프라인에서 이미지 스캐닝
  • 파일 스토리지 보안
    • 클라우드 파일 및 오브젝트 스토리지 서비스 보안
  • 애플플리케이션 보안
    • 서버리스 기능, API 그리고 애플리케이션 보안
  • 네트워크 보안
    • 클라우드 네트워크 계층 IPS 보안
  • Conformity
    • 클라우드 보안 및 규정준수 관리
  • Snyk를 통한 오픈소스 보안
    • 오픈 소스 취약성 및 라이센스 위험 모니터링

위의 서비스 중 이번에 인프라의 보호를 위해 사용한 것이 Cloud One Workload Security(이하 C1WS) 입니다.

그리고 이러한 솔루션들을 통하여 다음과 같은 요구사항에 대응할 수 있습니다.

클라우드 통합

네트워크 계층을 보호하는 동시에 퍼블릭, 프라이빗 및 가상 클라우드 환경의 검색 및 보호를 자동화합니다.

클라우드 네이티브 애플리케이션 보안

기존 인프라 또는 최신 코드 스트림, 개발 도구 모음 및 멀티 플랫폼 요구 사항에서 작동하는 보안 제어를 통해 애플리케이션을 구축하고 실행할 수 있습니다.

클라우드 운영의 우수성

아키텍처가 AWS 모범 사례 및 업계 규정 준수 표준에 얼마나 잘 부합하는지 자동으로 평가합니다.

가트너의 서비스 평가는 페이지를 참고해주세요.

요금은 종량제 및 구독제가 있습니다. 상세 요금은 문서를 참고해주세요.

Cloud One Workload Security

통합 SaaS 솔루션을 통해 성능이나 보안에 영향을 주지 않고 데이터센터, 클라우드 및 컨테이너를 보호합니다.
이번에 이용한 Workload Security는 Trend Micro 사에서 기존에 제공하고 있던 Deep Security와 같은 기능을 제공합니다.
사용 방법도 Deep Security Agent를 설치한 후 Cloud One 콘솔 화면에서 정책 등을 적용하는 것으로 끝입니다.

어떻게 쓰는 거야?

그럼 구축한 EC2에 C1WS를 적용해보겠습니다.
현재 C1WS에서는 30일간의 무료 체험과 워크로드 보안 데모를 제공하고 있습니다.
본 글에서는 무료 체험을 이용하여 설정합니다.

시스템 요구사항

서비스를 이용하기 위해선 다음과 같은 요구사항이 있습니다.

최소 RAM 및 디스크 공간 공식 문서

Platform Features enabled Minimum RAM Recommended RAM Minimum disk space
Windows All Protection 2GB 4GB 1GB
Windows Read Only 2GB 4GB 900GB
Linux All Protection 2GB 5GB 1GB
Linux Read Only 2GB 4GB 900GB
Solaris All Protection,
Relay not supported
4GB 4GB 2GB
AIX All Protection,
Relay not supported
4GB 4GB 2GB

지원 플랫폼 Windows, RHEL, Ubuntu, CentOS 등등 다양한 OS을 지원하고 있습니다.
OS 종류와 버전에 따라 에이전트가 지원하는 버전이 다르니 공식 문서를 참고해주세요.

지원 기능 지원 플랫폼과 마찬가지로 각 OS 별로 지원하는 기능의 제약이 있을 수 있습니다.
도입 전 원하는 기능을 제공받을 수 있는지 공식 문서를 참고해주세요.

보안 그룹의 Outbound 443 포트로 나가는 Outbound의 허용이 필요합니다.
허용하는 소스의 제한이 필요하다면 공식 문서를 참고하여 설정합니다.

써보기

기존에 생성된 EC2에 C1WS를 도입하는 방법을 알아보겠습니다.
회원 가입부터 설명하자면 순서는 다음과 같습니다.

  1. 계정(Account) 생성
  2. 에이전트 설치
  3. 폴리시 및 태스크 설정

계정 생성

회원 가입 후 가장 먼저 하는 작업은 계정 생성 입니다.
Cloud One 에서는 계정이 관리의 가장 큰 유닛이며 복수의 계정을 생성할 수 있습니다.
생성 후에 해당 계정으로 들어갑니다.
이후 Workload Security에 액세스합니다.

에이전트 설치

계정을 만들고 Workload Security에 들어가도 아직 아무런 인스턴스가 표시되지 않지만 인스턴스에 에이전트를 설치하면 표시됩니다.
폴리시을 만든 후 에이전트를 설치해도 되지만 본 글에선 우선 에이전트를 설치하겠습니다.
에이전트 설치는 아래 이미지의 탭에서 제공하고 있는 스크립트를 실행하면 됩니다.
(직접 설치도 가능합니다.)

플랫폼을 선택한 후 바로 적용할 폴리시 등이 있다면 선택합니다.
선택 후 스크롤을 내리면 실행시킬 스크립트가 작성되어 있습니다. 그대로 복사하여 인스턴스에서 실행합니다.

만약 인스턴스가 생성되어있지 않다면 인스턴스 생성 시 사용자 데이터에 입력해도 됩니다.

에이전트가 설치되었다면 잠시 후 콘솔 화면에서 인스턴스를 확인할 수 있습니다.

폴리시 및 태스크 설정

폴리시을 생성하여 서버마다 각기 다른 감시를 설정할 수 있습니다.

콘솔화면에서 상단의 폴리시(Policies)에 들어갑니다.
이후 New -> New Policy를 선택하면 다음과 같은 창이 나옵니다.

이름과 폴리시의 위치를 정한 후 다음(Next)를 눌러 기존 컴퓨터에 폴리시을 적용할 것인지 정합니다.
마지막으로 설정할 폴리시을 정합니다.

그리고 각 컴퓨터에서 실행할 태스크를 지정합니다.
생성은 Administration -> Scheduled Tasks 에서 할 수 있습니다.
설정 방법은 간단하게 할 수 있습니다.
각 모듈에 대한 설명은 공식 문서를 참고해주세요.

이로써 사용하기 위한 기본적인 설정이 완료되었습니다.

이외에 할 작업

유저 추가

Cloud One의 홈 화면에서 하단의 User Management에서 유저 관리가 가능합니다.

라이센스가 끝나간다면?

Cloud One의 홈 화면에서 하단의 Subscription Management에서 라이센스 관리가 가능합니다.
[Subscribe through AWS Marketplace] 버튼을 눌러 AWS Marketplace 에서 구독합니다.
요금은 다음과 같습니다.

상세한 내용은 공식 문서를 참고해주세요.

구독했다면 AWS 계정의 연계를 추천드립니다.
방법은 Workload Security 콘솔 화면의 Computers -> New -> Add AWS Account 에서 진행합니다.
Cloudformation을 이용하는 Quick과 AWS 계정에서 IAM 유저 혹은 교차 계정 역할을 생성하는 Advanced가 있습니다.
(2021년 11월 기준)현재 Quick에서 생성하는 스택의 람다가 오래된 nodejs 버전을 사용하고 있으니 Advanced로 해주세요
IAM 유저를 생성하는 방법은 이 페이지를 참고해주세요.
교차 계정 역할을 이용한다면 이 페이지를 참고해주세요.

마치며

Trendmicro 에서는 본 글에서 설명한 Cloudone Workload Security 이외에 다양한 솔루션을 제공중입니다.
Trendmicro 뿐만 아니라 필요에 따라 다양한 솔루션을 도입하여 인프라의 보안을 강화해 나가는 것을 추천합니다.

긴 글 읽어주셔서 감사합니다.
오탈자 및 내용 피드백은 언제나 환영합니다. must01940 지메일로 보내주시면 감사합니다.