Cloud Security Management(CSM)용 Kubernetes Security Posture Management(KSPM)는 CIS에서 정의한 업계의 검증된 모범 사례나 사용자가 설정한 커스텀 감지 정책을 기준으로 환경을 벤치마킹하여, Kubernetes 배포의 보안 상태를 사전에 강화합니다.

KSPM 설정

KSPM을 최대한 활용하려면 Datadog Agent와 클라우드 통합을 모두 설치해야 합니다. 자세한 방법은 아래 문서에서 확인하세요.

• CSM Enterprise (Agent 및 클라우드 통합)
• CSM Pro (Agent 및 클라우드 통합)

이를 통해 Datadog은 다음 각 리소스 유형에 대한 Kubernetes 배포의 위험을 감지할 수 있습니다.

Kubernetes 배포 전반에 걸쳐 위험 모니터링

KSPM으로 Datadog은 50개 이상의 기본 Kubernetes 감지 규칙이 정의한 위험을 사용자 환경에서 스캔합니다. 특정 기간 동안 규칙이 정의한 위험 발견 시 알림이 전송되고 Misconfigurations Explorer에 결과가 나타납니다.

각 결과는 전체 리소스 구성, 리소스 수준 태그, 인프라스트럭처의 다른 구성 요소와 리소스 간의 관계 맵 등을 포함하여 문제가 미치는 영향을 파악하는데 도움이 됩니다. 문제와 영향을 파악한 다음 CSM 내에서 Jira 티켓을 생성하거나 사전 정의된 워크플로를 실행하여 문제 해결을 시작할 수 있습니다.

참고: API를 사용하여 결과를 프로그래밍 방식으로 처리할 수도 있습니다.

업계 표준 프레임워크 기준 Kubernetes 보안 태세 평가

CSM은 단일 지표를 사용하여 보안 및 규정 준수 상태를 파악할 수 있는 보안 태세 점수를 제공합니다. 이 점수는 모든 활성 기본 클라우드 및 인프라스트럭처 감지 규칙을 충족하는 환경의 비율을 나타냅니다. 전체 조직 또는 Kubernetes 배포를 포함한 특정 팀, 계정, 환경의 점수를 확인할 수 있습니다.

보안 태세 점수에 관한 자세한 내용은 보안 태세 점수를 참고하세요.

Kubernetes 배포의 보안 태세 점수 보기

Kubernetes 배포의 보안 태세 점수를 확인하려면 Security > Compliance 페이지로 이동하여 CIS Kubernetes 프레임워크 보고서를 찾으세요.

Kubernetes 프레임워크의 상세 보고서 보기

프레임워크 요구 사항 및 규칙을 기준으로 산정된 점수를 상세 보고서에서 확인하려면 Framework Overview를 클릭하세요. 프레임워크 페이지에서 보고서 사본을 PDF 파일로 다운로드하거나 CSV 파일로 내보낼 수 있습니다.

맞춤형 Kubernetes 감지 규칙 만들기

기본으로 제공되는 감지 규칙 외에도 기존 규칙을 복제하거나 새 규칙을 직접 생성할 수도 있습니다. 규칙은 Rego 정책 언어로 작성됩니다. Rego는 Python과 유사한 유연한 언어로, 감지 규칙을 작성할 때 업계 표준으로 사용됩니다.

감지 규칙을 만든 후 심각도(Critical, High, Medium, Low, Info)를 정의하고, 실시간 알림을 설정하여 새로운 결과 감지 시 알림을 받을 수 있습니다.

참고 자료

추가 유용한 문서, 링크 및 기사:

기본 CSM Misconfigurations 클라우드 설정 감지 규칙 살펴보기설명서 커스텀 규칙 생성설명서