Kubernetes에 경험이 쌓여가면서 네트워크, 보안, persistent volume처리 등에 대한 모범사례나가 궁금해지고 있었습니다. 그래서 공식 컨퍼런스 전날에 열리는 KubeSec Enterprise Summit 2019에 참가하였습니다. 일정을 좀 빡빡하게 잡았었기 때문에 조금 늦게 도착하였습니다.

desk

빠르게 등록을 한 뒤 컨퍼런스에 참가했습니다.

요약

참석하기 전부터 이 행사를 AquaSecurity(https://www.aquasec.com/)라는 곳에서 한다는 것을 알고 있었습니다. 그래서 여기서 어떤 이야기를 하나를 기대하고 갔습니다. 결론적으로는 컨퍼런스 자체에서는 별다른 소득은 없었습니다. 재밌었던것이 몇개의 섹션에서 청중은 다들 모범사례가 없는지에 대해서 궁금해하고, 발표자들은 ‘그런게 없다’고 하거나 ‘공식 홈페이지에 있는 것이 좋은 시작점이다.’정도의 이야기를 했습니다. 보안이 원래 한번 뚫려야 대비책이 나오고 그 과정이 반복되면서 성장해나가는 시장이라 그런것 같기도 하고 그랬습니다. 전체적으로는 ‘보안’에 ‘기업 사람들’이 관심이 엄청 많고, 해결책은 좀 미약해서 답답한 느낌이 들었습니다. 혹은 컨퍼런스는 홍보를 위한 미끼인건가? 하는 생각이 들었습니다.

오픈소스 상세

https://github.com/aquasecurity/kube-bench

kube-bench라고 CIS Kubernetes Benchmark의 취약점이 타겟 클러스터에 있는지 점검해주는 툴입니다. 취약점이 있는지 알아보는 것이 중요하고 그런 의미에서 보안을 신경쓸 때 처음에 쉽게 해볼 수 있는 툴이라고 생각합니다. 다만 이 툴을 돌리면 많은 부분에서 X가 뜰텐데 그것이 어떤 것을 의미하는지, 그것을 모두 내부 인력이 고칠 수 있는지는 다른 영역인 듯 합니다. 아쿠아컴퍼니가 전략적으로 내놓은 툴이 아닌가 싶습니다.

https://github.com/aquasecurity/kube-hunter

침투테스트를 해주는 툴입니다. 침투테스트에 관심이 많아서 좀 더 코드를 분석해보기는 했습니다. 그리고 결론적으로 S/W를 잘하는 분이 만든 툴은 아니라는 결론을 내기리는 했습니다. star를 1,000개를 넘게 받았는데 정말로 이정도의 가치가 있는가? 하는 의구심이 많이 드는 툴입니다. 이렇게 생각하는 이유는,

  • 커버하는 영역이 넓지 못한 느낌입니다.
  • 테스트케이스도 많지 않고 코드에 버그도 많습니다. (https://github.com/aquasecurity/kube-hunter/issues/124)
  • 기본적인 스타일 가이드조차 지키지 않고 있습니다. (한 함수안에서 변수명이 snake_var와 camelVar가 섞여 있는 것을 보고 깜짝 놀랬습니다.)
  • Issue를 적극적으로 반영하지 않고 있습니다.

가져다가 좀 써볼라는데 적어도 우리 클러스터에서는 작동하지 않거나 취약한 부분에서 에러가 나서 그냥 스킵되면서 문제 없다고 나오거나 하는 등의 이슈때문에 결국 못써보았습니다. 아이디어는 좋아서 더더욱 아쉬움이 많이 남는 툴입니다. 빨리 좀 더 튼튼해지기를 기대하고 있습니다.

첫날 마무리

  • Kube를 기업에 반영을 하려고보니 보안 이슈가 많이 나오고 있는 것 같다라는 느낌을 받았습니다. 청중이 관심이 많은 것이 강하게 느껴졌습니다.
  • 발표자가 청중의 기대에 미치는 발표를 못한 느낌입니다. 원론적인 이야기나 회사 홍보 수준이었습니다.
  • 분위기를 본 것은 아주 마음에 듭니다. 다만 본 컨퍼런스도 이러면 어떻게하지 하는 우려가 좀 들었습니다. (다음날 우려가 해소되었습니다.)