https://www.itworld.co.kr/article/4007956/%EC%9C%A0%EC%97%B0%EC%84%B1%EA%B3%BC-%EB%B3%B4%EC%95%88%EC%9D%84-%ED%95%9C%EB%B2%88%EC%97%90-%ED%97%88%EB%AC%BC%EC%96%B4%EC%A7%80%EB%8A%94-%EC%BB%A8%ED%85%8C%EC%9D%B4%EB%84%88%EC%99%80-%EA%B0%80.html
"유연성과 보안을 한번에" 허물어지는 컨테이너와 가상머신의 경계
IT 업계는 새로운 추상화를 통해 경계를 다시 설정한 뒤, 이전 방식을 구식이라 선언하길 좋아한다. 이는 애플리케이션 아키텍처(모놀리식 vs. 마이크로서비스), 프로그래밍 언어(JVM 기반 언어 vs.
www.itworld.co.kr
컨테이너와 가상머신이 힙을 합치고 있다.
컨테이너에서 보안 격리가 부족한 부분에 대해서 마이크로VM이 대안이 되고 있다.
컨테이너는 여러 컨테이너가 같은 OS커널을 공유한다. 즉 하나의 컨테이너가 침해당하면 컨테이너가 실행되는 호스트, 즉 OS가 침해되고 다른 컨테이너까지 피해가 확산될 수 있다.
컨테이너는 기본적으로 OS수준의 가상화를 제공해 파일시스템과 프로세스를 분리한다.
리눅스 커널에 취약점이 있으면 싯스템 전체로 침투해 상위 권한을 얻을 수 있다.
최근 에데라가 시작한 오픈소스 프로젝트 '크라타'가 있다. 크라타는 가상머신의 격리성과 자원제어 기능을 제공하면서 도커처럼 쿠버네티스상에 구축하며 유사한 개발환경을 제공한다.
크라타는 마이크로커널을 기반으로하고 어떤 운영체제든 사용할 수 있다. 커널 상태를 공유하지 않기 때문에 격리성이 보장된다.
'④ IT 스타트 (IT Competence) > 클라우드 보안' 카테고리의 다른 글
| TXT Record, CNAME Record 차이점, 제약사항 알아보기 (0) | 2025.09.18 |
|---|---|
| SECaaS 이용 시 DNS설정을 위한 A Record/CNAME Record 등록 (0) | 2025.09.18 |
| K 클라우드 네이티브 서브밋 (1) | 2024.11.27 |
| Kubernetes 튜토리얼 학습 환경 (1) | 2024.11.26 |
| 클라우드 네이티브 보안 솔루션 : CNAPP = CSPM + CWPP (0) | 2024.11.14 |