위험 요소: 외부에 노출됨

코드가 배포되어 있다는 사실을 아는 것은 누군가가 우려되는 결함을 악용할 가능성이 있음을 알려줍니다. 그 누군가는 조직 내의 신뢰할 수 있는 사람일 수도 있고, 전혀 알 수 없는 외부 엔터티일 수도 있습니다. Snyk은 패키지나 이미지가 외부 트래픽에 노출되도록 구성되어 있는지 판단함으로써 가능성을 더욱 좁힐 수 있습니다.

AWS, Kubernetes, GCP와 같은 클라우드 네이티브 솔루션은 워크로드 실행 및 워크로드에 대한 네트워크 연결 제공 등 다양한 목적으로 사용됩니다. 이는 서비스(services), 인그레스(ingresses), 로드 밸런서와 같은 핵심 네트워킹 프리미티브를 사용하거나 Gloo, Istio, Envoy 등 다양한 네트워킹 솔루션의 조합을 사용하는 등 다양한 방식으로 수행될 수 있습니다.

네트워크 연결 경로를 결정하기 위한 Snyk 분석

Snyk 플랫폼은 네트워크 연결 경로를 계산하기 위해 다양한 데이터 소스를 분석합니다. 이 정보는 Snyk에 의해 패키지 및 이미지가 외부 트래픽에 노출될 수 있는지 판단하는 데 사용됩니다.

클라우드 네이티브 솔루션은 네트워크 연결이 구성되는 방식에서 결정론적입니다. Snyk은 가용한 정보를 바탕으로 결과를 도출하기 위해 해당 지식을 사용합니다. 예를 들어, 네트워크 연결이 어떻게 구성될 수 있는지 이해하려면 Kubernetes Services 및 Ingresses 문서를 참조하십시오.

Kubernetes 커넥터는 이미지의 인그레스 구성을 확인합니다. 감지되지 않으면 해당 이미지는 외부에 노출된(public facing) 것으로 간주됩니다.

Kubernetes 커넥터 통합

외부 노출(Public facing) 리스크 요인은 Kubernetes 커넥터 통합에 적용될 수 있습니다.

외부 노출 리스크 요인은 Kubernetes 커넥터 통합에 중대한 시사점을 가집니다. 이는 Kubernetes 환경 내에서 취약점 및 잠재적 공격 벡터의 우선순위가 정해지고 관리되는 방식에 영향을 미칩니다. Kubernetes 커넥터에 의한 Kubernetes 이벤트의 지속적인 모니터링은 모든 변경 사항이나 잠재적 리스크가 즉시 평가되어 Snyk 플랫폼으로 전달되도록 보장합니다. 이러한 실시간 데이터를 통해 보안 정책의 동적 조정과 선제적인 리스크 완화가 가능해지며, 클라우드 네이티브 인프라의 무결성과 보안을 보장합니다.

외부 노출 리스크 요인에 대한 기술적 세부 정보

Kubernetes 커넥터는 Kubernetes 이벤트를 지속적으로 모니터링합니다. 이러한 이벤트는 Snyk 플랫폼으로 계속 스트리밍됩니다.

매시간 데이터 파이프라인은 클러스터 상태의 조정을 수행하여 스냅샷을 생성합니다. 이 스냅샷은 서비스에서 파드로, 인그레스에서 서비스로와 같은 다양한 리소스 간의 네트워크 관계를 계산하는 데 사용됩니다. 동일한 스냅샷을 사용하여 해당 시점에 어떤 이미지가 실행 중인지 추정합니다.

분석은 오직 연결 사양(connectivity specification)에 기반하여 수행됩니다. 분석의 세분화는 port 및 http path 레벨에서 수행됩니다. 네트워크 정책, 보안 그룹 및 방화벽과 같은 다양한 제약 조건이 구성된 경로에 적용될 수 있습니다. Snyk은 계산에 이러한 제약 조건을 포함하지 않습니다.

동일한 간격으로 데이터 파이프라인은 모든 Snyk 프로젝트와 데이터 소스의 스냅샷을 찍어 패키지와 이미지를 추정합니다. 이 스냅샷은 특정 고객에 대해 어떤 이미지와 패키지가 Snyk에 알려져 있는지 판단하는 데 사용됩니다.

그 다음 두 스냅샷이 비교되고, 해당 시점의 외부 노출 요인을 결정하기 위해 증거 그래프가 생성됩니다.