기술 지원
문서
로그인
문의하기
Linux 서버 보안을 유지하는 8가지 도구
2020년 10월 27일 TuxCare 홍보팀
Linux 서버를 업데이트하고 패치를 유지하는 일은 한 가지 도구만으로는 할 수 없습니다. 서버가 올바르게 구성되고 최신 익스플로잇의 표적이 되지 않도록 하려면 여러 도구가 필요합니다. 한 대의 서버를 수동으로 점검할 수도 있지만, 수백 대의 중요한 서버를 담당하고 있다면 현재 서버 기능을 감사하고, 소프트웨어를 업데이트하고, 구성을 설정하고, 유지 보수 중에 필요한 기타 작업을 수행할 수 있는 도구가 필요합니다. 다음 도구 목록은 관리자가 Linux 서버 관리, 구성 관리, 업데이트 및 패치를 능동적으로 수행할 수 있도록 도와주는 최고의 소프트웨어에 대한 분석입니다.
콘텐츠:
취약점 관리
오늘날의 네트워크 및 위협 환경은 내일과 같지 않을 것입니다. 새로운 기술이 도입되고 공격자는 취약점을 악용할 새로운 방법을 찾습니다. 관리자는 서버를 스캔하여 잘못된 구성, 오래된 소프트웨어 또는 침해로 이어질 수 있는 기타 인프라 문제를 찾을 수 있는 도구가 필요합니다. 이러한 도구는 세계 최대 규모의 조직에서 서버에 패치를 적용하고 보안을 유지하기 위해 사용합니다.
테너블 네서스
가장 인기 있는 취약점 스캐너 중 하나는 Tenable입니다. Nessus. Tenable은 취약성 관리 도구(Tenable.io는 Nessus 스캐닝을 사용하는 고객에게 인기 있는 클라우드 기반 관리 도구)이며, Nessus는 그 패키지에 통합된 스캐너입니다. Nessus의 매력적인 기능 중 하나는 예측 가능한 우선순위 지정입니다. 이 기능은 관리자가 어떤 취약점을 먼저 처리해야 하는지 결정할 때 경로를 제공합니다.
Nessus는 관리자가 내부 및 공용 서버의 보안을 보장해야 하는 온프레미스 서버에 가장 적합합니다. 또한 다른 도구로는 효과적인 스캔이 부족하고 패치를 설치해야 한다는 것을 조직에서 알고 있을 때도 좋습니다. 우선순위 지정 기능을 사용하면 관리자는 최악의 위협을 먼저 해결하여 서버에서 알려진 문제를 해결할 수 있습니다.
Rapid7 메타스플로잇
Nessus가 취약점을 스캔하는 동안 Rapid7은 메타스플로잇 은 모의 침투 테스트의 왕입니다. 사용자가 익스플로잇 코드를 배포하여 취약점을 테스트할 수 있습니다. 다시 말해, Nessus는 취약점을 스캔하지만 Metasploit을 사용하면 취약점을 익스플로잇할 수 있습니다. 물론 프로덕션 환경에서 이 작업을 수행해서는 안 되지만, 인프라와 소프트웨어의 사이버 보안에 대해 궁금한 개발자와 관리자에게는 유용합니다.
메타스플로잇은 보안 팀이 환경 전반의 보안을 개선할 수 있도록 하는 데 유용합니다. 개발자의 경우 취약점을 확인하고, 위험을 평가하고, 특정 취약점의 심각성을 다른 사람들에게 교육하는 데 도움이 될 수 있습니다. 또한 소프트웨어의 취약점을 식별하고 수정할 때 선제적으로 대응할 수 있습니다.
Qualys
대부분의 인프라가 클라우드에 있는 기업용입니다, Qualys 는 클라우드 기반 취약성 스캔에 적합합니다. Qualys는 완전히 클라우드에 있거나 온프레미스 및 클라우드 인프라가 혼합된 환경을 스캔하는 데 탁월합니다. 클라우드 제공업체의 데이터 센터에 저장된 애플리케이션과 인프라를 스캔하기 위한 SaaS 기반 솔루션으로 100% 배포할 수 있습니다.
Nessus와 마찬가지로 Qualys도 취약성의 우선 순위를 정하고 각 위험에 가치를 부여하여 조직이 잠재적으로 수천 개의 문제를 가장 중요한 수십 개로 줄일 수 있도록 지원합니다. Qualys는 수년 동안 사용되어 왔기 때문에 API가 약간 구식입니다. API는 자체 애플리케이션에 통합할 수 있는 비-REST, XML 기반 API입니다.
구성 관리
잘못된 구성은 심각한 데이터 유출로 이어질 수 있습니다. 관리자가 클라우드 인프라와 서버를 올바르게 구성하지 않으면 적절한 스캔 도구와 익스플로잇을 가진 공격자에게 취약점이 노출될 수 있습니다. 구성 관리 도구는 소프트웨어가 프로덕션 환경으로 승격되는 동안 구성을 배포하고 수백 대의 서버를 수동으로 구성하는 인적 오류를 제거합니다.
셰프
개발자 및 사용자 지정 소프트웨어와 함께 작업하는 비즈니스에 적합합니다, Chef 는 구성 배포 및 관리를 위한 좋은 선택입니다. Chef는 개발자, 특히 Ruby 언어를 이해하는 개발자를 위해 만들어졌습니다. 또한 Chef는 다음 푸시 전에 검토할 수 있도록 현재 구성을 가져옵니다.
Chef는 완전히 프로그래밍이 가능하고 유연합니다. 프로그래머가 Ruby를 알고 있다면 여러 서버에 대규모 구성 변경 사항을 쉽게 배포할 수 있습니다. SaaS 버전의 도구는 분석 및 보고 기능을 제공합니다.
솔트스택
Linux 환경에서, SaltStack 은 서버와의 암호화된 통신을 사용하여 구성 및 SSH 명령을 배포하는 데 사용되는 일반적인 도구입니다. SaltStack은 Chef와 학습 곡선이 비슷하지만, Chef보다 프로그래밍 기술이 덜 필요합니다. 배포 중에 리소스를 수평적 또는 수직적으로 확장하는 데 사용할 수 있습니다. SaltStack은 Ruby 대신 Linux 관리자에게 훨씬 더 인기 있는 언어인 Python을 사용합니다.
템플릿을 생성하기 위해 사용자는 환경 전체에 표준 구성을 배포할 YAML 템플릿을 만들 수 있습니다. SaltStack은 부하를 분산해야 하고 관리자가 모든 서버에 대한 표준이 필요한 대규모 환경을 위해 만들어졌습니다. 중앙 서버와 각 서버에서 실행되는 미니언이라는 에이전트가 있습니다.
인형
Puppet 은 목록에서 가장 인기 있는 설정 관리자 중 하나입니다. Reddit, Google, PayPal, Oracle 등 웹에서 매우 유명한 기업에서 사용하고 있습니다. 오픈 소스이며 Ruby 언어로 작성되었으며 관리자는 명령줄 인터페이스를 사용하거나 GUI로 작업하도록 선택할 수 있습니다.
에이전트는 각 노드에서 실행되어야 하므로 약간의 보안 및 권한 오버헤드가 필요합니다. Puppet용 개발자들은 CLI를 통해 Ruby 명령을 허용하지만, Puppet 전용 언어로 전환하고 있습니다. 이는 향후 퍼펫 배포에 있어 엄청난 학습 곡선을 만들 수 있습니다.
Ansible
Red Hat Ansible 은 복잡한 독점 언어나 Ruby 대신 Python을 사용하여 서버에 명령을 전송하는 방법이 필요한 네트워크 관리자에게 적합한 경량 구성 도구입니다. 이 솔루션에서 가장 주목할 만한 점은 명령을 어떤 언어로든 작성할 수 있으며 기본 프레임워크에 국한되지 않는다는 것입니다.
플레이북이라는 구성 파일을 YAML로 만들어 여러 서버에 걸쳐 구성을 표준화할 수 있습니다. 대상 클라이언트 머신에 에이전트가 필요하지 않으므로 배포 및 구성을 시작하는 데 드는 오버헤드가 훨씬 적습니다. 또한 로컬 네트워크에서 VMWare를 사용하여 클라우드 환경이나 가상 머신에 구성을 배포할 수도 있습니다.
라이브 패치
KernelCare
취약성 스캐너와 구성 배포 도구는 자동화 및 문제 발견에 유용하지만 여전히 Linux Kernel을 패치할 방법이 필요합니다. 공급업체에서 제공하는 패치와 업데이트는 재부팅이 필요하므로 보안 패치가 예정된 날짜까지 지연됩니다. 라이브 패치를 사용하면 재부팅 없이 패치를 적용할 수 있지만 대부분의 솔루션은 특정 배포판에만 패치를 적용합니다.
KernelCare 는 취약점 스캐너 및 구성 관리자와 통합되어 취약점이 발견되면 Linux에 자동으로 패치를 적용합니다. 실시간 패치가 완료되면 KernelCare는 업데이트된 버전을 취약성 스캐너에 보고합니다. 스캐너와 함께 작동하는 것 외에도 Puppet, Chef, Ansible, SaltStack과 같은 구성 관리 도구를 사용하여 각 서버에 KernelCare를 배포할 수도 있습니다.
결론
대규모 환경에는 관리자가 네트워크의 안정성을 유지하는 데 도움이 되는 도구가 필요합니다. KernelCare는 재부팅할 필요 없이 Linux Kernel 보안 패치를 처리할 수 있으므로 패치 적용을 지연할 필요가 없습니다. 위에서 언급한 취약성 및 구성 관리 도구와 원활하게 작동합니다. 6년 동안 재부팅하지 않은 서버가 있으며 이러한 고객은 계속해서 SOC2 규정을 준수하고 있습니다. KernelCare를 사용하면 서버 유지 보수와 시간이 많이 걸리는 프로세스로 인한 오버헤드를 상당 부분 제거할 수 있습니다.
