[12월호] log4j 취약점 대응법 및 DevOps팀 성과 향상법

#DevOps #MSA #opensource #Cloud

2021. 12. 21.

>구독하기

이달의 업데이트 Letter

◻ Apache Log4j 심각한 보안 취약성 발견

◻ DevOps팀에서 최고의 성과를 만드는 방법

◻ Kubernetes 워크로드에 대한 실시간 위협에 대응하는 방법

◻ Apache Log4j 심각한 보안 취약성 발견

11월 말부터 12월 중순까지 Apache Log4j의 취약점 이슈로 한동안 떠들썩 했습니다.

Log4j는 Java/Kotlin/Scala/Groovy 코딩 중, 프로그램의 로그를 기록해주는 라이브러리로 사고 발생이나 이상 징후를 점검하기 위해서 필수적으로 필요한 기능을 가지고 있는 오픈소스 프로그램입니다.

이번 Log4j의 취약점은 2021년 11월 25일, 알리바바 클라우드 보안팀에 의해서 발견되었고 11월 30일, 해당 문제를 수정하는 PR이 Log4j 깃허브에 게재되었습니다. 이후 12월 10일 PaperMC가 자사 Discord 서버를 이용해서 즉시 긴급 패치된 파일로 업데이트 하라는 공지를 전송하면서 본격적으로 이슈가 크게 번지기 시작했습니다.

이 Log4j 취약점이 심각한 이유는, 서버에 로그인한 것 만으로 사실상 해커가 컴퓨터를 원격조종할 수 있기 때문입니다. Log4j 취약점에 대한 자세한 내용들, 대응방법을 확인하고 싶으시다면 아래 링크를 클릭해주세요!

Log4j 취약성 보고서 및 대응법 확인하기

◻ DevOps팀에서 최고의 성과를 만드는 방법

Google의 DevOps 연구 및 평가 팀인 DORA의 State of DevOps 2021 보고서에서는 가장 높은 성과를 내는 상위그룹과 가장 낮은 성과를 내는 하위 그룹을 비교하고 각각의 DevOps 수명 주기가 얼마나 되는지 확인할 수 있습니다.

이 보고서를 통해 상위 그룹과 하위 그룹의 차이 그리고 높은 성과를 낼 수 있는 TIP 까지 알 수 있었는데요. 대표적으로는 하이브리드 클라우드 또는 다중 클라우드 환경을 사용하라는 것이었습니다. 멀티 클라우드 사용자는 각 클라우드의 고유 장점을 활용하고 또 더 높은 가용성을 달성할 수 있기 때문이라고 합니다.

그 이외 DORA에서 제시한 6가지 팁이 궁금하시다면 아래 링크를 클릭해주세요!

높은 성과를 내는 DevOps 팀의 비법 확인하기

◻ Kubernetes 워크로드에 대한 실시간 위협에 대응하는 방법

Kubernetes의 클라우드 네이티브 애플리케이션에서는 실시간 침입 탐지 및 지속적으로 업데이트 되는 위협을 사전에 차단하는 것이 어렵습니다. 포드의 일시적인 특성으로, 소스 또는 대상 앤드포인트를 결정하고 충격(blast redius)을 제한하기 어렵죠

Calico에서는 실시간 위협에 대응할 수 있는 방법을 제시합니다. 위협 인텔리전스 피드 (Threat intelligence feed)와 심층 패킷 검사(DPI) 입니다.

위협 인텔리전스 피드(Threat intelligence feed)는 악성 트래픽의 정확한 출처를 찾아 보고하고, 심층 패킷 검사(DPI)는 악의적인 활동이 의심될 때 Calico Cloud Manager의 경고 페이지에 경고가 자동으로 추가됩니다.

위협 인텔리전스 피드(Threat intelligence feed)와 심층 패킷 검사(DPI)의 작동 방법 및 자세한 내용이 궁금하시다면 아래 링크를 클릭해주세요!

Calico의 실시간 위협 대응법 확인하기

오늘 뉴스레터 어떠셨나요? 구독자님의 의견이 궁금해요!

피드백 남기러 가기

> 구독하기 > 지난 뉴스레터 다시보기

OSC Korea
서울특별시 강남구 테헤란로5길 7, 13층 marketing@osckorea.com
수신거부 Unsubscribe

OSC 월간 뉴스레터를 구독하고 이메일로 받아보세요

OSC의 Ellen이 매월 네번 째 화요일에 발행하는 IT 소식!

이전 뉴스레터

이 뉴스레터가 첫 뉴스레터입니다.

다음 뉴스레터

[1월호] 구독자님! 올해 IT 전략 기술 트렌드! 알고 계신가요!?

2022. 1. 25.

OSC 월간 뉴스레터

OSC의 Ellen이 매월 네번 째 화요일에 발행하는 IT 소식!