[Kubernetes] 쿠버네티스 취약점 분석 툴 - falco, kube-bench, trivy의 비교표

1. Falco:
   • 정의: Falco는 컨테이너 및 쿠버네티스 환경에서 악성 활동을 탐지하기 위한 오픈 소스 보안 도구입니다. Falco는 시스템 호출 및 커널 이벤트를 실시간으로 모니터링하고, 정책을 기반으로 악성 행위를 감지하고 경고를 발생시킵니다.
   • 주요 기능:
     • 컨테이너 및 호스트 환경에서 실시간 이벤트 탐지
     • 시스템 호출, 파일 시스템 활동, 네트워크 트래픽 등의 모니터링
     • 정책 기반의 알림 및 경고
     • 확장 가능한 규칙 엔진
2. kube-bench:
   • 정의: kube-bench는 쿠버네티스 클러스터를 보안 스탠다드에 따라 검사하고 평가하는 도구입니다. CIS Kubernetes Benchmark를 기반으로 작동하며, 클러스터의 보안 구성 및 권장 사항 준수 여부를 확인합니다.
   • 주요 기능:
     • CIS Kubernetes Benchmark에 따라 클러스터 보안 검사
     • 클러스터 구성 및 설정을 기준으로 점수 부여
     • 안전하지 않은 구성 및 권장 사항 준수를 식별
     • 자동화된 검사 및 보고서 생성
3. Trivy:
   • 정의: Trivy는 컨테이너 이미지의 취약점을 스캔하는 오픈 소스 보안 도구입니다. 컨테이너 이미지를 분석하여 취약점 데이터베이스와 비교하고, 이미지에 있는 취약점을 식별하고 보고합니다.
   • 주요 기능:
     • 컨테이너 이미지의 취약점 스캔
     • 다양한 취약점 데이터베이스 지원 (CVE, OVAL 등)
     • 기본 이미지 및 애플리케이션 종속성의 취약점 탐지
     • CI/CD 파이프라인 통합 가능

기능	Falco	Kube-bench	Trivy
소개	Kubernetes용 호스트 기반 인라인 인터셉션 IDS/IPS	Kubernetes 클러스터의 보안 설정 검사 도구	컨테이너 이미지 보안 취약점 검색 도구
활용	Runtime 시점 보안 이벤트 탐지 및 대응	Kubernetes 클러스터의 보안 설정 검사	컨테이너 이미지 보안 취약점 검색
검사 대상	Kubernetes 클러스터 내부 컨테이너와 호스트	Kubernetes 클러스터의 구성 요소 (e.g. API 서버, 노드 등)	컨테이너 이미지 파일 또는 레지스트리
구현 방법	커널 모듈 및 eBPF 활용	셸 스크립트 실행	커맨드 라인 인터페이스 또는 API
결과 보고서 형식	이벤트 로그와 룰 세트	터미널 출력 또는 JSON 형식의 보고서	JSON 형식의 보고서
검사 항목	컨테이너 및 호스트 이벤트 (e.g. 파일/레지스트리/네트워크 활동)	Kubernetes 구성 요소 및 보안 설정	이미지 파일/레이어 내 패키지 취약점 및 CVE 정보 등
확장성	대규모 클러스터에서 확장 가능	대규모 클러스터에서 확장 가능	대규모 컨테이너 이미지 레지스트리에서 확장 가능
운영 체제	Linux	Linux	다양한 운영 체제 (Windows, macOS, Linux 등)에서 동작 가능
커뮤니티 지원	CNCF 산하의 오픈 소스 프로젝트로 활발한 지원 및 사용 사례 보유	CIS Benchmark에 근거한 검사 방법을 제공하는 오픈 소스 프로젝트	CNCF 산하의 오픈 소스 프로젝트로 활발한 지원 및 사용 사례 보유
라이센스	Apache License 2.0	Apache License 2.0	Apache License 2.0