[AZ-500] Azure Container Registry (ACR) 핵심 이론 정리 — 06/28

작성자: azure | 작성일: 2026년 06월 28일 | 조회: 0 | 좋아요: 0

🔒

ASSOCIATE LEVEL

Microsoft Azure Security Engineer Associate (AZ-500)

컨테이너 핵심 이론 강의

🎓 TODAY'S LECTURE

컨테이너 이미지 공급망 보안 및 취약점 관리

안전한 컨테이너 이미지 빌드, 저장 및 배포 전략

컨테이너 기반 워크로드는 현대 애플리케이션의 핵심이지만, 이미지의 소스부터 배포까지의 모든 단계에서 보안 위협에 노출될 수 있습니다. 악의적인 이미지 주입, 알려진 취약점 또는 구성 오류는 심각한 보안 침해로 이어질 수 있으므로, 컨테이너 이미지 공급망 전반에 걸친 보안 관리는 필수적입니다. 이 강의에서는 AZ-500 시험 대비를 위해 Azure 환경에서 컨테이너 이미지의 무결성을 보장하고 취약점을 효과적으로 관리하는 핵심 기술과 모범 사례를 집중적으로 다룹니다.

💡 KEY CONCEPTS

1 Azure Container Registry (ACR) 보안 기능

Azure Container Registry (ACR)는 컨테이너 이미지를 저장하고 관리하는 프라이빗 레지스트리 서비스입니다. ACR은 내장된 다양한 보안 기능을 제공하여 이미지의 안전성을 강화합니다. 여기에는 Azure Defender for Cloud와의 통합을 통한 자동 이미지 취약점 스캔, Content Trust를 이용한 이미지 서명 및 검증, 그리고 Private Link를 통한 네트워크 격리가 포함됩니다. 이러한 기능들은 악성 이미지의 유입을 방지하고 이미지 무결성을 보장하는 데 필수적입니다.

2 컨테이너 이미지 취약점 관리 (Container Image Vulnerability Management)

컨테이너 이미지 취약점 관리는 빌드, 푸시 및 배포 단계에서 이미지 내의 알려진 보안 취약점을 식별하고 해결하는 프로세스입니다. Azure Defender for Cloud는 ACR에 푸시되는 이미지에 대해 자동 스캔을 제공하며, 스캔 결과에 따라 위험 등급을 부여하고 권장 사항을 제공합니다. 이는 'Shift-left' 보안 원칙을 적용하여 개발 초기 단계에서부터 보안 문제를 해결하고, 운영 환경에 배포될 수 있는 잠재적 위험을 줄이는 데 크게 기여합니다.

3 보안 이미지 배포 정책 (Secure Image Deployment Policies)

배포 정책은 승인되지 않거나 취약점이 있는 이미지가 프로덕션 환경에 배포되는 것을 방지하기 위해 매우 중요합니다. Azure Policy를 사용하여 특정 레지스트리에서 가져온 이미지, 특정 취약점 수준 이하의 이미지, 혹은 Content Trust에 의해 서명된 이미지만 Azure Kubernetes Service (AKS)와 같은 컨테이너 환경에 배포되도록 강제할 수 있습니다. 이는 배포 시점에 추가적인 보안 검사를 수행하여 런타임 환경의 보안을 강화하고 규정 준수를 보장합니다.

🛠️ REAL-WORLD SCENARIO

XYZ 금융 서비스 회사는 마이크로서비스 아키텍처를 채택하여 Azure Kubernetes Service (AKS)에 애플리케이션을 배포하고 있습니다. 민감한 고객 데이터를 처리하므로, 컨테이너 이미지의 무결성과 보안 취약점 관리가 최우선 과제입니다. 특히, 악의적인 이미지 주입이나 알려진 취약점을 가진 이미지가 배포되는 것을 철저히 방지해야 합니다. 이 회사는 다음과 같은 아키텍처와 모범 사례를 적용했습니다.

**아키텍처 및 모범 사례:**
1. **보안 빌드 및 스캔**: 개발 파이프라인(Azure DevOps)에서 Docker 이미지를 빌드한 후, Azure Container Registry (ACR)에 푸시합니다. ACR에 이미지가 푸시되는 즉시 Azure Defender for Cloud (for Containers)가 자동으로 이미지 취약점 스캔을 수행하여 CVE (Common Vulnerabilities and Exposures)를 탐지하고 보고합니다. 이는 'Shift-left' 보안을 구현하여 개발 초기에 잠재적 위협을 식별합니다.
2. **이미지 무결성 보장**: ACR Content Trust를 활성화하여 신뢰할 수 있는 개발자가 서명한 이미지만 사용하도록 강제합니다. 이는 중간자 공격을 통해 변조된 이미지가 사용되는 것을 방지하고 이미지의 출처와 무결성을 보장합니다.
3. **안전한 레지스트리 접근**: ACR에 대한 접근은 Azure Private Link를 사용하여 프라이빗 네트워크 경로를 통해 이루어지도록 설정하여 인터넷 노출을 최소화하고 데이터 유출 위험을 줄입니다. 이는 강력한 네트워크 격리를 제공합니다.
4. **배포 시 정책 적용**: Azure Policy를 사용하여 AKS 클러스터에 배포되는 이미지에 대한 엄격한 규칙을 적용합니다. 예를 들어, '취약점 심각도 높음' 이상의 결과를 가진 이미지는 배포를 거부하고, Content Trust에 의해 서명되지 않은 이미지는 배포를 차단하도록 설정합니다. 이는 런타임 환경으로의 위협 전이를 효과적으로 막고 보안 규정 준수를 강제합니다.

🎯 EXAM TIPS

📌

**ACR의 보안 기능 비교**: Content Trust, Webhooks, Geo-replication, Private Link가 각각 어떤 보안 문제 해결에 기여하는지 명확히 이해해야 합니다. 특히 Content Trust의 역할(이미지 서명 및 검증)을 기억하세요.

📌

**Azure Defender for Cloud (컨테이너)의 작동 방식**: 이미지 스캔이 언제 이루어지는지 (ACR 푸시 시, 최근 30일 내 푸시된 이미지, 배포된 이미지 등), 어떤 유형의 취약점을 탐지하며, AKS와의 통합은 어떻게 되는지 출제될 수 있습니다.

📌

**보안 이미지 배포 정책 구현 방법**: Azure Policy를 활용하여 AKS에 배포되는 이미지에 대한 규칙을 강제하는 방법(예: 특정 레지스트리만 허용, 특정 취약점 임계값 초과 시 배포 거부, 서명된 이미지 요구)과 Admission Controllers (예: OPA Gatekeeper)의 역할과 차이점을 숙지해야 합니다.

🏷️ 관련 Azure 서비스

Azure Container Registry (ACR)Azure Defender for Cloud (for Containers)Azure PolicyAzure Kubernetes Service (AKS)Azure Private Link

📚 Azure 자격증 합격을 위한 데일리 이론 강의

매일 새로운 강의 노트가 업데이트됩니다 | 더 많은 자료 보기 →