DevOps의 입증된 사례들은 개발자와 운영 팀 간의 협업이 어떻게 더 빠른 소프트웨어 제공으로 이어지는지를 보여줍니다. 이제 디지털 트랜스포메이션을 위해 직면한 문제는 코드, 워크플로우 및 인프라에서의 보안과 규정 준수입니다. 다음 단계는 귀사의 보안 팀을 기존 DevOps 팀과 통합하는 것입니다.
비즈니스 전반에 걸친 보안 우선주의 문화 구축
Build a security-first culture across the business
DevSecOps는 사람으로부터 시작됩니다. DevSecOps를 ‘구현’하지 않고 ‘수용’해야 합니다. 이를 위해서는 IT 직원, 제품 팀 및 프로젝트 관리자 뿐만 아니라 전체 조직이 필요합니다. Security Group만으로는 더 이상 기업을 충분히 보호할 수 없습니다. 이제 보안, 개발자 및 운영팀이 협력하여 지식을 공유하는 능력에 따라 효율성이 달라집니다. 모든 사람들에게 진정한 DevSecOps의 작업 방식을 인식하도록 가르치는 것에서 시작해야 합니다.
DevSecOps 여정을 시작하기 위해서, 보안이 조직 전반에 걸쳐 공유되는 책임감이라는 것을 다음을 통해서 이해시킬 필요가 있습니다.
- 팀 역량을 강화하는 트레이닝
- 강한 이너소스 커뮤니티
(자세한 내용과 사례는 아래 원문 링크에서 확인할 수 있습니다.)
개발 수명주기 초기 단계에서의 보안 통합
Integrate security in the early stage of the development lifecycle
개발 프로세스 마지막 단계에서 보안 솔루션을 선택하면, 중요한 코드, 데이터 및 소프트웨어 공급망 등을 보호하는 것에 제한적일 수 있습니다. 개발 프로세스 마지막에 보안을 수행하는 것 대신에, 일상적인 개발 과정의 일환으로 보안을 수행하는 것이 좋습니다. 즉, 개발 프로세스 전반적으로 또는 초기에 보안 검사 및 모범 사례가 수행되도록 보장하면, 취약점이 발생할 가능성이 줄어듭니다.
보다 전략적으로 기업은 다음과 같은 두 가지 구체적인 방법을 통해 성공적인 전환을 지원할 수 있습니다.
- 배치 검사에서 지속적인 평가 및 규정 준수 검사로 전환
- 코드 품질, 보안 상태, 정적 및 동적 분석 모두의 규정 준수를 보장
(자세한 내용과 사례는 아래 원문 링크에서 확인할 수 있습니다.)
목적에 따른 지속적인 모니터링 및 관찰
Monitor and observe continuously with purpose
많은 기업들이 모니터링 또는 관찰 솔루션을 조직에 맞게 조정하지 않고 활용하고 있습니다. 기업에서 모니터링 이니셔티브를 완벽하게 계획하지 못하면 데이터가 오버로드 됩니다. 이는 마치 건초더미에서 디지털 바늘을 찾는 것과 같습니다. 게다가 올바른 방식으로 올바른 데이터를 수집하지 않으면 데이터를 실제로 활용할 수 없는 경우가 많습니다. 지속적인 모니터링을 지원하고 이전에 제한된 인텔리전스 서브셋을 확장하는 첫 번째 단계는 전략적으로 계획을 세우는 것입니다.
성공적인 모니터링 방법으로 네가지가 있습니다.
완전한 그림을 제공하는 전체론적 데이터
분석을 위한 데이터 구조화
위협에 보다 신속하게 대응하기 위한 실행 가능한
경고 및 위협 인텔리전스 사용
현대적 위협에 맞게 구축된
강력한 모니터링 툴 체인의 통합
(자세한 내용과 사례는 아래 원문 링크에서 확인할 수 있습니다.)
모든 것을 코드로 수용
Embrace everything-as-code
코드화된 모든 접근 방식은 소프트웨어 개발, 제공 및 관리를 간소화하여 개발 팀이 개발에 집중할 수 있도록 합니다. 모든 것을 코드화한 접근 방식은 인프라, 스키마 및 파이프라인과 같은 개발 측면을 코드화하여 수동 프로세스가 아닌 정책 파일에서 거버넌스를 관리할 수 있도록 지원합니다. 코드화된 모든 접근 방식의 가장 큰 이점 중 하나는 인간의 실수 위험이 감소한다는 것입니다.
효과적인 코드화 방식에는 다음과 같은 다양한 요소가 포함됩니다.
코드화 구성
코드화 파이프라인
코드화 정책
코드화 인프라
불변 인프라
안전한 버전의 제어 시스템
(자세한 내용과 사례는 아래 원문 링크에서 확인할 수 있습니다.)
정책 자동화로 규정 준수 실현
Realize compliancy with policy automation
규제가 점점 더 엄격해지는 것은 좋은 일입니다. 그럼에도 불구하고 급증하는 애플리케이션 환경 전반에서 규정 준수를 보장하는 것은 쉽지 않습니다. <Enterprise DevOps 2020-2021> 보고서에서 진행한 한 설문조사에 따르면, 임원들의 거의 절반이 어떤 데이터 규정 준수 표준을 충족해야 할지 잘 모른다고 답했다고 합니다. 또한 애플리케이션이나 환경을 처음 구축할 때 단순히 보안을 확인하는 것만으로는 더 이상 충분하지 않다고 지적했습니다. 논리적인 솔루션은 애플리케이션 개발 및 관리의 모든 단계에서 지속적인 규정 준수를 보장하는 것입니다.
이를 달성하는 가장 좋은 방법은 정책 자동화입니다. 지속적인 규정 준수를 실현하려면 여섯 가지 정책 자동화 단계를 따라야 합니다.
- Step 1. 정책 세트 결정
- Step 2. 코드화된 정책 모델 채택
- Step 3. 코드에서 정책을 업데이트하고 Azure로 푸시
- Step 4. 컴플라이언스 스캔으로 루프 닫기
- Step 5. 품질 게이트를 사용하여 Shift Left
- Step 6. Azure Security Center를 사용하여 모니터링 및 관찰
(자세한 내용과 사례는 아래 원문 링크에서 확인할 수 있습니다.)
소프트웨어 공급망 보호 및 시각화
Secure and visualize your software supply chain
최신 소프트웨어에서 대부분의 애플리케이션 코드의 80% 이상은 종속성에서 비롯됩니다. 이러한 종속성 자체는 종속성에 의존하기 때문에 관계 다이어그램이 복잡해집니다. 이는 소프트웨어 내에서 복잡하고 역동적인 관계를 가진 종속성 트리로, 기업에 중대한 보안 문제를 제기합니다. 시스템의 복잡하고 완전한 종속성 트리를 이해하지 못하면 악의적인 행위자가 시스템을 공격할 수 있는 경로가 됩니다.
소프트웨어 공급망을 진정으로 보호하려면 다음이 필요합니다.
- 종속성 트리 시각화를 통해 수집된 통찰력에 따른 작업
- 소프트웨어 BOM(Bill of Material)을 통한 투명성 증대
(자세한 내용과 사례는 아래 원문 링크에서 확인할 수 있습니다.)
DevSecOps를 성공적으로 채택하려면 팀 간 협업, 보안 우선 문화 및 첨단 기술이 신중하고 의도적으로 혼합되어야 합니다. 클루커스는 클라우드 전문가의 최적화된 개발 파이프라인 구축을 통해 비즈니스의 안정적 개발과 신속한 배포가 가능하게 DevOps를 지원합니다. 또한 Azure Security Center를 통해 하이브리드 클라우드 워크로드에 통합 보안 관리 및 고급 위협 방지를 지원합니다.
Azure DevSecOps에 대한 컨설팅이 필요하다면, 클루커스와 지금 시작하십시오!
