7 DevSecOps Best Practices For 2022

2022년 DevSecOps 모범 사례

DevSecOps 는 문화, 전략, 기술적 구현이 혼합되어 있습니다. 따라서 어디서부터 시작해야 하는지, 어떻게 '제대로' 해야 하는지 이해하는 것은 어려운 일이 될 수 있습니다. 아래에서 기업이 DevSecOps를 최대한 활용하는 데 도움이 되는 2022년 DevSecOps 모범 사례 7가지를 살펴보세요. 

#1: 왼쪽으로 이동

기존에는 소프트웨어 제품이 구축되어 프로덕션에 배포할 준비가 되면(또는 이미 배포된 경우에도) 보안 검사 및 평가가 구현되었습니다. 이로 인해 보안 문제를 해결하는 것은 어렵고 비용이 많이 들며 기한에 대한 압박을 받을 가능성이 높습니다. 왼쪽 보안 시프트 는 이러한 문제를 해결하고 보안을 우선 순위로 삼기 위해 가능한 한 빨리 소프트웨어 개발 수명 주기(SDLC)에 보안을 통합할 것을 강조합니다. 

기술적 관점에서 이는 개발자가 보안 모범 사례를 염두에 두고 코드를 작성하고 다음을 활용하는 것을 의미합니다. 코드 스캔 솔루션 정적 애플리케이션 보안 테스트(SAST), 동적 애플리케이션 보안 테스트(DAST), 대화형 애플리케이션 보안 테스트(IAST), 소스 구성 분석(SCA)과 같이 안전하지 않은 코드가 프로덕션에 배포되기 전에 탐지하는 데 도움이 되는 테스트가 있습니다. 하지만 왼쪽 이동은 단순한 코드 이상의 의미를 지닙니다. 또한 SDLC의 계획, 분석 및 설계 단계에서 보안을 우선순위로 삼는다는 의미이기도 합니다. 

보안을 왼쪽에 두면 기업은 보안 문제와 잘못된 구성을 조기에 감지하여 제품 품질과 보안을 강화하는 동시에 취약성을 해결하는 데 필요한 시간과 노력을 줄일 수 있습니다. 

#2번: 자동화 

수동 프로세스는 오류가 발생하기 쉽고 확장하기 어렵습니다. 또한 수동 프로세스가 너무 많으면 구성이 잘못될 가능성이 높아집니다. 그리고 잘못된 구성은 오늘날 기업이 직면한 가장 큰 보안 위협 중 하나입니다. 예를 들어, 2021년에는 Check Point Research (CPR) 팀이 발견한 클라우드 서비스의 잘못된 구성으로 인해 1억 명 이상의 사용자 데이터가 노출되었다는 사실이 밝혀졌습니다. 

자동화를 통해 CI\CD 파이프라인 전체에서 보안 관행을 구현하고 검증할 수 있습니다. 그렇기 때문에 자동화는 가장 중요한 DevSecOps 모범 사례 중 하나입니다. 잘못된 구성을 방지하고 취약성을 예방/탐지 및 수정하기 위해 기업은 IDE에서 작성되는 코드부터 프로덕션의 IAM 역할에 이르기까지 모든 것을 자동화할 수 있으며, 자동화해야 합니다. 

#3: 보안을 코드로 채택하기

코드로서의 보안은 보안 정책, 검사 및 유효성 검사를 코드화하는 것입니다. 코드로서의 보안의 이점은 여러 면에서 다음과 비슷합니다. 코드형 인프라(IaC). 기업은 코드로서의 보안을 통해 인프라 전반에 걸쳐 보안 정책을 일관되게 구현하고, 배포를 간소화하고, 버전 관리를 활용하고, 파이프라인 전체에서 자동화를 활성화할 수 있습니다.

자동화를 비롯한 다른 DevSecOps 모범 사례와 마찬가지로 코드로서의 보안은 보안을 강화하고 운영을 개선하는 두 가지 이점이 있습니다. 보안 구현이 성문화되면 이를 반복하고 확장하기가 훨씬 쉬워집니다.  

#4: 올바른 도구 통합

효과적인 DevSecOps를 위해서는 조직의 동의와 보안을 우선시하는 문화가 필요하지만, 기업에는 DevSecOps 보안 모범 사례를 구현하는 데 적합한 도구가 여전히 필요합니다. 예를 들어, 보안에 민감한 현대 기업들은 전반적인 보안 태세를 개선하기 위해 SAST, 동적 보안 애플리케이션 테스트(DAST), 대화형 애플리케이션 보안 테스트(IAST), 소스 구성 분석(SCA) 등의 앱보안 도구를 사용하는 경우가 많습니다.

또한 마이크로서비스와 컨테이너화는 최신 애플리케이션 인프라의 초석이므로 강력한 보안을 위해서는 컨테이너에 대한 이미지 보증, 침입 탐지, 런타임 보호와 같은 기능을 제공할 수 있는 DevSecOps 도구가 필수입니다. 

물론 최신 도구를 사용하는 것만으로는 충분하지 않습니다. 기업은 다음을 수행해야 합니다. DevSecOps 도구를 파이프라인에 효과적으로 통합합니다.. 그렇기 때문에 DevSecOps 보안 플랫폼 의 강력한 API는 매우 매력적입니다. 이를 통해 다양한 플랫폼과 사용 사례로 도구를 확장하고 통합할 수 있습니다.

#5번: 조직 전체에 책임 공유

"보안은 모두의 책임"이라는 것은 DevSecOps의 기본 진리입니다. 최신 소프트웨어 프로젝트의 설계, 승인, 구축, 유지보수 또는 자금 지원에 관여하는 모든 사람은 보안의 우선순위를 정할 책임이 있습니다. 

실제로는 개발자와 엔지니어가 DevSecOps 모범 사례의 전술적 구현을 담당하는 경우가 많습니다. 그러나 보안을 강화하기 위해서는 제품 소유자, 프로젝트 관리자, 심지어 최고 경영진까지 전략적 관점에서 각자의 역할을 수행해야 합니다. 

#6: 커뮤니케이션

커뮤니케이션 사일로는 기업 보안의 가장 큰 위협 중 하나입니다. 보안 및 통합 가시성 도구는 기업이 위협을 탐지하는 데 필요한 정보를 제공할 수 있지만, 팀 간에 명확하고 시기적절하며 직접적인 커뮤니케이션이 필수입니다. 

즉, 모든 관련 이해관계자가 의사 결정에 참여하고, 책임이 명확하며, 보안이 모든 비즈니스 부서의 합법적인 우선 순위임을 보장해야 합니다. 또한, 알림 피로를 피하는 것은 견고한 DevSecOps 커뮤니케이션을 유지하는 데 중요한 측면입니다. 사소한 알림이나 오탐이 너무 많으면 심각한 보안 문제를 실제로 에스컬레이션해야 할 시기가 불분명해질 수 있습니다. 

#7: 교육 

클라우드는 서비스 제공업체가 '클라우드의 보안'을 책임지기 때문에 일부 복잡성을 제거합니다(예 물리적 보안 및 운영 체제 패치). 하지만 AWS 및 기타 클라우드 제공업체가 사용하는 공유 책임 모델개별 기업은 여전히 '클라우드 내 보안'에 대한 책임이 있습니다(예 보안 구성 및 서버리스 기능). 

따라서 기업은 팀원들에게 DevSecOps의 '왜'와 '어떻게'에 대한 교육을 제공해야 합니다. 엔지니어와 개발자에게 보안 교육의 일부는 DevSecOps 방법에 대한 최신 정보를 파악하고 매일 그 지식을 구현하는 것입니다. 그러나 기업에서 효과적인 DevSecOps 교육을 실시하려면 최고 경영진을 비롯한 이해관계자가 DevSecOps의 이점을 이해하여 조직 전체에서 채택을 촉진할 수 있도록 지원해야 합니다.