보안을 올바로 유지하는 것의 위험성
소프트웨어를 즉시 게시하면 모든 위험이 즉시 게시됩니다.
이 DevSecOps의 6가지 핵심 요소: 클라우드 보안 얼라이언스(CSA)에서 발행한 자동화에 따르면 "보안은 설계된 경우에만 달성할 수 있습니다. 보안 조치를 사후 고려 사항으로 적용하는 것은 재앙의 지름길입니다.
보안 보호는 동일한 자동화된 경로를 따라야 합니다. 개발 수명 주기 동안 보안을 긴밀하게 통합하면 릴리스 시간을 단축할 수 있을 뿐만 아니라 보안도 향상될 수 있습니다.
충돌보다는 협력하라
개발이 완료된 후 출시 전에 보안을 구현하는 전통적인 프로세스는 보안 팀과 개발 팀 간의 빈번한 충돌을 초래했습니다. 개발 팀은 자신의 몫의 작업을 완료하면서 최종 사용자의 손에 애플리케이션을 맡기고, 노력의 결과를 제공하고, 피드백을 수집하고, 마감일을 맞추기 위해 노력했습니다. 보안이 릴리스에 제동을 걸기 위해 둘 사이에 적대적인 관계가 발생했습니다.
시프트레프트(ShiftLeft)가 165명 이상의 개발자, 애플리케이션 보안,DevOps 전문가를 대상으로 실시한 설문조사 에 따르면 응답자의 89%가 현재 개발자와 사이버 보안 팀 간의 단절이 생산성을 저해하는 가장 큰 요인이라고 답했습니다.
보안을 왼쪽으로 이동함으로써 팀은 대신 협력하고 적시에 안전하게 앱을 출시할 수 있도록 준비하는 데 필요한 프로세스를 통합할 수 있습니다.
보안에 대한 책임 조기 포함
왼쪽으로 이동하려면 보안 모범 사례를 언제, 어디서, 어떻게 적용해야 하는지 변경해야 합니다. 보안은 개발자 및 DevOps와의 신뢰를 구축해야 합니다. DevOps 자동화 문화와 코드 배포 속도를 이해하는 것이 도움이 됩니다.
시프트 레프트의 일환으로 개발자에게 작업을 추가하지 않고도 안전하게 작업을 수행할 수 있는 도구를 제공해야 합니다. 여기에는 배포 시점에 취약성 스캔을 수행하고 Lambda 함수에 대한 권한을 생성하는 것과 같은 보안 자동화가 포함됩니다.
마찰 제거
보안은 사전 예방적이어야 하지만 이러한 속도를 유지하면서 이를 달성하기는 어렵습니다. 제어, 거버넌스 및 관찰 가능성을 확보해야 합니다. 보안 전문가는 비즈니스를 제한하는 것이 아니라 활성화해야 합니다.
개발자는 보안 코딩 방법을 이해하는 것이 중요합니다. 이를 통해 보안 분석가가 아닌 개발자가 취약성을 조기에 확인하고 제거할 수 있습니다.
최고 기술 보안 책임자인 마르코 로티니(Marco Rottigni)는 컴퓨터 비즈니스 리뷰(Computer Business Review)와의 인터뷰에서 "개발자는 DevOps 프로세스의 모든 단계에서 보안 및 컴플라이언스 제어를 트리거하는 플러그인을 통해 취약한 코드를 신속하게 수정할 수 있도록 일반적으로 사용하는 도구 내에서 바로 결과를 노출할 수 있어야 한다"고 말했습니다.
왼쪽으로 이동하는 진전이 있었지만 충분하지 않은 경우가 많습니다. GitLab의 Mapping the DevSecOps Landscape 2020 설문조사 응답자의 42% 이상이 라이프사이클에서 테스트가 너무 늦게 이루어진다고 답했습니다.
보안 자동화가 없으면 DevOps 팀은 사람의 승인을 기다려야 하는 경우가 많습니다.
시프트 레프트 보안을 장착하는 도구
- 정적 애플리케이션 보안 테스트(SAST)
- 동적 애플리케이션 보안 테스트(DAST)
- 컨테이너 검사
- 컴플라이언스 스캔
- 종속성 검사
좌측 변속 시간 부여
폴 홀랜드(Paul Holland)가 Computer Weekly에 기고한 글에서 "CISO는 개발자에게 안전하게 개발할 수 있는 시간이 주어져야 하며, 구축 시간만으로 성과를 판단해서는 안 된다는 점을 깨달아야 한다"고 말했습니다.
애플리케이션 보안에 대한 추가 의무를 개발자에게 할당하면서 개발자가 맹렬한 속도를 유지하기를 기대하는 것은 불합리합니다. 보안을 왼쪽으로 전환하면 프로세스가 더 효율적이 되고 출시 시간을 단축할 수 있지만 코드 검토와 같은 보안 작업에는 여전히 시간을 할당해야 합니다.
왼쪽으로 시프트하는 자동화
"시의적절하고 의미 있는 피드백을 제공하는 자동화된 보안 기능 없이는 보안 제어를 성공적으로 통합할 수 없습니다 . 겸손한 자동 보안 기능을 채택하면 전체 종류의 위험을 잠재적으로 제거할 수 있습니다"라고 클라우드 보안 얼라이언스의 연구 분석가인 Sean Heide는 말했습니다.
문제 해결을 자동화합니다. 자동화된 방식으로 해결할 수 있는 문제를 해결하기 위해 티켓을 만들지 마세요. 개발자에게 배포하려는 스택의 보안을 평가할 수 있는 셀프 서비스를 제공합니다.
Puppet의 현장 최고 기술 책임자인 Nigel Kersten은 DevSecOps 사례에서 대규모로 자동화를 배포하는 것이 중요하다고 강조 했습니다. "[확장 자동화]가 없으면 조직은 동일한 수동 프로세스와 상충되는 인센티브를 받게 될 것입니다. 그러면 DevSecOps 대신 Dev, Sec 및 Ops만 남게 됩니다."
클라우드 전반의 보안 자동화
이질적인 솔루션은 부족합니다. 특히 앱 보안은 앱 변경에 자동으로 적응하도록 설계되지 않았습니다. 대부분의 클라우드 인프라는 규모가 크고 동적 환경이 많기 때문에 보안이 특히 까다롭습니다.
오늘날의 보안 전문가는 모든 클라우드 환경에 다계층 보안을 구축해야 하며, 모든 업무에 일관된 보안 접근 방식과 정책 언어를 적용해야 합니다. 체크 포인트는 클라우드 규모와 속도로 보호하는 자동화된 보안 접근 방식을 제공합니다. 상태 관리, 자산에 대한 높은 충실도의 가시성을 통해 구성을 추적하십시오. 모범 사례와 자체 정책에 따라 보호를 유지 관리합니다. 전체 클라우드 인프라에서 지속적으로 모니터링하고 조치를 취합니다.
피드백