Continuous Delivery의 DevSecOps
DevSecOps 는 Agile및 DevOps의 발전으로, 소프트웨어 제공 라이프사이클 ("shift left" 라고도 함) 에서 가능한 빨리 보안 개발 우수 사례를 통합합니다. 이 방식은 보안 문제점이 프로덕션 시스템에 영향을 미쳐 기업 감사에 실패하는 것을 방지합니다.
DevSecOpsA methodology that integrates security practices with the software development and operations lifecycle. The goal of the merge is to prioritize the balance of development speed and security. 를 사용하려면 지속적 통합 및 지속적 딜리버리 프로세스의 일부로 보안 및 준수 제어를 자동화해야 합니다. 또한 이러한 제어의 증거를 수집하여 히스토리의 모든 변경사항이 필요한 제어를 충족한다는 사실을 감사자에게 설명합니다.
금융 서비스 산업의 요구사항에 맞추어 Continuous Delivery 는 NIST Configuration Management 제어의 참조 구현을 서비스로 제공합니다. 템플리트를 사용하여 몇 번의 클릭으로 이 서비스를 구성할 수 있습니다.
DevSecOps는 Continuous Delivery (Git Repos and Issue Tracking, Tekton Pipeline, DevOps Insights및 코드 위험성 분석기), Secrets Manager, Key Protect, Cloud Object Storage, Container Registry 및 Vulnerability Advisor를 사용합니다. 즉시 사용 가능한 DevSecOps는 SonarQube, Gosec, OWASP Zap (동적 스캔), 단위 테스트 프레임워크 및 GPG 서명과 같은 일반적인 스캔 도구도 사용합니다. 또한 외부 Git 제공자 및 아티팩트 저장소와 같은 추가 도구와 함께 사용할 수도 있습니다. DevSecOps는 특히 개인용 파이프라인 작업자를 사용하여 하이브리드 배치를 지원하며, 위성 구성 및 ArgoCD와 같은 다른 배치 도구에 연결할 수 있습니다.
DevSecOps는 어떻게 작동합니까?
Agile 및 DevOps는 자동화와 더 빠른 개발 속도, 소프트웨어 품질, 딜리버리 프로세스의 일관성과 신뢰성을 제공하면서 인적 오류의 가능성을 제거합니다. DevSecOps는 보안 및 규제 준수 제어 세트를 DevOps 프로세스에 통합합니다. 이 기능을 통해 조직은 강력한 보안 상태와 지속적인 감사 준비 상태를 유지하면서 빠르고 자주 제공할 수 있습니다.
Agile 및 DevOps와 같이 DevSecOps는 문화적 변화를 도입하고 개발자, 운영, 보안 및 규제 준수 책임자 간의 기존 장벽을 제거합니다. 개발 팀은 보안을 위한 소프트웨어를 평가하기 위해 외부 팀에 의존하지 않고 보안에 관한 더 큰 소유권을 갖게 되며, 발견된 취약성이 더 파괴적이고 교정에 비용이 많이 드는 경우 개발 주기가 늦은 경우가 많습니다. 사일로 형태의 보안 팀이 있는 이전 모델은 확장되지 않으며 클라우드 네이티브 DevOps 도메인에서 개발 프로젝트의 요구를 충족하지 않습니다. DevSecOps를 사용하면 보안 팀의 목적이 더 많은 지원, 조언, 거버넌스 역할로 발전합니다.
DevSecOps를 사용해야 하는 이유는 무엇입니까?
DevSecOps를 사용하면 개발자는 마찰을 최소화하면서 업데이트를 지속적으로 전달할 수 있습니다. 자동화된 보안 스캔과 제어를 DevOps 파이프라인으로 통합하면 변경 관리 프로세스에 대한 증거를 신뢰할 수 있습니다. 또한 이 통합은 모든 보안 기준이 충족되고 특정 검사가 패스되면 프로덕션에 대한 새 배치의 자동화된 승인을 지원합니다. 개발 및 배치 프로세스 초기에 보안 및 규제 준수를 도입하면 소프트웨어가 프로덕션 환경에 도달하기 전에 문제점을 식별하여 비용과 위험을 줄일 수 있습니다. 이러한 방식은 종종 "원점 회귀"라고 합니다. 더욱이, 보안 우수 사례가 모든 조직에서 훈련의 일부인 경우에도 개발자가 보안 레벨의 전문 지식이 부족할 수 있습니다. DevSecOps 및 원점 회귀를 딜리버리 라이프사이클에 적용하면 알려진 취약성을 프로덕션으로 단순하게 릴리스하는 위험을 줄일 수 있습니다.
조직 간 표준화
조직은 이기종 오퍼링 및 컴포넌트를 개발하는 여러 개의 개별 팀이 지속적 통합과 지속적 딜리버리를 위해 표준 프로세스 세트를 사용하는 경우의 상당한 이점을 이용할 수 있습니다. 이러한 장점에는 일관성 및 규모의 경제가 포함됩니다. 규제 준수를 위해 인스트루먼트된 규범적 참조 파이프라인의 단일 세트가 조직 전체의 모든 컴포넌트에 사용되는 경우, 개발자는 자동화 솔루션을 개발하는 데 시간을 덜 쓰고 기능 개발에 집중할 수 있습니다. 개발 리더 및 보안 담당자는 규제를 준수하는 보안 소프트웨어를 보장하고 감사에 사용할 수 있는 증거를 제공하기 위해 필요한 제어가 준비되어 있다고 확신할 수 있습니다. 고유의 규제 준수 구현을 사용하는 각 컴포넌트 또는 오퍼링 팀과 반대로 표준 구현이 사용될 때 조직 내 보안 감사를 간소화할 수 있습니다.
DevSecOps를 통합할 준비가 되셨습니까? DevSecOps 우수 사례를 사용하여 보안 앱을 배치 하도록 안내하는 튜토리얼 시리즈를 확인하십시오. DevSecOps의 이점 및 관련 솔루션에 대해서도 자세히 학습할 수 있습니다.