데브옵스 (DevOps) - DevSecOPs

[개념] 데브옵스(DevOps) 파이프라인에 보안이 결합되어 보안 취약점을 조기에 발견하고 안전성을 확보하는 방법

 

[파이프라인 자동화]

툴을 활용하면 시각화, 자동화, 프로세스 단순화가 가능하다. 인프라를 관리하는 파이프라인이 코드변경을 감지해 보안 무결성을 확인한다. 만약 검증 과정에서 문제가 발생하면, 배포가 차단된다. 따라서 개발자는 배포 전 보안요건을 충족해야 한다.

 

 

한화생명은 중요한 이벤트를 앞두고 서비스 이슈를 확인했다. 인프라팀으로부터 리소스의 사용이 높다는 의견을 받았고, 결국 데이터베이스(DB)의 노드를 증설하기로 결정하고 시행했다. 파이프라인은 DB관리 코드변경을 감지하고 전체 인프라 가운데 DB영역만 수행했다. 변경된 코드는 배포 전, 다시 보안 무결성 검증 단계를 거치고 문제가 없으면 노드 개수가 늘어나게 된다.

 

[활용] 한화생명 case History

 

한화생명은 변동성이 많지 않은 대내업무에는 프라이빗 클라우드를 도입한다. 특정시간이나 프로모션으로 인프라 규모의 변동성이 큰 대고객 서비스나 신기술 적용 업무는 퍼블릭 클라우드를 도입하는 방향으로 아키텍처를 설계했다.

 

그러나 이 과정에서 한화생명은 IT인력과 디지털 역량의 한계에 대한 고민이 있었다. 클라우드 도입 시 금융당국에서 요구하는 높은 보안성을 유지하면서 개발, 운영을 해야하기 때문이다.

 

“개발자와 테스터는 보안에 대한 이해가 부족할 수 있으며, 보안담당자는 애플리케이션에 대한 이해가 부족할 수 있다. 이때 커뮤니케이션의 비용이 증가하는 문제점이 발생한다”며 “데브섹옵스는 이를 해결해주는 개발 방법”이라고 설명하며, 한화생명의 IT역량과 디지털 역량을 향상할 수 있다고 강조했다.

 

https://byline.network/2020/09/09109/

 

 

최근 SW개발 프로세스를 가속하는 '데브섹옵스(DevSecOps)' 또는 '지속보안(continuous security)' 수요 증가

 

화이트소스는 기업내 SW개발환경에 가져온 오픈소스SW 코드의 보안취약점과 버그를 찾아 준다. 실시간 갱신되는 취약점DB를 기반으로, 오리지널 프로젝트에서 해당 문제가 해결된 버전, 링크, 패치, 시스템구성 변경 권장사항, 특정기능 차단 등 여러 조치 방법을 제공한다.

 

오픈소스 SW 보안테스팅 툴 화이트박스의 분석리포트 화면

 

IoT큐브는 C/C++ 코드만 지원한다는 제약이 있지만, 화이트소스는 파이썬과 자바 등 다른 주류 프로그래밍 언어를 지원한다. 또 화이트소스는 상용툴인만큼 개발자, QA, 보안담당자, 법무팀 사용자를 위한 보고서 및 통계 등 편의기능과 다른 개발툴 연동 플러그인도 지원한다.

 

(http://www.zdnet.co.kr/news/news_view.asp?artice_id=20180214202909&type=det&re=)

 

 

■ '데브섹옵스(DevSecOps)'

 

데브섹옵스의 목표는 개발 프로세스의 모든 부분에 보안을 내장하는 데 있다. 중요한 점은 끝에 덧붙이는 것이 아닌 데브옵스 워크플로우의 초반에 보안 제어와 프로세스를 내장함으로써 핵심 보안 작업을 자동화하는 것이다. 예를 들어 마이크로서비스 마이그레이션, 지속적 통합 및 지속적 딜리버리(CI/CD) 파이프라인 확장, 컴플라이언스 자동화 또는 단순한 클라우드 인프라 테스트 등이 여기에 해당된다.

 

데브섹옵스의 장점

장점은 간단하다. 시작부터 더 많은 부분을 자동화하면 다운타임 또는 공격으로 곧잘 이어지는 잘못된 관리상의 잘못과 실수가 줄어든다는 것이다. 또한 이 자동화는 보안 설계자가 보안 콘솔을 수동으로 구성할 필요성도 줄여준다.

 

가트너에서 전한 바와 같이 이렇게 되면 IAM(Identity and Access Management), 방화벽, 취약점 스캔과 같은 보안 기능이 데브옵스 라이프사이클 전반에서 프로그램을 통해 활성화되고 보안 팀은 자유롭게 정책을 설정할 수 있게 된다. 가트너는 2021년이면 고속 개발 팀의 80%가 데브섹옵스를 채택할 것으로 예측했다(참고로 데브섹옵스는 섹데브옵스(SecDevOps)와는 약간 다르다).

 

http://www.itworld.co.kr/news/107841

 

 

 

 

이와 관련 클라우드패시지는 할로(Halo)를 통해 

▲호스트 방화벽관리 

▲호스트 설정 환경관리 

▲파일 위변조 관리 

▲서버계정 관리 

▲호스트 로그 보니터링 

▲소프트웨어 취약점 분석 

▲리포트 등의 기능을 제공한다. 

 

 

고객이 운영하는 컨테이너와 컨테이너 호스트, 클라우드 서비스 및 기존의 데이터센터에서의 워크로드 수량과 상관없이 SAAS(Security as a Service) 방식으로 보안의 자동화를 지원한다.

(http://news.naver.com/main/read.nhn?mode=LS2D&mid=shm&sid1=105&sid2=732&oid=138&aid=0002058160)

 

보안은 모두에게 1순위이며, 처음부터 끝까지 애플리케이션 안에서 보안을 강구할 수단이 필요하다.

크리스 칼슨 퀄리스 프로덕트매니지먼트 부사장은 "(데브섹옵스에서)'Sec'를 사이에 둔 이유는 시큐리티팀이 IT 운영 방법이 빠르게 변화하고 있으며, 애플리케이션 개발, IT, 파트너 등이 계획계 실행의 주기를 훨씬 더 앞당겨 협력해야 한다는 걸 이해해야 하기 때문"이라며 "빚장을 잠그는 대신 시큐리티를 데브옵스 파이프라인 안에 구축해야 한다"고 밝혔다.

 

지능형 자동화가 DevSecOps 사일로를 해소하는 3가지 방식

DevSecOps 활성화와 관련해 지능형 자동화의 3가지 예시
지능형 자동화: 실시간 데이터에서 나온 신뢰할 만한 답변과 예측·인과·생성형 인공지능(AI) 기술의 시너지 조합에 따라 작동하는 자동화된 IT 프로세스
지능형 자동화의 역할
자동화된 릴리즈 검증을 위한 품질 게이트
팀이 서비스 레벨 목표(SLO)에 영향을 미치는 잠재적 릴리즈 검증 이슈를 예측하고, 근본 원인과 다운스트림 효과를 판단하며, 동적 응답을 개발하고 실행하는 데 지능형 자동화를 도입할 수 있음
폐쇄된 루프로 문제를 자동 수정
팀이 티켓 할당과 관련해 문제를 자동 수정하려면 정확한 답이 필요함
인과 AI는 자동화된 근본 원인 분석을 수행해 문제 원인을 올바르게 확인함
인과·예측 AI를 사용하면 팀은 수정 워크플로와 자동화된 런북을 트리거하면서 몇 초안에 보안 또는 성능 문제를 자동 탐지, 표시, 할당, 해결할 수 있음
피처 플래그를 사용한 프로그레시브 딜리버리를 진행할 수 있음
프로그레시브 딜리버리는 트래픽 일부에 코드를 배포하면서 빠르게 움직이고, 실제 고객을 상대로 가설을 테스트하면서 제품 결정에 신뢰도를 높임
지능형 자동화는 피처 플래그를 파이프라인에 더 쉽게 임베드해 프로그레시브 딜리버리를 지원함


https://thenewstack.io/3-ways-intelligent-automation-can-break-down-devsecops-silos/

3 Ways Intelligent Automation Can Break Down DevSecOps Silos