데브옵스 보안

클라우드 환경에서의 데브옵스 보안
이민석's avatar
Apr 28, 2024
데브옵스 보안

데브옵스

데브옵스에 대한 이해도를 높이기 위해 필요한 내용들입니다.

  1. 정의

  2. 지속적 통합(CI)과 지속적 전달(CD)

  3. 서비스형 인프라(IaaS)

  4. 결론

데브옵스란?

데브옵스는 아래를 통해 소프트웨어 제품을 지속적으로 개선하는 프로세스입니다.

  1. 신속한 출시 주기

  2. 통합 및 전달 파이프라인의 글로벌 자동화

  3. 팀 간의 긴밀한 협업

지속적 통합(CI)과 지속적 전달(CD)

Unchaptered (Blog) | CI/CD란 무엇인가?를 참고해주세요.

서비스형 인프라(IaaS)

  1. 조직이 의존하는 데이터 센터, 네트워크, 서버 및 시스템은 전체적으로 타사에 의해 운영된다.

  2. API 및 코드를 통해서 제어되며 운영자에게 서비스로 노출된다.

  3. Kubernetes, Ansible과 같은 오픈 스텍 기술을 활용한다.

결론

제품이 더 빨리 출시 되면 조직의 상태와 경쟁력이 향상될 것입니다.

하지만 동시에 출시 주기가 짧을 수록 철저한 보안 검토를 하기 어려울 것입니다.

또한 출시 주기가 짧은 조직일수록 더 많은 기술 위험을 감수하게 될 것입니다.

따라서 데브옵스에 보안을 통합하는 것은 새로운 도전 과제입니다.

데브옵스 보안

데브옵스 안에 보안을 집어넣는 데브옵스 보안(Sec in DevOps)과 관련된 내용입니다.

1.지속적인 보안(CS, Continuous Security)

  1. 테스트 주도 보안(TDS, Test Driven Security)

  2. 공격 및 모니터링 대응

  3. 위험 평가 및 보안 성숙

지속적인 보안(CS, Continuous Security)

성숙한 조직은 보안 프로그램을 신뢰하고 보안팀과 함께 작업합니다.

포괄적인 보안 전략은 기술과 사람을 혼합해 신속한 개선주기로 개선할 영역을 식별하고 자원을 적절하게 할당합니다. 이러한 작업에는 총 3가지 방식이 혼용됩니다.

  1. 테스트 주도 보안

  2. 공격 및 모니터링 대응

  3. 위험 평가 및 보안 성숙

테스트 주도 보안(TDS, Test Driven Security)

종류

설명

어플리케이션 보안

개방형 웹 보안 프로젝트(OWASP)은 3년 마다 발행되는 상위 10개 목록에서 가장 일반적인 공격을 차지
- 교차 사이트 스크립팅, SQL 인젝션, 교차 요청 위조, 무차별 대입 공격 등

인프라 보안

VPN, SSH 게이트웨이 또는 관리 패널과 같은 상위 권한을 부여하는 진입점 존재

파이프라인 보안

커밋 및 컨테이너 서명 등

지속적인 테스트

공격 모니터링 및 대응

위험 평가 및 보안 성숙

Share article

Unchaptered