Red Hat Summit보안은 가장 먼저 고려해야 할 지속적인 요소
7분 읽기 |
원문 듣기
보안은 나중에 생각하는 경우가 많으며, 보안 및 IT 운영 팀이 개발 라이프사이클 종료 시점에 추가하기도 합니다. 소프트웨어를 일 년에 한두 번 업데이트한다면 이 프로세스는 관리하기 쉬울 것입니다. 하지만 소프트웨어 개발자가 며칠 또는 몇 시간이 걸리는 더 짧은 애자일 소프트웨어 개발 라이프사이클을 선택하기 시작하면 이러한 보안 방식은 필수 업데이트를 시작하거나 애플리케이션 프로덕션 단계를 신속히 시작하는 데 걸림돌이 됩니다.
“DevSecOps 작업을 클라우드로 전환할 때 가장 중요한 4가지 고려 사항은 데이터 보안(45%), 클라우드 보안 관리(36%), 공급망 보안 위험(33%), 퍼블릭 클라우드 자산 보호(29%)입니다.” 1
데이터 보안
클라우드 보안 관리
공급망 보안 위험
퍼블릭 클라우드 자산 보호
DevSecOps 사례를 애플리케이션 개발 라이프 사이클에 도입해 통합하면 IT 및 보안 팀은 구성원, 프로세스, 기술 전반에서 발생하는 보안 문제를 보다 이른 시점에 해결할 수 있습니다. 이를 통해 보안은 개발 라이프사이클 전반에서 지속적이고 포괄적인 설계 요소로 구현됩니다. 또한 이러한 애자일 업무 방식을 통해 속도 및 효율성, 보안 및 컴플라이언스, 일관성, 반복가능성, 협업이 증진되고 인적 오류가 감소합니다.
이러한 모든 노력이 결합되어 결국 위험이 줄어들고 조직은 컴플라이언스를 위한 업계 보안 표준을 준수할 수 있습니다. 하지만 어떻게 가능할까요?
DevSecOps가 중요한 이유
DevSecOps를 통해 속도
향상과 안전성 실현
기업은 베어 메탈, 가상 머신, 프라이빗 및 퍼블릭 클라우드 등의 하이브리드 환경에서 점점 더 많은 워크로드를 실행하게 되면서 더욱 복잡하고 까다로운 보안 및 컴플라이언스 고려 사항에 직면하고 있습니다. 여러 워크로드에 데이터를 분산하면 컨테이너 보안, 외부 위협, 맬웨어 등 기존 보안 과제가 한층 더 복잡해집니다.
DevSecOps는 IT 및 보안 팀이 구성원, 프로세스, 기술 전반에서 보안 문제를 해결하는 데 도움이 됩니다. 특히 DevSecOps는 다음과 같은 장점이 있습니다.
- 애플리케이션 개발 및 인프라 라이프사이클 초기 단계에 더 많은 보안 취약점을 제거함으로써 안전성을 높이고 위험을 최소화
- 레거시 보안 사례와 툴을 제거하고 자동화 및 표준화를 활용해 DevOps 릴리스 사이클의 효율성 및 속도 향상
- 애플리케이션 개발 및 인프라 라이프사이클 초기 단계에 보안 게이트를 구현하여 위험을 줄이고 가시성을 향상
보안 팀은 완화 기능을 통해 위험을 상쇄하고 여러 클라우드 제공업체와 빠르게 변하는 IT 표준으로 인한 보안 및 컴플라이언스 문제도 관리해야 합니다. 결과적으로 하이브리드 클라우드 보안을 실현하려면 무엇보다도 기업 전체 팀이 참여하고 서로 협업해야 합니다.
“보안 그룹과 협업할 때 더 많은 보안 소유권을 맡은 DevOps 팀의 DevSecOps 성숙도가 더 높습니다. 관건은 개발, IT 운영, 정보 보안 팀간 소유권을 공유하는 것입니다.” 2
오픈소스가 제공하는 개방형 요소를 통해 애플리케이션과 데이터가 서로 다른 환경간 일관되게 이동할 수 있어, 오픈소스와 오픈 표준이 Red Hat 오픈 하이브리드 클라우드 전략의 중요 기반이 되고 있습니다. 하지만 관리되지 않는 커뮤니티 소프트웨어를 사용하는 경우 조직이 공격에 취약해질 수 있습니다.
오픈 하이브리드 클라우드 보안 및 DevSecOps에 대한 Red Hat의 접근 방식은 기업이 자체 하이브리드 환경을 구축, 관리, 제어하는 데 집중하여 자동화 전략을 구현하고 DevSecOps 사례로 강력한 애플리케이션을 개발하도록 지원하는 신뢰할 수 있는 보안 중심 솔루션을 제공합니다.
DevSecOps에 대한 Red Hat의 접근 방식
애플리케이션 개발 라이프사이클 초기 단계에
DevSecOps 사례를 자주, 지속적으로 통합
DevSecOps는 보안을 희생하지 않고 애플리케이션을 신속하게 개발하려는 기업에 매우 중요합니다. 하지만 DevSecOps는 애플리케이션 라이프사이클에만 국한되지 않습니다. Red Hat의 접근 방식은 라이프사이클과 기술 스택의 모든 단계에서 보안을 Red Hat 파트너 에코시스템과 통합합니다.
보안 중심의 하이브리드 클라우드 구축
성공적인 DevSecOps 구현은 애플리케이션 파이프라인 이전 단계에서 시작됩니다. 첫 번째 단계로 조직은 자체 애플리케이션과 인프라를 내장된 보안 툴 및 기능을 갖춘 소프트웨어에서 실행해야 합니다.
Red Hat 오픈소스 소프트웨어는 소프트웨어 공급망 보안 프로세스를 통해 개발됩니다. 이 프로세스는 취약점과 공격에 대한 노출을 줄이면서 워크로드를 비즈니스에 가장 적합한 모든 공간으로 이동할 수 있는 유연성을 제공합니다. 또한 Red Hat은 소스 코드에 대한 정적 코드 분석, 소프트웨어 출처, 광범위한 품질 보증 및 회귀 분석 테스트, 강화, 보안 채널을 통한 분산, Red Hat 제품에 포함된 모든 패키지에 대한 지속적인 보안 업데이트를 포함합니다.
Red Hat Enterprise Linux®는 고객이 베어 메탈, 가상, 컨테이너 및 모든 유형의 클라우드 환경 전반에서 중요 애플리케이션을 안정적으로 확장하고 이머징 기술을 지속적으로 출시할 수 있는 기반 보안 기술을 제공합니다.
Red Hat Enterprise Linux가 제공하는 기반 보안 기술을 통해 Red Hat OpenShift®와 같이 상단에서 실행되는 계층화된 제품은 Red Hat Enterprise Linux가 제공하는 보안 기술을 상속함으로써 이점을 누립니다. Red Hat은 신뢰할 수 있는 동일한 Linux 콘텐츠를 Linux 컨테이너로 패키징하여 제공합니다. Red Hat Universal Base Image를 통해 고객은 Open Container Initiative(OCI)를 준수하는 Linux 컨테이너를 어디에서 실행하든 Red Hat 컨테이너 이미지의 더 우수한 안정성, 보안 기능 및 성능을 활용할 수 있습니다.
보안 중심 하이브리드 클라우드 관리 및 제어
전통적인 환경과 컨테이너화된 환경을 모두 포함하는 하이브리드 환경을 규모에 따라 관리하고 제어하는 한 가지 주요 방식은 애플리케이션 개발, 보안 운영, 인프라 운영 전반에서 일관된 자동화 전략을 사용하여 보안 및 컴플라이언스를 강화하는 것입니다. 기업이 자체 하이브리드 클라우드에 일관된 자동화 전략을 채택하면 보안 및 컴플라이언스 강화의 핵심 측면을 확보할 수 있습니다.
DevSecOps 사례를 활용한 애플리케이션 개발 보안
조직이 통합 보안을 갖춘 기반에 하이브리드 클라우드를 구축하여 보안을 강화하고 하이브리드 환경 관리 및 제어를 위해 조직 전반에서 일관된 자동화 전략을 구현했다면, 자동화를 애플리케이션 라이프사이클로 확장하고 개발 및 인프라 라이프사이클 초기에 DevSecOps 사례를 도입함으로써 지속적으로 보안에 집중해야 합니다.
45%
“45%의 응답자는 주요 동인으로 더 빠른 개발과 배포, 그리고 보안 유지를 꼽았습니다.“ 3
Red Hat 솔루션을 통한 DevSecOps의 핵심은 고객이 애플리케이션 파이프라인 초기에 보안을 구축하고 전통적인 환경과 컨테이너화된 환경에서 DevSecOps 사례를 활용해 애플리케이션을 배포하고 실행하도록 지원하는 것입니다. 이는 기술의 변화이자 문화 및 구성원 프로세스의 변화이기도 합니다.
55%
“DevSecOps 리더의 55%는 애플리케이션 개발과 보안 팀 사이에 소유권 공유 문화를 조성하는 것이 매우 중요한 요소였다고 응답했습니다.“ 4
Red Hat과 파트너는 통합 DevSecOps 에코시스템을 구축할 수 있는 툴과 서비스를 제공합니다. 또한 오픈 하이브리드 클라우드 전반에서 보안 중심 애플리케이션을 빌드, 배포, 실행하는 강력한 포트폴리오를 제공할 수 있는 능력과 전문 지식을 제공합니다. 결과적으로 프로세스가 향상되고, 보안을 희생하지 않고 애플리케이션을 더 신속히 개발할 수 있게 되었으며, 협업 문화가 조성되고, 비즈니스 및 고객 리스크가 줄어듭니다.
추가 정보
IDC 연구
조직이 DevSecOps 사례를 적극적으로 발굴하고 수용하는 이유 알아보기
DevOps
DevSecOps 여정을 지원할 때 Red Hat을 선택해야 하는 이유 알아보기
1: IDC 백서, Red Hat 후원. “DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes(심각한 위험 감소로 비즈니스 성과 개선).” #US48346521, 6페이지, 2021년 12월.
2: IDC 백서, Red Hat 후원. “DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes(심각한 위험 감소로 비즈니스 성과 개선).” #US48346521, 4페이지, 2021년 12월.
3: IDC 백서, Red Hat 후원. “DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes(심각한 위험 감소로 비즈니스 성과 개선).” #US48346521, 5페이지, 2021년 12월.
4: IDC 백서, Red Hat 후원. “DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes(심각한 위험 감소로 비즈니스 성과 개선).” #US48346521, 15페이지, 2021년 12월.
