개요
많은 조직에서 DevSecOps를 구현할 때 애플리케이션 파이프라인에만 초점을 맞추지만, 고려해야 할 영역은 그 뿐만이 아닙니다. Red Hat® 솔루션이 포함된 DevSecOps는 컨테이너화된 환경에서 조직의 애플리케이션 파이프라인 작업을 지원하는 데 그치지 않습니다. 기존 환경과 컨테이너형 환경에서 DevSecOps 사례를 사용하여 애플리케이션을 구축, 배포, 실행하여 애플리케이션 및 인프라 라이프사이클 초기에 보안 문제와 취약성을 해결할 수도 있습니다.
Red Hat과 보안 파트너 에코시스템은 포괄적인 DevSecOps 접근 방식을 통해 조직이 보안에 영향을 주지 않고 지속적으로 혁신할 수 있도록 지원합니다. Red Hat은 오픈 하이브리드 클라우드 전반에 걸쳐 보안 중심 애플리케이션을 구축, 배포, 실행할 수 있는 강력한 포트폴리오와 전문 지식 및 역량을 갖추고 있으므로 조직의 DevSecOps 단계에 관계없이 지원할 수 있습니다.
DevSecOps가 중요한 이유
DevSecOps는 특히 DevOps 툴과 일반적인 DevOps 프로세스가 지속적으로 발전하고 변화하는 복잡한 작업입니다. 또한 현대적인 애플리케이션을 개발할 수 있는 컨테이너와 쿠버네티스, 퍼블릭 클라우드 서비스와 같은 기술을 통해 조직이 규모에 맞게 DevSecOps를 사용하도록 지원하는 소프트웨어 보안 및 기술에 대한 추가 수단이 있습니다.
개발 및 운영 팀은 처음부터 컨테이너와 쿠버네티스 보안 등 정보 보안을 애플리케이션 및 인프라 라이프사이클의 필수 요소로 삼아야 합니다. 팀원들은 중요한 IT 인프라를 보호하고, 보안 중심 애플리케이션을 개발 및 실행하고, 기밀 데이터를 보호하며, 변화에 발맞춰야 합니다.
DevSecOps는 이러한 IT 및 보안 팀이 구성원과 프로세스 및 기술 전반에서 보안 문제를 해결할 수 있도록 지원하므로 속도와 효율성, 보안, 일관성, 반복 가능성, 협업이 개선됩니다. 특히 DevSecOps는 다음과 같은 장점이 있습니다.
- 안전성을 높이고 위험을 최소화: 잠재적인 프로덕션 문제를 줄일 수 있도록 애플리케이션 개발 및 인프라 라이프사이클 초기 단계에 더 많은 보안 취약점을 제거
- DevOps 릴리스 주기의 효율성과 속도를 향상: 레거시 보안 사례 및 툴 제거, 자동화 사용, 툴체인 기반 표준화, 코드형 인프라(Infrastructure as Code)와 코드형 보안 및 코드형 컴플라이언스 구현으로 반복 가능성과 일관성을 높여 개발 프로세스 개선
- 리스크 감소 및 가시성 확대: 애플리케이션 개발 및 인프라 라이프사이클 초기에 보안 게이트를 구현하여 인적 오류 가능성은 줄이고 보안과 컴플라이언스, 예측 가능성, 반복 가능성은 높이는 동시에 감사 우려 완화
Red Hat 리소스
DevSecOps는 애플리케이션 라이프사이클에만 국한되지 않습니다.
성공적인 DevSecOps 구현은 애플리케이션 파이프라인 이전 단계에서 시작됩니다. 첫 번째 단계로 조직은 자체 애플리케이션과 인프라를 내장된 보안 툴 및 기능을 갖춘 소프트웨어에서 실행해야 합니다. 또한 DevSecOps 프로세스의 중요 요소인 환경에 대한 제어 권한을 더 확보하려면 조직 전체에 일관된 자동화 전략을 구현해야 합니다.
자동화를 통해 보안 중심 애플리케이션을 개발하고 개발 및 인프라 라이프사이클 초기에 DevSecOps 사례를 채택할 수 있습니다.
많은 조직에서 DevSecOps를 구현할 때 애플리케이션 파이프라인에만 초점을 맞추지만 고려해야 할 영역은 그 뿐만이 아닙니다. Red Hat과 보안 파트너 에코시스템은 이러한 조직이 기존 환경뿐 아니라 컨테이너화된 환경에서 DevSecOps 사례를 통해 보안 중심 애플리케이션을 설계, 구축, 배포, 실행할 수 있도록 지원합니다.
Red Hat은 고객의 DevSecOps 단계에 관계없이 고객을 지원할 수 있습니다. 아래의 DevSecOps 성숙도 모델을 참고해 현재 단계를 파악할 수 있습니다.
- 초급 단계: 애플리케이션 생성부터 배포까지 모든 것이 수동으로 이루어집니다. 애플리케이션 개발 팀, 인프라 팀, IT 운영 팀, 보안 팀이 대부분 사일로화되어 있으며 팀 간 협업이 거의 없습니다.
- 중간 단계: 일부 툴체인 유형에 표준화가 구현되어 있습니다. 따라서 조직 전체에서 일관된 방식으로 자동화를 사용하여 코드형 인프라, 코드형 보안, 코드형 컴플라이언스 등을 수행할 수 있습니다.
- 고급 단계: 인프라 및 애플리케이션 개발이 자동화되어 있습니다. 이제 조직은 컨테이너와 쿠버네티스 및 퍼블릭 클라우드 서비스 같은 기술을 통해 프로세스(개발 프로세스 등)를 개선하고, 기존 자동화를 확장하며, 규모에 따라 DevSecOps를 구현하려 합니다. 조직은 고급 배포 기술, 셀프 서비스, 오토스케일링을 사용해 지속적으로 소프트웨어를 제공하기 위해 다이나믹 환경에서 규모에 따라 애플리케이션을 배포하고 있습니다.
- 전문 단계: 조직은 클라우드 네이티브 환경에서 모든 것이 애플리케이션 프로그래밍 인터페이스(API) 중심으로 이루어지는 단계에 도달했습니다. 서버리스 및 마이크로서비스와 같은 기술 모델을 평가하거나 사용하고 있으며, 인공지능과 머신 러닝을 활용하여 보안 테스트 및 애플리케이션 개발 관련 결정을 내립니다.
Red Hat의 지원 방식
개발자, 설계자, IT 운영자, 보안 팀은 Red Hat 오픈소스 포트폴리오에서 기본으로 제공하는 보안 기능을 통해 애플리케이션 개발 및 인프라 라이프사이클 초기에 계층화된 보안과 DevSecOps 스택을 쉽게 구현할 수 있습니다. 이를 구현하기 위한 몇 가지 방법을 소개합니다.
DevSecOps의 기본적인 보안
Red Hat은 Red Hat Enterprise Linux®를 통해 조직이 베어메탈, 가상, 컨테이너, 클라우드 등 여러 환경에서 기존 애플리케이션과 클라우드 네이티브 애플리케이션을 일관되게 실행할 수 있는 기본 보안을 제공합니다. Red Hat Enterprise Linux는 DevSecOps 워크플로우에 필요한 중요 보안 격리 기술, 강력한 암호화, Identity 및 액세스 관리, 소프트웨어 공급망 보안, 독립적으로 검증된 보안 인증을 제공합니다.
Red Hat OpenShift®, Red Hat OpenStack Services on OpenShift®, Red Hat Data Services 등 Red Hat Enterprise Linux를 기반으로 실행되는 오픈소스 기술은 기반 시스템인 Red Hat Enterprise Linux에서 제공하는 보안상 장점을 상속합니다.
이를 산업 표준 인증 프로토콜, SSO(Single Sign-On) 및 Identity 관리, 역할 기반 액세스 제어(RBAC)와 같이 즉시 사용할 수 있는 다양한 애플리케이션 보안 기능을 제공하는 Red Hat Application Foundations로 보완하세요. 하이브리드 및 멀티클라우드 환경 전반에서 규모에 맞게 보안을 염두에 두고 소프트웨어를 개발하고 현대화하세요.
IT 자동화를 통한 워크플로우 및 프로세스 표준화
이기종 DevSecOps 툴, 사례, 프로세스로 인해 협업, 가시성, 생산성이 악화되고 인적 오류의 가능성이 높아질 수 있습니다. 라이프사이클 운영을 자동화하면 일관되고 반복 가능한 프로세스와 워크플로우, 프레임워크를 만들어 소프트웨어 팀과 개발 팀, IT 인프라 팀, 보안 팀 간의 상호 작용을 간소화할 수 있는 최적의 환경을 갖출 수 있습니다.
사람이 읽을 수 있는 단일 언어를 사용하는 Red Hat Ansible® Automation Platform은 전사적 자동화를 구현하는 데 필요한 모든 툴, 서비스, 교육을 포함하며, 애플리케이션에서부터 보안, 네트워크, 인프라에 이르는 조직 IT 환경의 모든 측면에서 협업과 투명성, 일관성을 높이는 사용자 친화적인 통합 자동화 기반을 제공합니다.
이미지, 컨테이너, 클러스터, 쿠버네티스를 활용한 규모에 따른 DevSecOps
OpenShift를 활용하는 조직은 보안 중심의 클라우드 네이티브 애플리케이션을 규모에 맞게 구축, 배포, 실행, 관리할 수 있습니다. 특히 OpenShift Platform Plus는 핵심 플랫폼을 기반으로 하며, Red Hat Advanced Cluster Security for Kubernetes, Red Hat Advanced Cluster Management for Kubernetes, Red Hat Quay를 포함합니다.
조직은 이러한 기술을 통해 보안 검사를 지속적 통합/지속적 제공(CI/CD) 파이프라인에 포함하여 개발자에게 CI/CD 파이프라인에서 직접 취약점을 스캔하고 정책을 검토하는 기능을 제공하고, 개발자의 워크로드 및 쿠버네티스 인프라의 구성 오류 및 규정 미준수 위험을 방지하며, 런타임 위협 탐지 및 대응을 구현할 수 있습니다.
Red Hat Advanced Cluster Security for Kubernetes는 모든 주요 클라우드와 하이브리드 플랫폼에서 컨테이너화된 워크로드와 쿠버네티스를 보호하는 데 도움이 됩니다. 이 플랫폼은 전체 관리형 SaaS(서비스로서의 소프트웨어) 솔루션으로 배포될 수 있고, 위협을 완화하는 데 도움이 되며, 지속적인 검사 및 보증을 제공하고, 쿠버네티스 인프라를 보호합니다. Red Hat Advanced Cluster Security for Kubernetes는 애플리케이션의 보안 유지, 보호, 관리를 위해 최적화된 강력한 전체 툴 세트인 Red Hat® OpenShift® Platform Plus에 포함되어 있습니다.
OpenShift Platform Plus는 자동화된 풀스택 보안 및 운영을 중심으로 구축되어 있어, 모든 환경에서 일관된 경험을 제공합니다. 이러한 최적화는 개발자 생산성과 개발 프로세스를 개선하는 동시에 전체 소프트웨어 공급망이 보안에 중점을 두고 규정을 준수하도록 보장합니다. 운영 팀, 개발 팀, 보안 팀은 OpenShift Platform Plus를 사용하여 보다 효율적으로 협력하고, 최신 클라우드 네이티브 애플리케이션 개발 아이디어를 기획하고 구현할 수 있습니다.
OpenShift에 포함된 Red Hat OpenShift 빌드, 파이프라인, GitOps는 OpenShift에서 소스 코드 빌드 및 애플리케이션 패키징을 실행하는 데 필요한 구성 요소를 제공합니다. 또한 보안 관련 태스크를 CI/CD 파이프라인에 연결할 수 있는 유연한 프레임워크를 제공합니다.
Red Hat Application Services는 산업 표준 프로토콜(예: OAuth/OpenID, JWT 토큰), SSO(Single Sign-On) 및 Identity 관리, 역할 기반 액세스 제어(RBAC), 클러스터 인증, 클러스터 내 암호화 등과 같이 즉시 사용할 수 있는 다양한 애플리케이션 보안 기능을 제공합니다.
Red Hat 보안 파트너 에코시스템
Red Hat의 보안 파트너 에코시스템은 고객이 역량을 확장하고 강화하여 DevSecOps 사례를 활용해 애플리케이션 및 인프라를 보호할 수 있도록 지원합니다. Red Hat의 포트폴리오 및 서비스와 에코시스템을 함께 활용하면 다음과 같은 주요 보안 문제를 해결할 수 있습니다.
- 컴플라이언스 및 거버넌스
- Identity 및 액세스 관리
- 취약점 및 구성 관리
- 플랫폼 보안
- 네트워크 제어
- 데이터 제어
- 보안 제어
- 런타임 분석 및 보호
- 로깅 및 모니터링
- 문제 해결
DevSecOps 여정 시작하기
Red Hat Services는 기술 투자를 통해 측정 가능하고 의미 있는 비즈니스 성과를 달성할 수 있도록 도와드립니다. 기업 문화와 비즈니스 프로세스에서 교육 및 자격증에 이르는 DevSecOps 여정을 시작해 보세요.
레드햇 공식 블로그
레드햇 공식 블로그에서 고객, 파트너, 커뮤니티 에코시스템 등 현재 화제가 되는 최신 정보를 살펴 보세요.