코드로서의 인프라(IaC), 서버리스 컴퓨팅/서비스로서의 기능(FaaS), 컨테이너 및 기타 CI/CD(Continuous Integration/Continuous Deployment) 도구가 애플리케이션 개발 및 클라우드 배포에 사용되고 있다. 그러나 이러한 각 기술은 해커가 클라우드 시스템에 침투하기 위해 악용할 수 있는 공격 벡터가 될 수 있다.
오픈 소스 소프트웨어를 사용하면 소스 코드에 대한 액세스, 비용 절감, 유연성, 사용자 정의, 커뮤니티 지원 및 최첨단 기술의 가용성을 포함한 몇 가지 이점이 있다. 애플리케이션 아티팩트가 호스트 보안, 코드 주입, 자격 증명 도용 및 컨테이너 이미지 취약성과 같은 보안 문제에 여전히 취약하다는 사실은 기업을 위험에 빠뜨릴 수 있다.
현대 애플리케이션 개발 과정에서 조직의 가장 큰 우려 사항 중 하나는 기밀 정보와 자격 증명의 유출이다. GitHub, SourceForge, Bitbucket, GitLab과 같은 공용 저장소의 사용이 급증하면서 코드 저장소는 비밀 유출의 가장 중요한 벡터가 되었으며, 인간의 오류와 잘못된 구성은 응용 프로그램 개발 과정에서 가장 중요한 취약성 요소가 되었다.
조직은 라이프사이클 전반에 걸쳐 클라우드 네이티브 애플리케이션의 보안 보호를 강화하여 모든 클라우드 인프라, 워크로드, 오픈 소스 소프트웨어, 아티팩트 및 CI/CD 파이프라인의 위험을 최소화하기 위해 시프트-왼쪽 보안에 집중해야 한다. HubSpot 및 Segment는 마케팅, 영업, 고객 서비스, 운영, 콘텐츠 관리 및 고객 데이터 관리 플랫폼과 같은 다양한 비즈니스 기능을 위한 도구를 제공하는 소프트웨어 중심 기업이다. 많은 고객과 그들의 데이터를 다루면서, 두 회사는 그들의 웹 애플리케이션과 특권 액세스를 가진 사용자의 계정에 대한 시프트-왼쪽 보안에 초점을 맞출 필요가 있다. 최신 비즈니스 애플리케이션과 다른 비즈니스 솔루션과의 API 통합을 제공하는 Gong, ZoomInfo 및 Salsify와 같은 회사에서는 DevOps 워크플로우에서 자격 증명과 비밀을 유지하는 것이 매우 중요하다.
CI/CD 파이프라인 보안으로 시작되는 왼쪽 이동 보안
Shift-left 보안은 보안 소프트웨어 개발 라이프사이클의 필수 구성요소가 되었으며, 가능한 한 조기에 보안 조치를 개발 프로세스에 통합하는 것을 강조하고 있다. CI/CD 파이프라인 보안 또한 DevOps 프로세스의 중요한 부분이 되어 빌드, 테스트, 테스트, 코드가 개발되고 저장소에 커밋되면 응용프로그램을 배포할 수 있다. 그러나 CI/CD 파이프라인은 조직에 심각한 영향을 미칠 수 있는 많은 보안 위험에 직면해 있다. 여기에는 안전하지 않은 코드, 비밀 및 자격 증명의 노출, CI/CD 파이프라인 도구의 보안 잘못된 구성, 권한 있는 액세스 제어의 부족, 오픈 소스 소프트웨어 보안(공급 체인 보안)이 포함된다.
따라서 CI/CD 파이프라인에 보안을 포함하는 것이 필수적이며, 조직은 DevSecOps의 개념과 문화를 수용해야 한다. CI/CD 파이프라인 보안을 위한 핵심 기술로는 소스 구성 분석(SCA), 애플리케이션 코드 취약성 검색을 위한 소스 코드 스캐닝을 통한 보안 테스트(SAST), 기능 테스트, 액세스 제어, 비밀 관리를 위한 동적 애플리케이션 보안 테스트(DAST) 등이 있다, 컨테이너 이미지 취약성 검색 및 런타임 보안을 위한 레지스트리 검색.
오픈 소스 소프트웨어를 사용하는 것은 소스 코드에 접근할 수 있고, 비용을 절약할 수 있으며, 유연하고, 사용자 정의 가능하며, 커뮤니티 지원을 받을 수 있으며, 최첨단 기술에 접근할 수 있는 것을 포함하여 많은 이점을 가지고 있다. CheckPoint CloudGuard는 모든 CI/CD 툴과 통합되어 구축 시점에 보안 보호 프로세스를 자동화하고 공급망 격차를 파악 및 모니터링하여 조직이 CI/CD 프로세스 전반의 위험을 관리할 수 있도록 지원한다.
결론적으로:
• CI/CD 파이프라인 보안은 DevOps 프로세스의 중요한 부분이며, 소프트웨어 개발 라이프사이클의 모든 단계에서 보안을 포함해야 한다.
• Check Point Technologies는 코드에서 클라우드에 이르기까지 보안 문제를 해결할 수 있는 포괄적인 솔루션을 제공하며, CloudGuard 솔루션은 CI/CD 파이프라인에 개발자 중심의 엔드 투 엔드 보안을 제공할 수 있다.
• DevSecOps 관행 및 기술을 구현함으로써 조직은 보안을 개선하는 동시에 비용을 크게 절감하고 출시 시간을 단축할 수 있다.
관련 보고서
Cloud-Native Application Protection Platform (CNAPP) Market By Offering (Platform And Professional Services), By Cloud Type (Public Cloud And Hybrid Cloud), By Vertical (BFSI, IT & ITES, Retail & ECommerce, Telecommunications, And Healthcare), By Organization Size (Large Enterprises And SMEs), And By Region - Global And Regional Industry Overview, Market Intelligence, Comprehensive Analysis, Historical Data, And Forecasts 2022 – 2030
http://www.sbdi.co.kr/cart/shop/item.php?it_id=1678062923