웹문서자동등록솔루션 데브섹옵스(DevSecOps)가 공유 문서 01] 시리즈 왜 [기술 중요한가?



데브옵스에 대한 옥생각 중의 낱는 개척자가 그릇/경영까지 송두리째 부담하다 것으로 이해하는 것입니다. 데브옵스는 소프트웨어 개척 돈놀이과 그릇/경영 돈놀이이 자연과스럽게 연계됨으로써 개척에서 그릇까지의 전 경로에 걸쳐 때을 단축하고자 하는 논지에서 도입되었습니다. 기존 널리 알려진 데브옵스에 “보안”이 악화되다진 것입니다. Digital 서브 Issue 보고 01데브섹옵스(DevSecOps)가 왜 귀중하다가?데브섹옵스(DevSecOps)는 개척(Dev), 보안(Sec), 경영을 합친 말입니다.

개척이 끝막음되어 그릇경로에 다다르면 개척자는 ITSM을 통해 그릇를 위한 서버 요망 및 기타 경영에 긴하다 백반 서브를 요망합니다. ITSM을 기틀으로 하는 IT 경영 법칙에서도 개척자와 IT 경영 권위자 간의 왕래과 협업은 당연히 나위합니다. 전통적인 법칙에서의 IT 경영을 대표하는 것으로 ITSM(IT 서브 Management)을 들 수 있습니다. 당연히 이 짐짓 데브옵스 구분에 포함될 수는 있지만, 데브옵스의 진심한 의지는 소프트웨어 개척자와 IT 경영 권위자간의 협업, 왕래, 도합이 원활하게 이루어지도록 하는 것에서 찾을 수 있습니다.

이를 초극하고자 출간되다 이념이 데브옵스입니다. 가격표을 발부하고 이를 감당하는 경로에서 ITSM을 한탄 협업이 이루어지기는 낱 개척과 경영이 물 흐르듯 연결되는 것이 아닌 “절단”이 있게 알선입니다. 이렇다 경로이 체계적으로 진행될 수 있도록 알선된 경로와 법제이 ITSM입니다. IT 서브 뒷바라지이 나위할 때마다 개척자는 소왈 “가격표”을 발부하고, IT 서브 담당는 이 가격표을 감당함으로써 그릇 등 IT 경영 백반에 긴하다 뒷바라지을 하게 됩니다.

도합 테스트를 가해 적정한 컴퓨팅 물자이 확보되어 있어야 할 뿐 아니라 개척 중인 사정에서도 개척 결실물을 잠정로 그릇하는 “스테이징” 서버 배급 등 IT 경영 서브는 늘 나위합니다. IT 경영 서브는 피날레 도합 테스트 이래가 아닌 개척 경로에서도 나위합니다. 도합 테스트가 끝나면 그릇 및 경영 경로로 넘어갑니다. 데브옵스의 고갱이은 자동화소프트웨어 개척은 코딩, 단원 빌드, 단원 테스트, 도합, 도합 테스트로 좀 더 세분화할 수 있습니다.

게다가, 한 번이라도 물자 배급이 늦어지는 경우가 발생하면 총체적인 개척돈놀이에 공명을 미칠 도성 있습니다. 개척 경로에서는 명료하다 수요 예견이 쉽지 않고, 그러므로 나위 앞의 물자을 배급받는 등 효율적인 IT 물자 사용이 실은상 어렵습니다. 매양 “가격표팅”을 통해 IT 서브를 받을 경우, 연체을 최소화하기 가해서는 앞서 긴하다 IT 물자 수요에 대한 명세한 예견이 나위합니다. 즉 개척부터 피날레 그릇 경영 전 경로에서 IT 경영 서브가 나위합니다.

(도면 1) 도면 1 데브옵스 툴사슬 [소스: Netsparker] 포부(계획), 코딩, 빌드, 테스트의 데브(Dev) 경로와 릴리즈, 그릇, 경영, 모니터링을 포함하는 옵스(Ops) 경로로 구분되지만, 이들 각 경로가 낱의 돈놀이구조물로 연결되어 있어 각 경로의 단행은 옛날 경로의 끝막음와 함께 자동으로 넘어갑니다. 이렇다 동정이 자동으로 이루어지기 가해서 다양한 기물들이 선용되며 이를 일컬어 데브옵스 툴사슬(DevOps Toolchain)이라고 부릅니다. 데브옵스 각 경로는 각각 나중 경로와 연결되어 총체가 꼭 낱의 사슬(chain)을 구도하는 겉모양으로 동정합니다. 그러므로 이런 전 경로에 걸쳐 IT 경영과 관계된 서브가 적합하다 시각에 자동으로 이루어지도록 하는 것이 데브옵스의 고갱이입니다.

이 경로에서 다양한 기물들이 선용됩니다. 모니터링 결실에 따른 수정, 혹은 새로운 버전으로의 업그레이드가 있게 되면 이 도면과 같은 툴사슬이 반복적으로 동정합니다. 이는 짐짓 자동 그릇 기물를 선용하여 서브로 그릇되며 이래 경영 및 모니터링이 이루어집니다. 예를 들어 코딩이 끝막음되어 소스 저데(repository)에 반영되면(commit & push) 자동으로 도합 및 빌드가 단행되고, 이래 자동화된 테스트를 거쳐 그릇 상가 피날레 릴리즈됩니다.

아마존 AWS의 경우 코드디플로이(AWS CodeDeploy)를 대표적인 예로 들 수 있습니다. 그릇 기물는 실은 피날레 서브가 경영되는 서버와 몸소 연동됩니다. 저데와 연계되는 자동 도합기물로는 젠킨스(Jenkins), 트라비스(Travis) 등을 예로 들 수 있습니다. 소스 저데 관할 및 협업을 위한 대표적인 기물로 깃(Git)이 있고, 이에 기틀한 깃랩(GitLab) 또는 깃헙(GitHub)이 대표적인 소스 관할 및 협업 서브입니다.

흔히 데브옵스라 하면 CI/CD라는 용어를 떠올리게 됩니다. 이 밖에 최신 그릇 기물에 창해서는 관계 서적을 감안하기 바랍니다. 앞서 도합기물로 언급한 젠킨스는 도합 뿐만 아니라 그릇용으로도 설치하여 선용되는 굉장히 호평가 많은 기물입니다. 딴 기물들도 온-프레양 혹은 클라우드에 설치하여 사용할 수 있습니다.

그렇다면 왜 데브옵스섹(DevOpsSec)이 아니라 왜 기어이 데브섹옵스일까요? 데브옵스의 경우 전통적으로 개척이 계제상 앞에 오고 그 이래 그릇 경영이 이루어지기에 “데브”가 앞에 오는 것이 자연과스럽습니다. 데브옵스에서 데브섹옵스로데브섹옵스는 데브옵스에 보안(Sec)을 더한 용어입니다. 즉, 앞서 언급한 기물들을 연계하여 코딩부터 그릇까지 “자동으로” 데브옵스 툴사슬에서 동정하는 것으로 이해하면 됩니다. CI(Continuous Integration)/CD(Continuous Deployment)를 축자역하면 지속도합/지속그릇이지만, 이곳에는 “자동”이라는 말이 암시되어 있습니다.

특히 개개인정보보호와 같은 방면는 대국부 격외 없이 사본 레벨의 담당자를 두는 흐름입니다. 근래 많은 기업체이 사무소 총체 레벨에서의 보안담당자를 두고 있습니다. 그러므로, “전통적”인 견지에서 개척보다는 경영에 가깝다고 볼 수 있습니다. 그렇다면 보안(Security)은 어느 경로에 위치하다고 보는 것이 타당할까요? 일반 법제 경영견지에서의 보안 권위자들은 IT 경영 서브에 소속된 경우가 많습니다.

보안이 개척과 경영 여가에 위치하다는 언급는 당연히 아닙니다. 이런 까닭로 “데브옵스섹” 보다는 “데브섹옵스”라는 용어가 적합해 보입니다. 또다시 데브옵스로 돌아와 보면, 결국 “보안”은 “데브” 또는 “옵스” 어느 경로에 속하거나 혹은 이들 경로 앞/뒤에 있는 것이 아니고 데브옵스 총체에 걸쳐 긴하다 것으로 볼 수 있습니다. 그만큼 사무소 사무 프로세스 및 서브 총체에 걸쳐 “보안”을 강조하는 것입니다.

이를 가해서는 데브옵스에 보안을 얹어 개척 전 돈놀이에서의 지속적이며 내리 향상할 수 있는 보안 프레임워크가 있어야 하며 이것이 데브섹옵스라고 설명하고 있습니다. 기존의 특정 담당에게 담당과 권능이 부여되어있는 인프라 경영 깜냥에서의 보안으로는 증속화되고 있는 디지털 전환 기간의 보안 소요 조항을 충분명령하다 수 없으며, 결국 명 요체으로 온갖 스테이지에서의 보안이 나위하다고 강조하고 있습니다. (도면 2) 도면 2 데브섹옵스 툴사슬 [소스: DyanaTrace] 가트너가 2018년 드러내다 10대 군략작용 트렌드에는 “지속/동화형 간두지세 및 신의 감정(Continuous Adaptive Risk and Trust Assesment)”라는 것이 포함되어 있습니다. 그보다는 데브옵스 툴사슬 총체를 “보안”이 표지하는 겉모양이 데브섹옵스의 실은 겉모양입니다.

클라우드 총체에 걸쳐 일관성 있는 보안 정략을 유지하기 기교으로 데브섹옵스를 든 것입니다. 클라우드에서 단행되는 애플리케이션이 동적애기 까닭에 자동화된 데브섹옵스 프레임워크를 본바탕으로 한 보안계기를 강조한 것입니다. 클라우드를 선용하는 결성에서 IaaS와 PaaS에 대한 보안을 담통할 수 있는 제어계기가 나위하며 특히 자동화된 감정/실증과 문해결이 귀중하다는 것입니다. 또 딴 가트너의 보고인 “2020-2021 극히 귀중하다 10대 보안 프로젝트”에서도 데브섹옵스가 언급 되고 있습니다.

애플리케이션 개척 경로에서부터 보안 소요 조항이 철저하게 실증되어야 한다는 실은이 데브섹옵스의 고갱이애기도 합니다. 데브옵스에서와 동등로 적합하다 기물를 사용함으로써 데브옵스의 자동화된 돈놀이을 유지할 수 있급니다. 개척 및 그릇 온갖 경로에서 보안에 긴하다 요인를 일정 깜냥 구현함으로써 여가버 공박이나 데이터 누출과 같은 보안고장에 대비하는 것입니다. 데브옵스의 전 라이프돈놀이에서 보안을 다루어야 한다는 것은 온갖 말미암다 명이 각각 담당하고 있는 사무에서 일정 깜냥의 보안 소요 조항을 충분명령하다 수 있어야 함을 의지합니다.

● 코드 작성을 끝막음한다. 총체적인 워크플로우를 간략히 살펴보면 나중과 같습니다. 기존 데브옵스 프레임워크 안에서 곧다 데브섹옵스 기물를 적절히 선용함으로써 총체 프로세스를 데브섹옵스 기틀으로 확충할 수 있습니다. 데브섹옵스는 어떻게 동정하는가?데브섹옵스의 극히 큰 강점은 소프트웨어 개척에서 그릇/경영까지의 전 경로에 걸쳐 향상된 자동화 법칙을 적용함으로써 밖로부터의 공박을 줄이고, 보안고장로 말미암다 서브 중지을 최삭이다 수 위치하다는 것입니다.

주로 고요분해(Static Analysis)을 통해 이뤄진다. 이때 자동화된 기물를 선용하여 코딩 컨벤션 등 총체적인 품 물표뿐만 아니라 보안에 강박이 될 만한 요인는 없는지, 눈에 띄는 버그는 없는지 등을 함께 분해한다. (Commit)● 딴 개척자는 저데로부터 이 코드를 받아 코드 품을 분해한다. ● 끝막음된 코드를 버전 관할 작용도 함께 있는 협업용 저데(repository)에 등부한다.

테스트케이스를 모아 자동으로 이행할 수 있는 기물를 선용하는데, 백 엔드에서 이행되는 사무 로직뿐만 아니라 UI, 그리고 보안 및 API 테스트가 이행된다. ● 새로 그릇된 애플리케이션에 창해 테스트를 이행한다. 단행분간두지세 자동 생성을 가해 IaC(Infrastructure as code)기물가 사용된다. ● 갓 단행분간두지세을 생성하여 애플리케이션을 그릇하고 동일시에 보안을 가해 긴하다 구도 요인(configuration)가 법제에 적용된다.

이는 곧 법제에 대한 보안 강박을 최소화하며 컴플라이언스 요소을 충분명령하다 데에도 공헌합니다. 테스트 주장형 개척(TDD: Test-Driven Development), CI/CD, 테스트 자동화와 함께 자동화된 보안 분해이 총체적인 소프트웨어 개척 파이프라인에 적용됨으로써 보다 향상된 코드 품을 보장할 수 있습니다. ● 실 그릇한 애플리케이션을 내리 모니터링하며 법제에 대한 보안 강박요인를 탐험한다. ● 애플리케이션이 테스트를 통과하면 자동화된 그릇 기물를 이용해 프로덕션 분간두지세에서 실 그릇한다.

즉 물리적으로 하드웨어를 구도하거나 형상관할 기물를 선용해 일일이 구도요인를 정당하는 갈음 프로그래밍 말씀로 작성된 코드를 이용해 긴하다 인프라를 공급(Provision)할 수 있도록 하는 것입니다. IaC는 인프라스트럭처 구도을 가해 긴하다 분간두지세을 코드 게슈탈트로 작성하여 긴하다 컴퓨팅 분간두지세을 유연하게 공급할 수 있도록 하는 프로세스를 말합니다. 예를 들어 도합 후 테스트를 위한 인프라를 갖추는 경로에서 IaC(Infrastructure as Code)가 선용됩니다. 그러나 이렇다 일련의 경로은 많은 자동화 경로을 수반합니다.

대표적인 IaC 기물로 셰프(Chef)5), 테라폼(Terraform)6) 등을 들 수 있습니다. IaC 코드는 해커들의 긴요 타겟이 될 수 위치하다는 점에서 총체 애플리케이션 코드보다 더 높은 깜냥으로 보호되어야 합니다. IaC를 가해 작성된 코드는 총체 애플리케이션 코드와 동등로 버전 관할법제을 통해 갈무리/관할되며, CI/CD와 연계되어 그릇 자동화에 선용됩니다. IaC의 좀 더 향상된 법칙인 ‘지속적인 구도 자동화(CCA:Continuous Configuration Automation)’ 기물들이 실은 데브섹옵스 툴사슬에서 많이 사용됩니다.

● 계고 알림: 개척자에게 비정상적인 사정를 계고해 주는 기물● 자동화: 스캔 후 문가 발견될 경우 이를 수정해 주는 기물로, 특정 요소이나 이벤트가 발생하면그에 따라 개척자가 선정한 보안 관계 공작을 자동으로 이행● 대시보드: 개척 프로세스상에서 보안 강박 가시성을 확보● 보안 강박 모델링: 애플리케이션 리스크를 감정하고 분해● 테스팅: 프로덕션 그릇 전 보안 결점을 발견하기 위한 테스팅 기물● 코드 분해: 고요분해을 통해 코드 품 득점를 매기거나 오픈소스 관계 지목 재산권 가해 요인를 확인하고, 또 이나중 문의 보유가 있는 코드 낌새(code smell) 등을 탐험 보안과 연계된 데브섹옵스 기물 명세 리스트는 감안 서적을 참호하기 바랍니다. 특별히 보안과 관계된 국부만 따로 떼면 몇 아지 카테고리로 구분될 수 있습니다. 소프트웨어 개척 파이프라인 자동화를 가해 함께 쓰애기 까닭입니다. 총체적으로 데브섹옵스 기물는 데브옵스 기물를 포함합니다.

AWS에서는 코드 파이프라인을 이용하여 데브섹옵스를 구현할 수 있습니다. 특히 클라우드 네이티브 기틀 애플리케이션 그릇의 경우 개척, 도합, 빌드, 테스트, 패키징, 그릇, 경영 경로이 송두리째 데브옵스 기틀으로 자동화되기 까닭에 보안 강박으로부터 애플리케이션과 법제을 보호하기 가해서는 데브섹옵스가 불가무입니다. 퍼블릭 IaaS 위에서 또는 PaaS 기틀으로 그릇되는 애플리케이션의 경우 온-프레양로 관할하는 인프라만큼 자라다 제어계기를 갖지 못하기 까닭에 예상치 못한 보안 강박에 감광될 실현성이 큽니다. AWS, 애저(Azure)에서의 데브섹옵스클라우드에서의 데브섹옵스는 온-프레양 컴퓨팅에서보다 갈수록 귀중하다 의지를 지닙니다.

이 실증을 통과하지 못하면 총체 파이프라인은 멈추게 됩니다. 코드 커밋, 테스트, 프로덕션 스테이지마다 보안 집단에 의한 실증이 이루어집니다. IaC(Infrastructure as Code)로는 AWS 클라우드포메이션(CloudFormation)를 선용합니다. AWS와 서드 다과회 솔루션을 콤비네이션하여 데브옵스 전 경로에서의 보안 관계 공작을 자동화하는 법칙입니다.

코드 파이프라인을 이용한 데브섹옵스 예를 도면 3에서 보여주고 있습니다. 데브옵스 경로에서 새로운 코드 커밋이 나다 경우, 짐짓 동등로 당해 코드를 고요으로 분해하는 람다 함수가 단행될 도성 있습니다. 예를 들어, 클라우드포메이션 템플릿이 생성되어 소설지에 갈무리되면 자동으로 이를 고요으로 분해하는 람다 함수가 단행되는 것입니다. AWS 람다(Lambda) 함수가 실증 자동화 경로에서 귀중하다 몫을 합니다.

컨테이너 상가 생성되어 애저 컨테이너 레지스트리에 등부되면 애저 보안요체(Azure Security 요체)는 이 상의 결점 및 컴플라이언스 가부를 실증합니다. 실증을 통과하면 애저 파이프라인에서 CI 빌드를 통해 컨테이너 상가 만들어져 애저 쿠베네티스를 통해 그릇됩니다. 개척자가 깃헙(GitHub) 엔터프라이즈에 커밋 하면 자동으로 코드에 대한 보안 실증이 이루어집니다. 도면 3 AWS 코드 파이프라인을 선용한 데브섹옵스 구현 예 [소스: 아마존] 마이크로소프트 애저(Azure)에서도 AWS와 유사하게 애저 솔루션 혹은 서드 다과회 솔루션을 선용하여 데브섹옵스를 구현할 수 있습니다.

AWS와 애저에서는 자신 기물뿐만 아니라 서드다과회 기물를 선용하여 다양한 법칙으로 데브섹옵스를 구현할 수 있습니다. 이렇다 경로을 도면 4에서 설명하고 있습니다. 극단 쿠버네티스 서브를 통해 그릇되어 단행되는 간격 애저 모니터가 보안 로그를 수집하며 의아스러운 동정을 계고할 수 있습니다. 컨테이너 단행분간두지세을 자동으로 구도하기 가해 테라폼(Terraform)과 같은 IaC 기물가 선용될 도성 있습니다.

소프트웨어개척 파이프라인 각 경로에서 보안 이슈가 해결되지 않는 한, 총체 프로세스를 자동화하는 것은 불가능합니다. 맺으며데브섹옵스는 데브옵스의 총체화와 함께 대두되는 보안 이슈를 다루기 가해 출간되다 확충된 데브옵스 이념입니다. 거래자의 개척분간두지세과 가다 기물의 다양성을 수용하기 가해 AWS나 애저와 같은 대짜 클라우드 서브 보급자는 뒷바라지되다 기물를 내리 확충하고 있습니다. 데브옵스 파이프라인 각 경로 선후, 또는 그릇 후 총체적인 모니터링을 통해 보안에 강박이 되는 요인를 지속적으로, 그리고 자동으로 탐험하며 때로는 수정도 가능합니다.

긴요 퍼블릭 클라우드 벤더의 경우 개척자 수요에 부합하는 다양한 솔루션들을 콤비네이션한 데브섹옵스를 뒷바라지하고 있고, 앞으로 더 많은 다양한 기물들을 수용할 것입니다. 이는 데브옵스와 보안을 따로 떼어 낼 수 없음을 우회적으로 표현한 것으로 볼 수 있습니다. “데브섹옵스”는 곧 꺼지다 것이라 말하는 명들도 있습니다. 데브옵스의 고갱이은 곧 소프트웨어개척 파이프라인 자동화이므로, 자연과스럽게 다양한 보안 기물가 데브옵스에 도합 경영될 수밖에 없습니다.

개척부터 그릇까지 전 데브옵스 파이프라인에 걸친 보안 및 컴플라이언스 실증이 그대로 이루어지지 않는다면 어느새든 최악의 보안고장가 나다 수 있습니다. 산재분간두지세에서 동적으로 그릇되는 컨테이너 상를 수하 무단으로 변조하거나 생뚱맞다 상로 대관절하는 일이 나다다면 이는 굉장히 극진하다 결실를 초래하게 됩니다. 도면 4 애저를 사용한 데브섹옵스 [소스: 마이크로소프트] 앞서 소개한 마이크로소프트 애저의 데브섹옵스 구현 예(도면 4)에서 볼 수 있듯이, 쿠버네티스를 선용한 클라우드 네이티브 컴퓨팅에서 데브섹옵스는 특히 중요합니다. 개척자 견지에서 이런 흐름는 굉장히 기쁘다 일이지만, 극단 과히 많은 발췌지로 인해 사용성을 떨어뜨릴 도성 있습니다.

[본문소스]디지털서브 이슈보고 2021-04호 . 데브섹옵스는 발췌이 아니라 불가무입니다. 특히 이런 실증이 자동으로 이루어져야 데브옵스 파이프라인이 그대로 동정할 수 있습니다.