좋은 질문이십니다! 추후 정리하여 답변드리도록 하겠습니다. ^^
컨테이너 및 마이크로서비스를 위해 구축된 DevOps 보안
컨테이너를 통해 규모가 확장되고 인프라가 더욱 동적으로 구성되면서 기업의 비즈니스 수행 방식이 변화되었습니다. 이 때문에 DevOps 보안 프랙티스를 새로운 환경에 맞게 조정하고 컨테이너별 보안 가이드라인을 준수해야 합니다.
클라우드 네이티브 기술은 정적 보안 정책 및 체크리스트에 적합하지 않습니다. 보안은 애플리케이션 및 인프라 라이프사이클의 모든 단계에서 지속적으로 통합되어야 합니다.
DevSecOps는 애플리케이션 개발 과정 전체에서 보안을 구축하는 것을 뜻합니다. 이처럼 파이프라인으로 통합되려면 조직 전체의 사고방식을 개선하고 이에 맞는 새로운 툴이 있어야 합니다. 따라서 DevOps 팀은 전반적인 환경과 데이터 및 지속적 통합/지속적 제공 프로세스를 보호하기 위해 보안을 자동화해야 합니다. 여기에는 컨테이너의 마이크로서비스 보안이 포함될 수 있습니다
환경 및 데이터 보안
환경 표준화 및 자동화: 각 서비스는 무단 연결 및 액세스를 최소화하기 위한 최소한의 권한을 보유해야 합니다.
사용자 ID 및 액세스 제어 기능의 중앙 집중화: 인증이 여러 지점에서 시작되므로, 엄격한 액세스 제어 및 중앙 집중식 인증 메커니즘은 마이크로서비스를 보호하는 데 필수적입니다.
마이크로서비스를 실행하는 컨테이너를 서로 분리하고 네트워크에서도 분리: 여기에는 전송 중인 데이터와 유휴 데이터가 모두 포함되는데, 이러한 데이터는 공격자에게 유용한 표적이 될 수 있기 때문입니다.
애플리케이션 및 서비스 간 데이터 암호화: 통합 보안 기능을 사용한 컨테이너 오케스트레이션 플랫폼은 무단 액세스 가능성을 최소화합니다.
보안 API 게이트웨이 도입: 보안 API는 권한 부여 및 라우팅 가시성을 높여줍니다. 조직은 API 노출을 줄여, 공격 범위를 줄일 수 있습니다.
CI/CD 프로세스 보안
컨테이너를 위한 보안 스캐너 통합: 이는 컨테이너를 레지스트리에 추가하는 프로세스의 일부로 수행해야 합니다.
CI 프로세스에서 보안 테스트 자동화: 여기에는 보안 정적 분석 툴을 빌드에 포함시켜 실행하는 작업과, 빌드 파이프라인에 포함될 때 사전 구축된 모든 컨테이너 이미지를 스캔하여 알려진 보안 취약점을 식별하는 작업이 포함됩니다.
보안 기능에 대한 자동화된 테스트를 수용 테스트 프로세스에 추가: 입력 검증 테스트 및 검증 인증과 권한 부여 기능을 자동화합니다.
알려진 취약점에 대한 패치 등 보안 업데이트 자동화: DevOps 파이프라인을 통해 이러한 작업을 수행합니다. 관리자가 프로덕션 시스템에 로그인할 필요가 없어지며, 문서화되어 추적 가능한 변경 로그가 생성됩니다.
시스템 및 서비스 구성 관리 기능 자동화: 이를 통해 보안 정책을 준수하고 및 수동 작업의 오류를 줄일 수 있습니다. 감사 및 문제 해결 역시 자동화되어야 합니
[질문] 업무적으로 사용하는 폰의 경우 MDM을 설치하여 주의를 할 수 있겠지만 직원들 개인 휴대폰에 설치하여 관리하는 것은 반발도 있고 여러가지 어려움이 있을 것 같은데 어떤 해결책이 있을까요?
개인용 Apple 기기에 MDM을 등록하여 사용하는 경우 사용자가 희망할 때 기기를 MDM의 관리에서 벗어날 수 있습니다.
뿐만아니라 MDM은 Apple의 정책에 따라 개발되기 때문에 사용자의 개인정보를 침해하지 않습니다.
따라서 업무시간에만 MDM의 관리를 받고, 업무 외 시간에는 개인의 기기로 돌아가서 사용하는것이 가능합니다.
그러면 업무 시간외의 침해에 대해선 취약해 지지 않나요
이런 경우 관리자 업무 부담이 증가하지 않을까요? 외부 활동이 잦으면 매번 설정하고 해제하고 번거로울 것 같기도 하구요.
QR코드를 통해 간단하게 등록하고, 기기 내에서 관리에서 벗어날 수 있습니다.
취합된 로그를 통해 사용자별로 확인하여 업무 부담없이 기기의 보안을 유지할 수 있습니다.
[질문] DevSecOps와 보안의 정책 접목. DevSecOps와 컨테이너 접목 어떻게 하는 것이 가장 합리적인가요?