Shift Left Security 하고 계신가요?

” Shift Left Security “은 새로운 개념이 아니며 많은 기술자들이 높은 수준에서 이해하는 개념입니다. 이는 애플리케이션이 프로덕션에 들어갈 때뿐만 아니라 소프트웨어 개발 프로세스의 초기 단계에서 보안 정책 및 제어를 구현하는 것을 의미합니다. Shift Left Security 하려면 애플리케이션 개발자와 DevOps팀이 보안 정책과 애플리케이션 및 프로세스의 필수 부분으로 간주하며(특히 CI/CD Pipeline의 모든 단계에서 테스트해야 합니다) 결과적으로 애플리케이션의 보안이 근본적으로 강화됩니다.

Shift Left Security 하는 것이 무엇을 의미 하는지에 대한 합의에도 불구하고 작업에 가장 적합한 도구와 접근 방식으로 전환되면 논란이 발생합니다. 토론의 대부분은 코드 검색 및 자동 패치 적용을 위한 도구 또는 최신 애플리케이션 및 인프라를 위해 특별히 설계된 새로운 보안 도구에 초점을 맞추고 있습니다. 테스트 환경과 프로덕션 환경 모두에서 런타임 보안 정책을 적용하는 데 오랫동안 사용되어 온 Web Application Firewall(WAF)과 같은 도구는 종종 무시됩니다. 왜 그런 것일까요? 레거시 보안 도구는 오늘날의 기업에 정말 적합하지 않습니까? 그렇지 않습니다. 표적이 되고 항상 진화하는 공격으로부터 엔터프라이즈 애플리케이션을 보호해야 할 필요성이 그 어느 때보다 커졌으며 Multi‑Layer 접근 방식이 필요합니다.

목차

1. Shift Left Security로 보안과 DevOps 사이의 격차가 커졌습니까?
2. 적절한 보안 툴을 사용하여 DevOps와 보안 간의 차이 해소
3. 올바른 툴과 Guardrail을 제자리에 두고 성공적으로 Shift Left
4. 결론

1. Shift Left Security로 보안과 DevOps 사이의 격차가 커졌습니까?

세부 사항을 더 깊이 파고들기 전에 훨씬 더 기본적인 질문을 해봅시다. Shift Left Security 하는 것이 옳은 일이라면 왜 우리는 항상 그렇게 하지 않았습니까? 이는 기업이 일반적으로 NetOps, IT 또는 인프라 및 운영팀에 의해 중앙에서 기존 애플리케이션과 인프라를 관리하는 방식과 관련이 있습니다. 이 모델에서는 애플리케이션이 배포되는 인프라의 Edge에서 보안 적용을 통합하는 것이 합리적입니다.

그러나 현대 기업이 보다 효율적이게 되기 위해 디지털 혁신을 수용하기 시작하면 모든 것이 분산되는 경향이 있습니다. 애플리케이션 개발은 여러 팀에 걸쳐 분산되며, 애플리케이션의 기본 인프라와 작업도 분산되고, 애플리케이션 자체는 네트워크에서 API를 통해 상호 작용하는 서비스, Endpoint 및 장치 모음으로 분산됩니다. 이러한 모든 구성 요소는 기존 및 중앙 집중식 인프라팀의 범위를 벗어나 Dev 및 DevOps팀에서 관리하는 경우가 많습니다.

이러한 분산으로 인해 일부에서는 보안을 애플리케이션 중심으로 만들고 개발 프로세스 초기 단계에 삽입해야 한다고 주장합니다. 더 이상 Edge에 중앙 집중식 Gatekeeper가 없기 때문입니다. 불행하게도 분산으로 인해 한 쪽의 Dev 및 DevOps팀과 다른 쪽의 보안팀 간에 상당한 마찰이 발생했습니다.

이 마찰의 원인은 무엇입니까? 대부분은 모든 팀에서 동일한 속도로 변화가 이루어지지 않았기 때문입니다. 보안 분야는 단일 데이터 센터를 둘러싼 애플리케이션 경계에서 여러 위치에서 실행되는 최신 애플리케이션 Workload로 구성된 매우 크고 정의하기 어려운 공격 표면으로 변화했으며, 네트워크를 통해 서로 통신합니다. 전 세계의 장치 및 사용자로부터 데이터를 가져옵니다.

Shift Left Security 하면 보안이 상호 작용해야 하는 사람들의 범위가 극적으로 넓어집니다. 대부분은 보안 전문 지식을 가지고 있지만 보안 자체에는 성장할 예산이 반드시 주어지지 않았습니다. 문제를 더하는 것은 보안 팀에 익숙한 많은 레거시 도구가 Shift Left 개념을 완전히 수용하지 않아 자동화 및 최신 인프라용으로 설계되지 않았음에도 불구하고 Pipeline에 삽입할 수밖에 없다는 사실이 문제를 가중시키고 있습니다. 현대적인 인프라. 도구는 일반적으로 셀프 서비스를 제공하지 않습니다. 따라서 Dev 및 DevOps는 빠르게 움직여야 하지만 보안이 정책 변경을 구현할 때까지 기다려야 합니다. “shadow IT“에 의지하여 해결책을 모색합니다.

2. 적절한 보안 툴을 사용하여 DevOps와 보안 간의 차이 해소

원래 질문으로 돌아가서 Shift Left Security 이야기에서 WAF와 같은 보안 도구의 역할이 있습니까? 대답은 ‘그렇다’라는 것입니다. 위에서 언급했듯이 공격 표면으로부터 애플리케이션과 API를 보호하고 애플리케이션이 위험 관리 및 규정 준수 요구 사항을 충족하는지 확인하는 방법이 필요합니다.

그러나 효과적으로 되기 위해서는 WAF 자체가 발전하고 Shift Left 해야 합니다. 여러 환경에 쉽게 배포되고 최신 인프라 및 최신 Pipeline에 최적화된 경량 WAF를 사용하면 애플리케이션이 특정 환경에서 실행되기 전에 애플리케이션 구성 요소 및 API의 Build 및 기능 테스트 단계에서 보안 정책의 효율성을 Stress‑Test할 수 있습니다. 런타임 환경. 핵심은 Pipeline 내에서 프로비저닝(Provisioning)할 수 있도록 보안 구성 및 정책을 자동화하는 WAF를 찾는 것입니다.

3. 올바른 툴과 Guardrail을 제자리에 두고 성공적으로 Shift Left

그러나 올바른 WAF를 찾아 Shift Left 하는 것은 이야기의 일부일 뿐입니다. 보안 제어 및 프로세스가 구식일 뿐만 아니라 기업의 요구 사항을 충족하는 보안 메커니즘이 Dev 및 DevOps에 제공되는 방식 때문에 현대화하는 기업의 팀 간에 마찰이 있습니다. 비유는 보안이 개발 프로세스 및 Pipeline에 Gate가 아닌 Guardrail을 구축해야 한다는 것입니다.

보안팀이 보안 정책과 프로세스를 감사하고 평가하는 동안 개발이 중단되어야 한다고 주장하면서 보안이 중단되는 경우가 너무 많습니다. Dev와 DevOps는 보안이 안전한 방식으로 진행되도록 하면서 개발을 계속할 수 있는 유형의 지침을 제공할 때 훨씬 더 행복합니다. 즉, 보안 자체가 CI/CD Pipeline의 다른 부분과 마찬가지로 ‘지속적’이 됩니다.

이를 달성하는 한 가지 방법은 Pipeline에 코드로 삽입할 수 있는 보안 툴을 선택하는 것입니다. 그러나 보안팀은 점점 더 분산되고, 이미 분산된 애플리케이션에 대한 보안 절차에 대한 생각을 바꿔야 합니다. 보안 절차 자체는 발전하고 훨씬 더 애플리케이션 중심적이 되어야 하며 애플리케이션 대상, 애플리케이션 구축 방법, 애플리케이션이 배포되는 환경, 표준 준수 등 모든 종류의 요인에 대응하여 Shift Left 해야 합니다.

광범위한 애플리케이션에 걸쳐 보안을 오케스트레이션 하기 위한 Control Plane은 이러한 환경에서 실제로 가치를 추가할 수 있습니다. 보안에서 설정한 매개변수를 기반으로 기본 애플리케이션과 일치하는 적절한 보안 지침을 설정하기가 쉽습니다. Guardrail을 설정하면 보안, Dev 및 DevOps가 최소한의 상호 작용 또는 중단으로 함께 작동할 수 있습니다. Control Plane은 애플리케이션 중심으로 전환되고 다양한 접근 방식이 등장하면서 발전하는 공간입니다.

4. Shift Left Security 결론

애플리케이션 보안에 대한 한 가지 변하지 않는 사실은 모든 것에 적용되는 단일 접근 방식이 없으며 기업에 가장 적합한 접근 방식에는 여러 보안 계층이 포함된다는 것입니다. 핵심은 각 보안 솔루션이 Pipeline에 적합하도록 하고 개발팀과 보안팀이 엔터프라이즈 애플리케이션 및 API를 보호하는 방법에 대한 효과적인 지침에 맞출 수 있도록 하는 것입니다.

NGINX App Protect는 NGINX Plus와 함께 동적 모듈로 배포되는 가볍고 현대적인 WAF입니다. CI/CD Pipeline 내에서 프로비저닝할 수 있도록 보안 구성 및 정책을 자동화합니다. Controller Application Delivery Module에 대한 NGINX Controller App Security 추가 기능을 사용하면 Dev 및 DevOps팀이 배포하는 애플리케이션에 대한 보안, 셀프 서비스 액세스 및 보안 통찰력을 쉽게 계층화할 수 있습니다.

NGINX Plus를 사용한 NGINX App Protect를 배포 테스트 및 사용해 보려면 지금 30일 무료 평가판을 신청하거나 사용 사례에 대해 최신 소식을 빠르게 전달받고 싶으시면 아래 뉴스레터를 구독하세요.