블로그

Shift(웹 앱) 보안 Lefter

로리 맥비티 썸네일
로리 맥비티
2015년 7월 6일 게시

적절한 IT 문제에 대한 "좌측 이동" 개념이 확대되고 있습니다. 이 개념은 기본적으로 앱 개발 전달 파이프라인 기능에 더 많은 기능을 전환하여 일찍 적용하면 결과 코드의 안정성과 보안성이 더 높아질 수 있다는 것입니다. 보안은 생산 과정에서 발생할 수 있는 갈등과 오류를 줄여 기업이 지출하고 싶지 않은 시간과 비용을 줄이는 측면에서 상당한 이점을 가져올 수 있는 기능 중 하나입니다.

시프트-보안-좌측

대부분의 경우 "왼쪽으로 이동"할 준비가 되었다고 제안된 보안 기능은 취약성 스캐닝, 자동 패치, 침입 탐지 및 이와 유사한 서비스 등 코드와 직접 관련된 기능입니다. 거의 언급되지 않는(사실 이 게시물까지는 전혀 언급되지 않았을 가능성이 높지만) 점은 웹 애플리케이션 방화벽 기능을 왼쪽으로 옮기는 것의 이점입니다.

이런 종류의 기능을 왼쪽으로 옮기는 데는 좋은 논리가 있습니다. 즉, 애플리케이션 친화성 입니다 웹 애플리케이션 보안이나 부하 분산 및 최적화와 같은 높은 애플리케이션 관련 서비스는 특정 애플리케이션에 특화되어 있습니다. HTTP와 같은 프로토콜이 아니라 실제 애플리케이션 자체에 대한 프로토콜입니다. 특히 애플리케이션 보안 및 최적화에는 특정 URI(RESTful API 호출 등), 교환되는 데이터 유형(및 형식)을 이해하고, 앱 또는 앱의 특정 부분에만 해당하는 사용자 및 장치를 식별해야 하는 구성이 포함되는 경우가 많습니다.

즉, 웹 애플리케이션 보안 정책은 애플리케이션에 따라 달라지므로 해당 정책은 해당 애플리케이션 에만 적용됩니다. 데이터와 URI를 일치시키면 오류가 발생할 가능성이 있고, 이는 애플리케이션이 중단된다는 것을 의미합니다. 그 오류가 프로덕션에서 처음 나타났을 때, 모두가 고개를 끄덕였다. 시간은 낭비되고, 돈은 낭비되며 일주일 동안의 카페인 예산은 엄청나게 늘어나고 나머지 사람들은 그 달 내내 색깔있는 물을 마시게 됩니다. 전혀 좋지 않아요.

이러한 애플리케이션 아핀 정책의 구성 및 테스트를 왼쪽, 즉 테스트로 옮기면 대부분의(하이젠버그를 제외하고는 모두) 충돌이나 오류를 제거하고 프로덕션 파이프라인을 통해 더 원활하고 빠르며 덜 복잡한 출시를 보장하는 측면에서 상당한 도움이 될 수 있습니다.

기존 웹 애플리케이션 방화벽 서비스의 소프트웨어와 가상 에디션이 점점 더 널리 보급됨에 따라, 이러한 서비스를 더 다양한 환경에 제공하고 배포 파이프라인에서 더 높은 수준의 액세스를 보장할 수 있게 되었습니다. 웹 애플리케이션 보안을 왼쪽으로 이동한다는 것은 테스트 중인 애플리케이션을 보호하는 동시에 웹 애플리케이션 보안 서비스에도 취약성 스캐닝을 적용할 수 있는 기능을 의미하며, 보안 운영 및 개발자는 둘 사이의 상호 작용을 더 잘 이해하고 정책을 조정하여 적절한(예상 및 원하는) 동작을 보장할 수 있는 기회를 얻습니다. 특히 템플릿 형태로 캡슐화 될 수 있는 정책은 환경 간에 쉽게 이동할 수 있으며, 코드로 처리할 수도 있습니다. 즉, 저장소에 저장하고 나중에 사용할 수 있도록 버전을 관리할 수 있습니다.

API와 템플릿이 제공되고 기존에 네트워크에 호스팅된 애플리케이션 관련 서비스가 가상화되면서 조직은 보안을 왼쪽으로 전환하고 프로덕션 파이프라인 프로세스를 최적화하여 실질적인 성과를 얻을 수 있습니다.