많은 조직에서 DevOps는 보안과 별도로 기능했습니다. 개발 및 배포 속도가 빨라지면서 보안 제어는 종종 뒷전으로 밀려납니다. 그러나 보안을 조만간 포함하려는 DevSecOps 움직임이 성과를 거두고 있는 것으로 나타났습니다.
DevOps는 소프트웨어 개발과 IT 운영 간의 장벽을 허물고 지속적인 통합 프로세스를 채택하는 일련의 관행입니다.
전통적으로 많은 조직에서는 인프라 내에서 애플리케이션을 개발, 배포 및 관리하기 위해 기능별로 팀을 분리했습니다. 그러나 기업을 혁신하고 디지털 방식으로 전환하려는 경쟁으로 인해 새로운 기능을 생산하고 출시하는 속도도 빨라졌습니다. 보안은 종종 뒷전으로 밀려나 품질이 떨어지고 많은 고객 불만을 초래합니다. 개발 주기가 끝나갈 무렵에 애플리케이션 코드 변경을 추가하는 것은 엄청난 비용(추가 테스트 및 재인증으로 인해)이 들 뿐만 아니라 "보안이 우리의 속도를 늦춘다"는 일반적인 인식을 강화합니다.
주기 시간이 빨라지고 개발팀이 소프트웨어를 더 빠르게 출시하기 위해 Agile 방법론을 더 많이 채택함에 따라 DevOps를 통한 지속적인 통합은 더 빈번한 릴리스를 제공하고 더 많은 새로운 기능을 더 빠르게 출시하는 것을 목표로 합니다. 중요한 것은 속도입니다.
소프트웨어 개발 수명 주기 초기 단계에서 보안 모범 사례를 사용하면 비용과 효율성에 극적인 긍정적 효과를 가져올 수 있습니다. 그러나 많은 조직 내에서 보안 팀은 여전히 고립된 상태로 존재합니다. DevOps 운동이 일어나기 전에 개발팀과 운영팀이 고립된 상태로 운영되었던 것과 마찬가지입니다. 이로 인해 지속적인 통합/배포 프로세스에 보안을 주입하는 훨씬 더 새로운 운동이 생겨났습니다. DevSecOps(데브섹옵스).
DevSecOps 운동의 인기가 높아지는 것은 "좌측으로 이동"이라는 방법론 덕분입니다. "좌측으로 이동"은 소프트웨어 개발 팀이 처음부터 견고한 코드에 집중하는 것입니다. 이 방법을 사용하면 보안이 게이트키퍼라는 반응적 역할에서 벗어나 예방적 역할로 전환됩니다. 보안팀은 개발팀에 지침과 지원을 제공하고 늦어도 조만간 CI/CD(Continuous Integration/Continuous Delivery) 개발 파이프라인에 보안 자동화를 구축합니다.
DevSecOps 환경에서 보안은 훨씬 더 큰 협업과 피드백을 구축하고, 개발, 운영 및 보안 간의 장벽을 허물어 더 낮은 비용과 더 높은 효율성으로 기능을 더 빨리 출시할 수 있는 공유된 책임입니다.
보안이 공동의 책임인 경우에도 보안팀은 개발자가 즉시 보안 전문가가 되어 기회가 생기자마자 올바른 보안 제어 결정을 내릴 수 있을 것이라고 기대할 수 없습니다. DevOps와 마찬가지로 DevSecOps는 애플리케이션을 개발하고 배포하는 방식에 있어 문화적 변화가 필요한 철학입니다. 그러나 보안팀이 아래 5가지 영역에 집중한다면 비용을 절감하고 효율성을 높이며 확장 능력을 개선할 수 있습니다.
왼쪽으로 이동
개발 라이프사이클의 가능한 한 일찍 프로세스에 보안을 구축하세요.
안전한 경로를 쉬운 경로로 만드세요
개발자의 (CI/CD) 파이프라인에 내장된 패키지화되고 원활한 보안 제어 기능을 제공하는 데 중점을 둡니다.
사일로를 분해하세요
개발, 운영, 보안 팀(앱 개발자, DevOps, SecOps) 간의 협업과 피드백을 늘립니다.
보안 챔피언을 육성하세요
개발팀 내에서 보안을 최우선으로 생각하도록 하세요.
빌드 파이프라인 생성
개발자가 사용하는 것과 동일한 도구로 보안 제어 및 테스트를 구축합니다. 이렇게 하면 제어가 자동으로 일관되게 적용되고, 개발팀은 새로운 릴리스마다 보안팀에 의존할 필요가 없습니다.