물론, 사업을 운영하는 데에는 애플리케이션이 필수적입니다. 잘 활용하면, 거의 모든 작업이나 과정을 더 빠르고 쉽게 만들 수 있습니다. 하지만 좋은 것도 지나치면 안 될까요? 그렇죠. IT 운영 전문가들은 끊임없이 변화하는 애플리케이션 아키텍처, 플랫폼, 최신 기술 표준을 따라잡는 데 어려움을 겪고 있으며, 결과적으로 앱 보안, 가시성, 규정 준수가 더욱 중요한 문제가 되고 있습니다.
물론, 한 대형 해운회사에서는 그게 사실이라는 걸 발견했습니다. 앱 확산이 문제로 인식되지 않았던 시절에도 이 운송 및 사무 서비스 대기업은 애플리케이션 포트폴리오를 평가하고 2,600개가 넘는 애플리케이션이 있다는 사실을 깨달았습니다. 이는 대규모 인수 추진과 급속한 성장의 결과였습니다. 더욱 우려스러운 점은 이러한 애플리케이션에 대한 사용자 정의 인터페이스가 14,000개 이상 식별되었다는 점입니다. 이렇게 많은 애플리케이션에 대한 위협 표면 영역은 모든 기업이 스스로 씨름해야 할 엄청난 위험이며, 이는 이러한 종류의 애플리케이션 확산에 수반되는 많은 중요한 위험 중 하나에 불과합니다.
이제 매우 풍부한 앱 개발 환경 덕분에 몇 주 안에 초기 아이디어에서 개념 증명까지 애플리케이션을 구현할 수 있습니다. 이러한 속도의 결과 중 하나는 보안과 규정 준수에 영향을 미치는 것을 포함하여 앱 개발 및 배포 결정에 대한 책임이 네트워크 및 보안 전문가에서 개발자로 옮겨가고 있다는 것입니다. 이는 속도를 높이는 데 매우 유용하여 잠재적인 혁신 역량을 끌어내고 조직의 경쟁력을 개선할 수 있지만 심각한 보안 위협, 규정 준수 요구 사항 및 운영상의 우려도 여전히 남아 있습니다.
새로운 이해 관계자들은 도메인 전문가가 관리하는 보다 강력한 솔루션보다 클라우드 기반 및 저렴한 오픈 소스 옵션을 우선시합니다. 이는 다른 팀에 대한 의존성이 프로세스에 마찰을 일으켜 혁신의 속도를 늦출 수 있다는 정당한 우려에서 비롯된 것입니다. 그러나 이러한 접근 방식에서 흔히 나타나는 문제로는 보안 및 관리 도구의 확산, 애플리케이션 성능에 대한 가시성 부족, 규정 준수 의무를 충족하는 데 따른 상당한 어려움 등이 있습니다.
2019년 애플리케이션 서비스 현황 보고서 에 따르면, 약 87%의 기업이 멀티 클라우드 배포를 활용하고 있으며, 클라우드 공급업체에서 제공하는 도구를 그대로 사용하려는 경향이 있습니다. 즉, 본질적으로 동일한 문제를 해결하기 위해 여러 개의 기본 인터페이스를 사용해야 하며, 이로 인해 다양한 기능, 정책 및 관리 인터페이스에서 문제가 발생하고 비즈니스 위험이 커집니다.
조직에서 관리하는 앱의 순수한 수뿐만 아니라 해당 앱의 복잡성도 추가하면, 귀사와 같은 기업이 직면하게 되는 위협 표면(또는 잠재적인 보안 취약성 영역)이 더 커집니다. 오늘날에는 node.js, HTML5 등을 비롯한 다양한 웹 프레임워크를 다루어야 하며, 여기에는 애플리케이션과 웹 서버도 포함됩니다. 브라우저마다 접근 가능한 애플리케이션이 다릅니다. 복잡성이 높아질수록 취약성도 커지고 관리해야 할 위험도 커집니다.
그러면 이러한 위험을 어떻게 관리할 수 있을까? 초점을 바꿔보세요.
우리는 항상 네트워크 보안에 관심을 가져왔습니다. 하지만 이제 애플리케이션 보안에도 집중해야 할 때입니다. 특히, 웹 애플리케이션 방화벽은 애플리케이션 보안을 관리하는 일반적인 방법입니다. 그 이유는 악당들이 네트워크 이외의 다른 곳을 공격 대상으로 삼고 있기 때문입니다. 결국, 보안 네트워크가 있더라도 애플리케이션에 취약점이 있으면 공격당할 수 있습니다.
다시 운송 회사를 예로 들어보겠습니다. 전 세계 누구나 웹사이트에 접속해 배송 관련 문의를 할 수 있습니다. 이는 수십억 명의 사람들입니다. 네트워크가 완전히 차단되어 있어도 누구나 사용할 수 있는 애플리케이션이 있기 때문에 이를 통해 침투할 수 있습니다. 그러므로 그들이 가장 큰 위험을 감수하는 곳은 해당 애플리케이션이지, 주의 깊게 보호되는 네트워크가 아닙니다. 많은 기업에게 있어서 현재 가장 취약한 부분은 애플리케이션입니다. 그리고 해커들은 그것을 알고 있습니다.
여러분이 해야 할 일은 분산된 개발자 팀의 혁신을 방해하지 않으면서 전 세계적으로 연합할 수 있는 표준화된 애플리케이션 서비스를 구축하는 것입니다. 자동화를 도입하고 활성화하여 보안이 내장되도록 하고, 보안 정책은 해당 분야 전문가가 정의하고 관리하며 CI/CD 자동화 파이프라인에서 사용할 소스 코드 저장소에 아티팩트로 저장하므로 하드 코딩하거나 사후에 수동으로 구성하는 것이 아닙니다. 애플리케이션 출시 시간을 더욱(안전하게) 단축하려면 필요한 코드만 작성하고 인증 및 웹 애플리케이션 방화벽과 같은 재사용 가능한 인프라 서비스를 활용하는 것이 중요합니다.
2019년 3월 현재, 안드로이드 사용자가 사용할 수 있는 앱은 210만 개가 넘습니다. 애플 앱스토어
180만 개 이상의 앱을 제공합니다. 그리고 여기에는 개발 및 배포된 수백만 개의 엔터프라이즈 애플리케이션은 포함되지 않았습니다. 전체적으로, 오늘날 전 세계적으로 10억 개가 넘는 애플리케이션이 실행되고 있다고 말할 수 있습니다.
충격적인 비밀을 알고 싶으신가요? 대부분의 조직에서는 특정 시점에 앱에서 무슨 일이 일어나고 있는지 알려줄 수 없습니다. 그들은 자신들이 얼마나 많은 앱을 가지고 있는지 모르고, 그 앱들이 어디에 있는지, 누가 앱에 접근할 수 있는지도 모릅니다. 가장 중요한 애플리케이션에 대해서도 조직에서는 해당 애플리케이션의 성능(예: 가용성, 최종 사용자 지연 시간)에 대한 일관된 가시성을 거의 확보하지 못하며, 문제가 발생할 경우 어디에서 확인해야 할지도 파악하지 못합니다.
어떤 전략이든 최종 목표는 다양한 인프라 사일로에서 일관된 방식으로 애플리케이션을 배포하고 관리하는 방법을 알아내는 것입니다. 이를 수행하고 모든 애플리케이션의 경로에 대한 가시성을 확보하는 가장 좋은 방법은 일관된 멀티 클라우드 애플리케이션 서비스 세트를 활용하는 것입니다. 공통 툴링은 가능한 한 일관된 서비스를 재사용함으로써 위험을 줄이고 반복성을 높이며 결함을 줄이는 데 도움이 되며, 특히 멀티 클라우드 아키텍처에서 그렇습니다. 이러한 일관된 서비스를 전체 앱 환경에 배포하면 데이터 경로를 통한 모든 트래픽을 완벽하게 검사하여 문제가 발생할 때 쉽게 문제를 해결하고 악성 트래픽을 가로채서 차단할 수 있습니다.
이러한 일관성과 이러한 접근 방식을 통해 가능해진 가시성은 앱의 고성능과 보안을 유지하기 위해 협업해야 하는 여러 운영 팀 간의 마찰을 줄이는 데에도 도움이 됩니다.
오늘날 많은 조직, 특히 여러 클라우드에서 애플리케이션을 운영하는 조직(대부분의 조직이 현재 그렇게 하고 있거나 그렇게 할 계획임)은 규정 준수 의무를 충족하는 데 상당한 어려움을 겪고 있습니다.
많은 현대 도시와 마찬가지로 벨뷰시의 디지털 요구도 극적으로 증가했습니다. 10년 전만 해도 소수의 기술 직원만이 VPN을 사용해 원격으로 시스템에 접속했습니다. 현재 1,600명의 직원 전원이 원격 근무가 가능합니다. 도시의 경찰이 민감한 범죄 기록 데이터에 대한 접근을 허용하려면 시스템이 연방 형사 사법 정보 서비스(CJIS) 보안 정책 및 관련 연방 정보 처리 표준(FIPS)을 비롯한 엄격한 연방 지침을 준수해야 합니다. CJIS 및 FIPS 준수는 매년 연방 감사를 통해 시행됩니다. 기준을 충족하지 못하면 경찰이 현장에서 접근할 수 있는 정보에 제한이 발생합니다. 궁극적으로 도시는 모든 도시 서비스에 대해 안전하고 규정을 준수하는 접근성을 제공할 수 있는 능력이 필요했습니다.
해결책은? 반복되는 말처럼 들리지 않기를 바라지만, 우리는 다시 일관성을 되찾았습니다. CI/CD 파이프라인에 통합된 일관되고 감사 가능한 보안 정책은 규정 준수를 간소화하고 DevOps 관행 및 도구 도입을 지연시키는 주요 장애물을 해결합니다.
애플리케이션이 빌드되고 배포될 때 CI/CD 워크플로는 항상 보호되고 규정을 준수하는 상태로 롤아웃되도록 보장합니다.
앱이 급증하고 있다는 것은 의심의 여지가 없습니다. 일부 IT 전문가는 이러한 애플리케이션의 대부분이 IT가 아닌 비즈니스 사용자에 의해 조직에 도입되기 때문에 "그림자" 또는 "불량" IT라는 용어를 사용할 수 있습니다. 하지만 비하적인 표현은 비즈니스 사용자가 애플리케이션 획득(또는 구축)을 직접 수행할 때 발생하는 문제를 다루지 않습니다. 오히려 이를 비즈니스 중심의 IT, 즉 비즈니스 사용자와 IT가 협력하여 비즈니스 사명을 최대한 달성하기 위한 노력으로 생각해 보세요.
애플리케이션이 급증함에 따라 일관되고 자동화 가능하며 중앙 집중화된 제어가 요구됩니다. 오늘날 기업이 애플리케이션 자산을 다양한 플랫폼에 분산해 두는 것은 흔한 일입니다. 클라우드에서. 각자의 개인 데이터 센터에서. 구내에서. 다양한 SaaS 환경에서. 기업들은 전체 애플리케이션 포트폴리오를 단일 창에서 볼 수 있는 방식을 도입하기 시작했습니다. 이런 종류의 통제를 통해 위험을 훨씬 더 쉽게 관리할 수 있습니다.
F5의 광범위하고 포괄적인 애플리케이션 서비스 포트폴리오와 유비쿼터스 플랫폼을 통해 조직은 다양한 환경에서 감사 가능한 엔터프라이즈급 보안 및 인프라 서비스를 중앙 집중화하고 관리하여 변경 비용을 줄이고 개발자가 혁신에 집중할 수 있도록 지원합니다.