DevSecOps(개발, 보안 및 운영)는 강력하고 안전한 애플리케이션을 제공하기 위해 소프트웨어 개발 수명주기의 모든 단계에서 보안 이니셔티브를 통합하는 개발 사례입니다.

DevSecOps는 지속적인 통합 및 지속적인 제공(CI/CD) 파이프라인에 보안을 통합하여 개발 팀이 DevOps 속도로 오늘날 가장 시급한 보안 당면 과제를 해결할 수 있도록 합니다.

지금까지 보안 고려 사항과 사례는 개발 수명주기 후반에 도입되는 경우가 많았습니다. 그러나 더욱 정교한 사이버 보안 공격이 증가하고 개발 팀이 애플리케이션에 대한 반복 작업을 더 짧고 빈번하게 수행함에 따라, DevSecOps는 이제 이 현대적인 개발 에코시스템에서 애플리케이션의 보안을 보장하기 위한 필수 사례가 되고 있습니다.

보안은 오늘날 모든 조직의 최우선 과제입니다. 다행히도 DevSecOps는 모든 단계에서 보안을 통합하는 데 중점을 두고 있으며, 오늘날의 빠른 릴리스 주기 속도를 충족하면서 개발에 대한 보다 안전한 접근 방식으로 입증되고 있습니다.

DevSecOps 접근 방식은 다음과 같은 이점을 제공합니다.

• 애플리케이션 보안 강화
  DevSecOps에는 개발 수명주기 초기에 사이버 보안 위협을 완화하기 위한 사전 예방적 접근 방식이 내장되어 있습니다. 즉, 개발 팀은 자동화된 보안 툴을 사용하여 코드를 실시간으로 테스트하고, 개발 주기를 늦추지 않고도 보안 감사를 수행할 수 있습니다.
  
  DevOps 팀은 애플리케이션이 중요한 보안 체크포인트를 통과하도록 지원하기 위해 개발 프로세스의 다양한 단계에서 코드를 검토, 감사, 테스트, 스캔 및 디버깅합니다. 보안 취약점이 노출되면 애플리케이션 보안 팀과 개발 팀이 협업을 통해 코드 수준에서 문제를 해결하는 솔루션을 개발합니다.
  
  
• 팀 간 책임 소재
  DevSecOps는 개발 프로세스 초기에 개발 팀과 애플리케이션 보안 팀을 통합하여 팀 간 협업 방식을 구축합니다. DevSecOps는 혁신을 저해하고 사업부 간 분열을 초래하는, 사일로화된 개별적 운영 대신 팀이 조기에 같은 시각을 가질 수 있도록 지원하여 팀 간 협의와 더욱 효율적인 팀 협업을 실현합니다.
  
  
• 애플리케이션 제공 간소화
  개발 수명주기 초기에 자주 보안을 적용하고, 가능한 많은 보안 프로세스를 자동화하고, 모든 보고를 간소화하고, 보안을 강화하고, 규정 준수 팀을 지원함으로써 보안 관행을 통해 개발 주기를 단축합니다.
  
  예를 들어 개발 팀이 애플리케이션의 모든 초기 개발 단계를 완료했지만 애플리케이션이 운영 환경으로 넘어가기 직전에 일련의 보안 취약점이 있음을 발견한 경우, 이로 인해 제공이 크게 지연될 수 있습니다.
  
  
• 보안 취약점 제한
  자동화를 활용하여 일반적인 취약점 및 노출(CVE)을 식별 및 관리하고 패치를 적용합니다. 사전 구축된 스캐닝 솔루션을 초기에 자주 사용하여 CVE용 빌드 파이프라인에서 사전 구축된 컨테이너 이미지를 스캔합니다. 보안 조치를 도입하여 리스크를 완화할 뿐만 아니라 팀에 통찰력을 제공하여 취약점이 발견되었을 때 신속하게 문제를 해결할 수 있도록 합니다.
  
  DevSecOps의 가장 큰 이점 중 하나는 간소화된 민첩한 개발 프로세스를 생성한다는 것입니다. 이러한 접근 방식을 제대로 적용하면 보안 취약점을 크게 제한할 수 있습니다. 많은 사이버 보안 테스트 프로세스, 작업 및 서비스가 애플리케이션 개발 팀 또는 운영 팀의 자동화된 서비스와 매우 쉽게 통합됩니다.
  
  개발 프로세스에 대한 보안 우선 접근 방식을 강조함으로써 조직은 제품 릴리스 일정에 확실히 영향을 주는 알려지지 않은 변수를 제거할 수 있습니다.

DevSecOps는 오늘날의 비즈니스 환경에서 증가하는 사이버 공격 빈도를 완화하는 데 중요합니다. 다양한 산업 분야의 애플리케이션은 보안 이니셔티브를 조기에 자주 구현함으로써 다음과 같은 이점을 얻을 수 있습니다.

• 정부: 매우 민감한 정부 정보를 관리하는 애플리케이션은 꾸준히 악성 사이버 공격의 대상이 됩니다. 보안 우선 개발 접근 방식으로 이러한 애플리케이션을 강화하면 악성 엔티티가 취약점을 찾아 악용할 가능성이 크게 줄어듭니다.
• 의료: DevSecOps는 의료 분야에서 애플리케이션 설계의 표준이 되고 있습니다. 조직이 HIPAA를 준수해야 하는 상황에서 보안 우선 접근 방식은 환자의 PII가 노출되거나 악용될 가능성을 크게 줄여주고 있습니다.
• 금융: DevSecOps는 금융 업계의 개발 사례에도 도움이 됩니다. 오늘날 금융은 사이버 공격의 주요 타겟이므로 개발 회사들은 사이버 범죄자가 중요 데이터에 액세스할 가능성을 제한하기 위해 DevSecOps 모델을 도입하고 있습니다.

DevSecOps에 대한 VMware의 접근 방식은 개발 팀에 전체 보안 스택을 제공하도록 설계되었습니다. 이를 위해 개발, 릴리스 관리(운영이라고도 함) 및 조직의 보안 팀 간의 지속적인 협업 체계를 구축하고 CI/CD 파이프라인의 각 단계에서 이러한 협업에 중점을 둡니다.

CI/DI 파이프라인은 코딩, 빌드, 저장, 준비, 배포 및 실행의 6단계로 구분됩니다.

여기에서는 프로세스 초기에 보안을 내장할 때의 이점을 설명하기 위해 워크플로우의 각 단계를 설명합니다.

• 코딩
  DevSecOps에 부합하는 개발 접근 방식의 첫 번째 단계는 안전하고 신뢰할 수 있는 세그먼트에 코딩하는 것입니다. 여기에서 VMware Tanzu®는 보안이 내장된 이러한 구성 요소를 정기적으로 업데이트하여 데이터와 애플리케이션을 첫날부터 더 효과적으로 보호하는 툴을 제공합니다.
  
• 빌드
  코드를 가져와 코어 OS, 애플리케이션 종속성 및 기타 런타임 서비스가 포함된 포괄적인 컨테이너 이미지를 제공하려면 보안 프로세스가 필요합니다. VMware Tanzu Build Service™는 이를 안전하게 관리하고, 보안을 강화하기 위한 런타임 종속성 검사를 제공하여 DevSecOps 팀이 민첩하고 안전하게 개발할 수 있도록 합니다.
• 저장
  오늘날과 같이 끊임없이 변화하는 사이버 보안 환경에서는 모든 상용 기술 스택을 리스크로 간주해야 합니다. 이러한 점에서 각 상용 애플리케이션 또는 백엔드 서비스를 지속적으로 점검해야 합니다. 다행히도 VMware를 통해 개발자는 VMware Tanzu를 사용하여 독립적인 종속성을 안전하게 가져오고, VMware Carbon Black Cloud Container™를 사용하여 컨테이너 이미지의 취약점을 검사할 수 있습니다.
• 준비
  조직은 배포 전에 애플리케이션이 보안 정책을 준수하는지 확인해야 합니다. 이를 위해 VMware Tanzu 및 Carbon Black Cloud Container는 개발 주기의 후속 단계에 진입하기 전에 구성이 조직의 보안 정책을 준수하는지 검증할 수 있습니다. 이러한 구성은 워크로드의 실행 방식을 정의함으로써 잠재적인 취약점에 대한 주요 통찰력을 제공할 뿐만 아니라 성공적인 배포를 위해 CI/CD 파이프라인의 후속 단계를 설정합니다.
• 배포
  조직은 이전 단계에서 수행한 검사를 통해 애플리케이션의 보안 강점을 포괄적으로 파악할 수 있습니다. 이때, 식별된 개발 프로세스의 취약점 또는 구성 오류가 명확하게 표시되므로 조직은 문제를 해결하고 더 강력한 보안 표준을 정의하여 보안 태세를 강화할 수 있습니다.
• 실행
  SecOps 팀은 배포가 실행될 때 적극적인 배포 분석, 모니터링 및 자동화를 활용하여 지속적인 규정 준수를 지원하는 동시에 배포 후 나타나는 취약점의 리스크를 완화할 수 있습니다.

이름만 보면 DevSecOps는 DevOps에 단순히 보안이 추가된 것으로 생각하기 쉽지만 실제로는 그렇지 않습니다.

DevOps는 Development & Operations(개발 및 운영)의 약자로, 개발 프로세스에서 이 두 핵심 팀 간의 협업에만 중점을 둡니다. 여기에서 이 두 팀은 공동의 목표로 삼을 프로세스, KPI 및 마일스톤을 수립하기 위해 협력합니다. 이때 운영 팀은 개발 팀의 지속적인 업데이트와 피드백을 평가하면서 제공 단계를 보다 면밀히 분석할 수 있습니다.

DevSecOps는 DevOps 모델을 채택하고 지속적인 개발 및 운영 프로세스에 보안을 추가했다는 점에서 DevOps의 반복 작업이라 할 수 있습니다. DevSecOps는 보안을 사후 조치로 보는 대신 애플리케이션 보안 팀을 조기에 투입하여 개발 프로세스의 보안 및 취약점 완화 측면을 강화합니다.