다음을 통해 공유

제로 트러스트 위한 DevOps 환경 보호

  • 아티클

개발자는 DevOps 환경 보안을 더 이상 선택하지 않습니다. 해커는 왼쪽으로 이동하므로 명시적으로 확인을 포함하고, 최소 권한 액세스를 사용하고, DevOps 환경에서 위반을 가정하는 제로 트러스트 원칙을 구현해야 합니다.

이 문서에서는 해커가 개발자 상자를 손상시키지 않도록 방지하고, 악의적인 스크립트로 릴리스 파이프라인을 감염시키고, 테스트 환경을 통해 프로덕션 데이터에 액세스하는 제로 트러스트 접근 방식을 사용하여 DevOps 환경을 보호하는 모범 사례를 설명합니다.

보안 엔터프라이즈 DevOps Environments eBook은 각각에 대한 잠재적인 보안 위협과 함께 개발자, DevOps 플랫폼 및 애플리케이션 환경의 다음 시각화를 제공합니다.

다이어그램은 위의 연결된 eBook에 설명되고 여기에 연결된 관련 문서에 요약된 DevOps 환경 및 보안 위협을 보여 줍니다.

위의 다이어그램에서 환경과 외부 통합 간의 연결이 위협 환경을 확장하는 방법을 확인합니다. 이러한 연결은 해커가 시스템을 손상시킬 수 있는 기회를 늘릴 수 있습니다.

악의적인 행위자가 엔터프라이즈 전체에 확장되어 DevOps 환경을 손상시키고, 액세스 권한을 얻고, 새로운 위험을 해결합니다. 공격은 일반적인 사이버 보안 위반 범위를 넘어 악성 코드를 삽입하고, 강력한 개발자 ID를 가정하고, 프로덕션 코드를 도용합니다.

기업이 어디에서나 유비쿼터스 시나리오로 전환함에 따라 디바이스 보안을 강화해야 합니다. 사이버 보안 사무소는 개발자가 코드를 보호하고 빌드하는 위치와 방법에 대한 일관된 이해가 부족할 수 있습니다. 공격자는 원격 연결 해킹 및 개발자 ID 도용으로 이러한 약점을 활용합니다.

DevOps 도구는 파이프라인 자동화에서 코드 유효성 검사 및 코드 리포지토리에 이르기까지 해커의 주요 진입점입니다. 악의적인 행위자가 프로덕션 시스템에 도달하기 전에 코드를 감염하는 경우 대부분의 경우 사이버 보안 검사 지점을 통과할 수 있습니다. 손상을 방지하려면 개발 팀이 피어 검토, IDE 보안 플러그 인을 사용한 보안 검사, 보안 코딩 표준 및 분기 검토에 참여해야 합니다.

사이버 보안 팀은 공격자가 프로덕션 환경을 사이깅하지 못하도록 하는 것을 목표로 합니다. 그러나 이제 환경에는 공급망 도구 및 제품이 포함됩니다. 오픈 소스 도구 위반은 글로벌 사이버 보안 위험을 고조시킬 수 있습니다.

제로 트러스트 지침 센터의 개발자 지침 섹션에서 다음 DevSecOps 문서를 사용하여 개발자 관련 문서에 대해 자세히 알아보세요.

  • DevOps 플랫폼 환경을 보호하면 DevOps 플랫폼 환경에서 제로 트러스트 원칙을 구현하는 데 도움이 되며 비밀 및 인증서 관리에 대한 모범 사례를 강조 표시합니다.
  • 개발자 환경을 보호하면 최소 권한, 분기 보안 및 신뢰할 수 있는 도구, 확장 및 통합에 대한 모범 사례를 사용하여 개발 환경에서 제로 트러스트 원칙을 구현할 수 있습니다.
  • 개발자 워크플로에 제로 트러스트 보안을 포함하면 빠르고 안전하게 혁신할 수 있습니다.

다음 단계