DevOps에서의 보안 자동화 RASP

DevOps의 개념과 원칙을 이해하고 개발자와 운영자가 효율적인 협업을 할 수 있게 되더라도 보안은 여전히 고려해야 합니다.

DevOps는 소프트웨어의 개발과 수명주기 계획, 코딩, 테스트, 배포 및 모니터링 단계에서의 원활한 전환을 구현하기 위해 도입하게 됩니다.  그러나 도입이 된 상태에서도 웹 애플리케이션을 안전하게 운영할 수 있는 방법을 고려해야만 합니다.

DevOps 환경에서의 기존 보안 도구의 한계

시장의 수요 속도에 맞는 속도를 맞추기 위해 DevOps를 도입하지만, 애플리케이션의 릴리즈 주기가 빨라짐에 따라 SAST, DAST, Pen Testing과 같은 기존의 보안 도구로는 한계가 발생합니다.  배포전에 취약점을 감지할 수 있지만, 런타임 상태에서 발생하는 문제는 해결하지 못하기 때문입니다.

이러한 문제를 해결하기 위해서는 웹 애플리케이션 스스로가 자신을 보호하고 공격을 차단하는 것입니다. RASP(Run Time Application Self-Protection) 기술을 통해 구현이 가능합니다.

RASP는 웹 애플리케이션이 동작하는 서버에서 실행되며, 웹 애플리케이션이 실행되면 지속적으로 앱 동작을 분석하고 실시간으로 위협을 완화시킵니다. 악의적인 동작을 방지하기 위해 앱의 호출을 가로채서 앱 내부의 데이터 요청에 대한 유효성 검사를 수행합니다.

RASP 보안 자동화를 통한 효율성 향상

DevOps에서 반듯이 보안 프로세스가 통합되어야 하며, 통합된 환경에서 RASP는 보안에 있어 수동 작업을 최소화하여 개발 과정을 더 원활하게 운영할 수 있습니다. 이러한 보안 통합 환경이 바로 DevSecOps 입니다.

RASP솔루션 배포를 통해 애플리케이션의 논리, 구성 및 이벤트 흐름에 대한 심층적인 통찰력을 얻을 수 있습니다. SQL인젝션과 같은 위협은 해당 경로에서 중지 될 수 있고, 기존의 방화벽과 같이 RASP는 해당 세션을 종료 할 수 있습니다. 방화벽의 경우 경계 내에서 발행하는 공격은 막을 수 없으며, 애플리케이션에 대한 직접적인 공격에 대하여는 대응이 불가능하여 쓸모가 없게 됩니다. 

클라우드 및 모바일 장치의 사용이 증가함으로 인하여 네트워크 경계를 침투하는 공격이 성공하는 사례가 늘어나고 있기 때문에 방화벽과 WAF는 보안 효율성이 떨어집니다.

RASP는 WAF보다는 오탐이 적거나 없습니다. 따라서 보안팀이 잘못된 정보에 매달리지 않게되며, 진짜 문제에 대하여 집중하여 위협을 해결하는데 더 많인 시간을 할애 할 수 있습니다.

RASP와 같은 보안 자동화 솔루션을  보안 인프라에 배치하면 개발팀이 시간을 절약하고 보다 효율적으로 작업하는데 큰 도움이 됩니다.  또한 개발팀과  운영팀간의 소통의 양을 줄여주기 때문에 매우 IT운영을 매우 효율적이고 생산적으로 변화 시킬 수 있습니다.

WARATEK 보안플랫폼의 RASP 솔루션인 Patch&Secure는  오탐이 없음을 보장하고 어떠한 경우라도 보안 컨트롤에 단절을 발생시키지 않습니다. 

WARATEK은 컴파일러 기반의  가상 패치기술을 제공하여 다운타임 없는 패치적용이 가능하고, 어떠한 패치를 적용하더라도 소스코드 수정이 필요치 않기 때문에  패치 작업을 위한 다운타임을 제거하고, 비용을 절감 할 수 있습니다.

와라텍 문의 하기(클릭!)

Maxtive 맥스티브 - 와라텍,헤임달,아크로니스,어플리케이션 보안,RASP