소프트웨어 전문 컨설팅 및 기술지원 전문

DevOps의 개념과 원칙을 이해하고 개발자와 운영자가 효율적인 협업을 할 수 있게 되더라도 보안은 여전히 고려해야 합니다.

DevOps는 소프트웨어의 개발과 수명주기 계획, 코딩, 테스트, 배포 및 모니터링 단계에서의 원활한 전환을 구현하기 위해 도입하게 됩니다.  그러나 도입이 된 상태에서도 웹 애플리케이션을 안전하게 운영할 수 있는 방법을 고려해야만 합니다.

DevOps 환경에서의 기존 보안 도구의 한계

시장의 수요 속도에 맞는 속도를 맞추기 위해 DevOps를 도입하지만, 애플리케이션의 릴리즈 주기가 빨라짐에 따라 SAST, DAST, Pen Testing과 같은 기존의 보안 도구로는 한계가 발생합니다.  배포전에 취약점을 감지할 수 있지만, 런타임 상태에서 발생하는 문제는 해결하지 못하기 때문입니다.

이러한 문제를 해결하기 위해서는 웹 애플리케이션 스스로가 자신을 보호하고 공격을 차단하는 것입니다. RASP(Run Time Application Self-Protection) 기술을 통해 구현이 가능합니다.

RASP는 웹 애플리케이션이 동작하는 서버에서 실행되며, 웹 애플리케이션이 실행되면 지속적으로 앱 동작을 분석하고 실시간으로 위협을 완화시킵니다. 악의적인 동작을 방지하기 위해 앱의 호출을 가로채서 앱 내부의 데이터 요청에 대한 유효성 검사를 수행합니다.

RASP 보안 자동화를 통한 효율성 향상

DevOps에서 반듯이 보안 프로세스가 통합되어야 하며, 통합된 환경에서 RASP는 보안에 있어 수동 작업을 최소화하여 개발 과정을 더 원활하게 운영할 수 있습니다. 이러한 보안 통합 환경이 바로 DevSecOps 입니다.

RASP솔루션 배포를 통해 애플리케이션의 논리, 구성 및 이벤트 흐름에 대한 심층적인 통찰력을 얻을 수 있습니다. SQL인젝션과 같은 위협은 해당 경로에서 중지 될 수 있고, 기존의 방화벽과 같이 RASP는 해당 세션을 종료 할 수 있습니다. 방화벽의 경우 경계 내에서 발행하는 공격은 막을 수 없으며, 애플리케이션에 대한 직접적인 공격에 대하여는 대응이 불가능하여 쓸모가 없게 됩니다. 

클라우드 및 모바일 장치의 사용이 증가함으로 인하여 네트워크 경계를 침투하는 공격이 성공하는 사례가 늘어나고 있기 때문에 방화벽과 WAF는 보안 효율성이 떨어집니다.

RASP는 WAF보다는 오탐이 적거나 없습니다. 따라서 보안팀이 잘못된 정보에 매달리지 않게되며, 진짜 문제에 대하여 집중하여 위협을 해결하는데 더 많인 시간을 할애 할 수 있습니다.

RASP와 같은 보안 자동화 솔루션을  보안 인프라에 배치하면 개발팀이 시간을 절약하고 보다 효율적으로 작업하는데 큰 도움이 됩니다.  또한 개발팀과  운영팀간의 소통의 양을 줄여주기 때문에 매우 IT운영을 매우 효율적이고 생산적으로 변화 시킬 수 있습니다.

WARATEK 보안플랫폼의 RASP 솔루션인 Patch&Secure는  오탐이 없음을 보장하고 어떠한 경우라도 보안 컨트롤에 단절을 발생시키지 않습니다. 

WARATEK은 컴파일러 기반의  가상 패치기술을 제공하여 다운타임 없는 패치적용이 가능하고, 어떠한 패치를 적용하더라도 소스코드 수정이 필요치 않기 때문에  패치 작업을 위한 다운타임을 제거하고, 비용을 절감 할 수 있습니다.

와라텍 문의 하기(클릭!)

DevOps 와 PaaS

최근 몇 년 동안 개발 및 운영의 역할은 많은 이슈들로 인해 밀접하게 연관되어 있습니다. 
1. 속도를 강조한 프로젝트 방법론과 마이크로 서비스 채택으로 릴리스 주기가 짧아지고 코드의 배치가 빨리지고 있습니다.
2. 이전에는 운영에 사용되었던 보안 및 고가용성과 같은 특성이 이제 어플리케이션 자체의 핵심에 포함되어야 하므로 설계 및 구축 단계의 중요한 요소로 자리 잡았습니다. 
(운영과 개발의 긴밀한 협력은 수명 주기 내내 패치 및 버그 수정과 같은 성능 문제 및 기타 관리 문제를 해결을 목표로 합니다.)

넓은 의미에서 데브옵스는 이제 가벼운 응용 프로그램이 문서 관리, BI 또는 모바일 응용 프로그램에 필요한 일부 백그라운드 서비스와 같은 작업을 처리하기 위해 각종 서비스와 상호작용하는 민첩한 개발 환경에 대한 방법론을 설명합니다.

데브옵스는 레거시 시스템이 끊임없이 변화하는 비즈니스 요구사항에 더 잘 적합하도록 컨테이너화 된 모듈 세트를 사용합니다. 
다양한 서비스가 온 프래미스와 클라우드에 걸쳐있는 보다 복잡한 인프라를 사용하므로 구축은 더 어려워 질 수 있습니다. 
프로젝트의 성공은 이전에 개발과 운영 사이에 있던 경계를 얼마나 효율적으로 허물어 협력을 강화할 수 있는가에 있습니다. 
또한 이러한 복잡한 환경에서 작업을 수행 할 수 있도록 도움을 주는 도구와 서비스가 필요합니다.

신속한 변화를 위한 개발에 필요한 도구 및 서비스는 시스템 최신화의 핵심 부분입니다. 서비스 지향 애플리케이션을 구축, 배포, 조정 및 관리할 수 있도록 지원하는 것이 이들 도구와 서비스의 목적입니다. 
이러한 도구와 서비스를 PaaS(Platform as a Service)라고 합니다.
PaaS는 아마도 대부분의 새로운 클라우드 프로젝트와 SaaS 제품 및 레거시 시스템 통합을 위한 적합한 개발 환경일 것입니다.

최근 PaaS는 마이크로소프트 Azure, Oracle Cloud, AWS에서 발표되는 새로운 서비스로 빠르게 발전하고 있습니다.
또한 OpenStack API 관리 및 컨테이너 오케스트레이션 도구와 같이 PaaS에 참여하는 수많은 오픈 소스 프로젝트가 있습니다.

프로젝트 관리 및 공동 작업은 데브옵스의 핵심 부분이며 신속한 방법론, 개발 및 운영 원칙이 일반적으로 얽혀있는 것과 같이 데브옵스는 PaaS와 밀접한 관련이 있습니다.

DevOps와 PaaS 그리고 RASP를 적용한 DevSecOps(데브섹옵스)

PaaS는 컨테이너 기반의 플랫폼 서비스로써 컨테이너는 침입으로부터 안전하도록 설계되지 않았습니다.(사용자가 일부 취약점을 이용하여 루트 권한 을 얻을 수 있는 경우 등). 예를 들면 새로운 취약점은 매월 Java 가상 머신에서 발견되고 패치됩니다. 어떻게 PaaS의 편리함과 IT보안 컴플라이언스라는 두 마리 토끼를 잡을 수 있을까요? 

데브옵스는 개발과 운영이 얽혀 있기 때문에 보안 책임에 대한 경계가 모호해지는 문제점이 발생하였습니다.
이러한 상황을 보완하기 위해 매 단계마다 보안 프로세스를 적용하고 런타임중인 어플리케이션이 스스로 자가 보호 할 수 있도록 RASP(Runtime Application Self Protect) 솔루션을 적용하는 등, 데브옵스의 보안요소를 충족할 수 있는 데브섹옵스(DevSecOps)가 등장했습니다.

데브섹옵스(DevSecOps)는 데브옵스에 보안을 추가한 것으로 IT의 모든 것은 보안(security)과 연계되어 있어야 한다는 것입니다.  
모든 IT 개발과 운영이 적용되는 플랫폼부터 배포, 운영, 관리에 이르기까지 데브옵스에 보안의 개념을 추가하면서 데브섹옵스는가 필수가 되었습니다.

RASP 솔루션으로써 와라텍(Waratek) 

와라텍은 Java어플리케이션을 스스로 보호할 수 있도록 보안 요소를 완성할 RASP 솔루션입니다. 
1. 소스코드 수정 및 서비스 재기동 없이 Java보안 패치 적용
2. 가상 패치 기술로 Oracle JDK Subscription에 구애 받지 않고 Java CVE 패치(Subscription 비용 절감)
3. 소스코드 수정 없는 자바 버전 업그레이드
4. 제로데이 공격에 대한 실시간 방어(오탐율 0%)

와라텍 보러가기☞

IT전문가 그룹이 벨기에에서 첫 DevOpsDay를 위해 만난지 어느덧 10년이 훌쩍 지났습니다. 상호 협력이 거의 없었던 여러 팀들이 개발 및 운영과 같이 협력해 소프트웨어 품질을 개선하기 위한 아이디어로 부터 시작한 것이었지요. 

그 사이에 DevOps는 보다 빠른 속도로 고품질 소프트웨어를 생산할 수 있는 수단으로 널리 인정 받았지만 보편적으로 사용되지는 못했습니다. 앞으로 우리가 DevOps의 20년을 맞이할 때 여전히 해결해야 할 일이 많이 있습니다. 아래 몇가지 확인해 보도록 하지요.

더 많은 트레이닝이 필요 합니다. 

DevOps는 대부분 자동화에 기반을 두고 있으므로 모든 자동화 도구를 마스터하려면 인력들의 교육이 필요 합니다. 그러나 빠른 릴리스 주기는 많은 조직에서 여전히 과거 개발 스타일에 익숙한 사람들에게 주요 접근 방식의 차이로 조직에게 충격으로 다가 올 수 있습니다. 

더 많은 분야가 추가되어야 합니다. 

DevOps의 빠른 속도와 민첩한 릴리스 주기는 상대적으로 느린 사일로 방식보다 더 많은 버그를 유발합니다. 응용 프로그램 보안을 담당하는 부서를 DevOps프로세스에 추가하면 대부분의 개발자가 응용 프로그램 보안(취약성 수정 등)에 대한 경험이 부족하기 때문에 학습따른 반발이 증가하겠지만 결과적으로 보안 이슈는 줄어들게 될것입니다. 

DevOps는 보편적인 개선 방법이 아닙니다. 

'Pre-DevOps'나 타사 응용 프로그램은 DevOps의 이점을 전혀 가질 수 없습니다. 대부분 업체의 이른바 ‘brown-field’ 어플리케이션은 모든 응용프로그램의 80%에 달하는데 이는 DevOps를 통해 타사 어플리케이션을 관리하는데 큰 문제가 있다는 것을 의미합니다. 이를 개선하기 위해 RASP를 비롯한 런타임 기반 솔루션은 이러한 어플리케이션 환경에 DevOps와 같은 방식으로 신속한 업데이트/보안 이점을 제공합니다. 

와라텍이 완성한 컴파일러 기반 기술은 패치 적용, 보안 규칙 적용, Java플랫폼 업그레이드(몇 분소요)기능을 제공합니다.따라서 많은 지출되는 비용 및 성능 문제와 함께 소스 코드 변경, 다운타임, 프로파일링, 휴리스틱 사용등이 전혀 필요하지 않습니다. 

DevOps의 미래 

앞으로 소프트웨어 개발은 DevOps 기반으로 진행될 것입니다. AppSec은 개발자의 참여가 거의 없는 상태지만 프로이드(성능,가동 시간, 보안 문제등)에서 어플리케이션을 능동적으로 개선할 수 있는 '스마트 런타임'을 도입할 뿐 아니라 DevOps로 좀 더 완벽을 추구하게 될것입니다. 

글로벌 유수 기업의 일부는 와라텍의 ARMR 보안 플랫폼을 사용하여 미션 크리티컬 어플리케이션을 패치, 보호 및 업그레이드 합니다. 차세대 어플리케이션 보안 솔루션의 선구자인 와라텍은 다운 타임없이 알려진 취약점을 즉시 탐지 및 개선하고 제로데이 공격으로 부터 어플리케이션을 보호하며 사실상 지원 되지 않는 Java어플리케이션을 업그레이드 할 수 있습니다. 


와라텍 정보 바로보기 ☞