DevOps 보안 전문가를 위한 생존 가이드
DevOps Survival Guide for Security Professionals
CI / CD 파이프 라인에 보안 기능 구현
(Building Security Into Your CI/CD Pipelines)
DevOps팀이 스마트 사이버 보안 전략을 채택하는 것은 왜 그렇게 어려운 일입니까?
개발자와 보안팀 모두 안전하게 배포(개발) 하기를 원하지만 서로 다른 KPI로 작업하고 있습니다.
개발팀은 점점 더 빠른 속도로 개발해야한다는 큰 압박을 받고 있습니다.
완전히 다른 세트(메트릭스)로 평가되기 때문에, 생산 요구 사항을 충족시키기 위해 소스 취약성이 존재 할 가능성이 커집니다.
1. Shortest possible cycle time
2. No customer-facing outages
3. Other than coding, no more than 5% of the procedures you do to deliver software are manual
Security KPIs
1. All medium- to high-severity vulnerabilities are remediated within 30 days
2. All high-severity incidents are responded to within 15 minutes
3. Maintain 100% CIS benchmark compliance with waivers (rule exceptions for assets you can’t make compliant for whatever reason)
다행히도 보안 및 개발 작업이 잘 어울리지 않는다는 생각은 잘못된 것입니다.
DevOps 고유의 보안 도구가 존재하므로 보안을 통해 개발자을 느리게 할 필요가 없습니다.
실제로 고속 CI / CD 파이프 라인과 보조를 맞추어 도중에 모든 프로세스를 강화할 수 있습니다.
보안 작업이 DevOps의 언어를 말할 수있게되면 DevOps 세계에 보안을 적용하는 것이 훨씬 쉽습니다.
두 팀이 사용하고있는 도구와 이유에 대해 눈으로 확인하면 CI / CD 파이프 라인을 속도를 잃지 않고 철저하게 확보 할 수 있습니다.
Introduction.........................................................................3
DevOps KPIs........................................................................5
Security KPIs........................................................................5
A Decade of DevOps...........................................................6
Understanding the CI/CD Pipeline......................................8
»»Code..............................................................................10
»»Build...............................................................................11
»»Test................................................................................12
»»Release..........................................................................13
»»Deploy...........................................................................14
»»Operate.........................................................................15
»»Monitor..........................................................................16
Why Security Should Be a Quality Gate..............................17
The DevOps Tech Stack.......................................................18
»»Source Code Repositories.............................................20
»»Container Tools..............................................................21
»»Automation Tools...........................................................22
»»Application Orchestration Tools....................................23
»»Infrastructure-as-Code Orchestration Tools..................24
»»IT Service Management ................................................25
»»Public Cloud Infrastructure ...........................................26
»»Monitoring Tools............................................................27
»»Security Tools.................................................................28
Using the Center for Internet Security’s CIS Controls........29
Get to Know Tripwire for DevOps.......................................30
Ready to See Tripwire for DevOps in Action?.....................33
Summary..............................................................................34
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
070-7867-3721, ismsbok@gmail.com
