디지털 인증서가 DevOps 팀에 중요한 이유

조직은 점점 더 DevOps를 앱 개발 프로세스에 통합하고 있습니다. Amazon Web Services(AWS)에 따르면 DevOps는 새로운 앱과 서비스를 배포하는 속도와 능력을 향상시킬 수 있는 잠재력이 있기 때문에 조직에 많은 약속을 하고 있습니다. 이는 개발 및 운영 팀이 전체 애플리케이션 수명 주기에 걸쳐 함께 작업하도록 함으로써 수행됩니다. (보안 팀은 DevSecOps라는 프로세스에 참여할 수도 있습니다.) 개발 및 운영 담당자는 함께 확장된 기술 스택과 도구를 사용하여 전통적으로 수동으로 수행했던 프로세스를 자동화합니다.

말할 필요도 없이 조직은 DevOps 모델을 채택하여 많은 이점을 얻을 수 있습니다. 개발자, 운영 요원, 보안 전문가, 심지어 품질 보증 부서의 직원들도 사일로에 남겨두면 프로젝트를 제시간에 완료하는 데 방해가 될 수 있는 장애물을 알지 못합니다. 이는 이러한 그룹이 과제에 다른 것을 추가하기 때문입니다. Digital.ai가 언급한 바와 같이, 그들은 반드시 새로운 애플리케이션의 비즈니스 컨텍스트 또는 가치에 대한 동일한 이해에서 작업에 접근할 필요는 없습니다. 따라서 이러한 팀은 프로젝트를 지연시키고 내분으로 이어질 수 있는 반대 목표를 가질 수도 있습니다.

디지털 인증서: DevOps가 보안을 따라잡기 위한 과제

조직은 DevOps 모델에서 서로 다른 팀을 통합하여 최대한의 효과를 얻고자 합니다. 그 사실을 인정하면서, 끊임없이 진화하는 기술 환경에 맞추기 위해 사고 방식으로서의 DevOps가 끊임없이 변화하고 있다는 것은 놀라운 일이 아닙니다. 따라서 DevOps는 정보 보안 분야를 따라잡아야 합니다.

Akamai의 수석 제품 관리자인 Sid Padkar는 TechRepublic 에 다음과 같이 말했습니다.

미국 및 전 세계적으로 데이터 침해 건수가 증가하고 PSD2 및 GDPR과 같은 데이터 개인 정보 보호 규정에 대한 강조가 증가함에 따라 DevOps에 정통한 조직은 앞으로 1년 동안 시장 출시를 위해 보안 조치의 근면을 우선시해야 할 것입니다. 새로운 규정이 시행됨에 따라 더 많은 애플리케이션 개발자가 코드 내에서 직접 엄격한 보안 정책을 구축해야 합니다. infosec 팀 내에서 더 많은 규정 준수 관련 작업을 자동화하여 보안 및 규정 준수 조치를 일상적인 CI 워크플로에 통합하는 데브옵스 도구가 증가할 것입니다.

문제는 DevOps를 보안과 일치시키는 것이 항상 쉬운 것은 아니라는 것입니다. 실제로 Keyfactor는 위에서 논의한 충돌로 인해 많은 조직이 DevOps와 관련된 일관된 보안 정책을 시행하는 데 어려움을 겪고 있다고 언급했습니다. 우수한 보안 관행은 일반적으로 새 애플리케이션이나 서비스를 적시에 제공하는 것과 관련이 있습니다. 따라서 DevOps를 지원하는 올바른 도구가 없으면 보안 담당자가 지원해야 하는 방식으로 개발자를 지원할 수 없습니다. 따라서 개발자는 새로운 보안 관행에 저항하고 속도를 늦추는 새로운 프로세스에 대한 비준수 대안을 찾는 경향이 있습니다.

이러한 문제는 인증서 수명 주기 관리에서 특히 중요합니다. 조직은 코드 서명 또는 인증서 생성을 통해 PKI로 DevOps 수명 주기를 보호해야 합니다. 그러나 AppViewX에서 언급한 바와 같이 이러한 PKI 구현은 인증서 수명 주기에 대한 가시성이 좋지 않고 인증 기관과의 통신이 일관되지 않은 경우가 많습니다.

기존 DevOps 파이프라인은 일반적으로 신뢰할 수 있는 인증서를 얻기 위해 수동 요청에 의존합니다. 이러한 유형의 요청은 소프트웨어 개발 수명 주기의 민첩성을 약화시킵니다. 대부분의 컨테이너는 오래 지속되지 않으므로 이러한 요청을 완료하는 데 며칠이 걸리더라도 조직에서 애플리케이션 제공 속도를 늦추지 않는 한 결과 디지털 인증서는 사실상 쓸모가 없습니다. 이러한 역동성은 또한 DevOps가 자체적으로 이러한 인증서를 관리하고 모니터링하기 어렵게 만듭니다. 따라서 팀 구성원은 지름길을 찾거나 임시 프로세스에 의존하거나 여러 암호화 표준(조직의 보안 위험을 증가시키는 변형)을 사용하는 인증서를 구매할 수 있습니다.

이러한 우려는 업계 분석가들에게만 반향을 일으키지 않습니다. DevOps 전문가도 공유합니다. 2019년 설문조사에서 DevOps 전문가의 74%가 Venafi에 인증서 발급이 개발 속도를 늦출 수 있다고 우려한다고 말했습니다. 3분의 1이 조금 넘는 개발자(39%)가 서비스 수준 계약을 충족하기 위해 이러한 정책을 우회할 수 있어야 한다고 답한 반면, 응답자의 절반 미만(48%)은 조직의 개발자가 항상 채널을 통해 인증서를 요청한다고 생각한다고 말했습니다. 보안팀이 승인한 방법.

DevOps 팀이 인증서를 가장 잘 처리하는 방법

위에서 설명한 문제에 대한 응답으로 DevOps 팀은 인증서 관리 프로세스를 자동화하여 인증서를 가장 잘 처리할 수 있습니다. DevOps.com에서 언급한 것처럼 Kubernetes와 같은 오케스트레이션 도구는 ACME 프로토콜을 통해 인증서 관리를 지원합니다. Kubernetes는 개인 키를 Kubernetes Secret 또는 Hashicorp Vault에 저장하므로 인증서 관리 시스템에 대한 원활한 통합을 제공합니다. DevOps 팀은 TLS 연결을 통해 통신할 때 주어진 컨테이너를 확인하는 데 도움이 되도록 사설 CA를 사용하여 컨테이너에 디지털 서명할 수도 있습니다.

자동화 외에도 DevOps는 불필요한 중단을 피하기 위해 인증서의 가시성을 높여야 합니다. 팀 구성원은 인증서가 만료되기 전에 갱신하고 중요한 서비스가 계속 작동되도록 하기 위해 부적절한 구성을 해결할 수 있어야 합니다. TechBeacon 은 DevOps가 민첩성과 보안의 균형을 맞추기 위해 키와 인증서를 포함하는 프로세스를 오케스트레이션하기 위해 "레시피"라는 API 기반 자동화 컬렉션을 사용해야 한다고 말합니다.

이에 대한 생각이 있습니까? 의견에 아래로 알려주거나 Twitter 또는 Facebook으로 토론을 진행하십시오.

편집자 추천:

• DevOps에서 지속적인 테스트를 구현하는 방법은 무엇입니까?
• AWS DevOps 엔지니어가 죽이고 있습니다 – 이 $30 코스 번들로 경력을 시작하십시오
• DevOps가 고객 데이터를 보호하는 방법
• DevOps가 소프트웨어 개발을 혁신하는 방법

편집자 주: David Bisson은 정보 보안 작가이자 보안 중독자입니다. 그는 IBM의 Security Intelligence 및 Tripwire의 State of Security Blog의 기고 편집자이며 Bora의 기고 작가입니다. 그는 또한 디지털 보안 분야에서 Zix 및 기타 여러 회사를 위한 서면 콘텐츠를 정기적으로 제작하고 있습니다.