클라우드 서비스에서 보안은 어떻게 관리해야 하는가?

공유하다:

클라우드 시스템은 손쉽게 가상 인프라를 구축하고, UI를 통해 클라우드 자원을 관리할 수 있게 합니다. 또한,클라우드 시스템은 기획과 설계가 완료된 계획안에 대해 오픈소스를 활용하여 빠르게 구현하고 눈으로 확인해볼 수 있도록 도와줍니다. 국내외 많은 소프트웨어기업들은 클라우드시스템을 이용하여 온라인제품을 출시하고 있습니다.

그런데 막상 제품을 출시하고 서비스를 하다보면 보안 때문에 많은 문제를 겪게됩니다. 기획과 설계 단계에서 보안이 고려되지 않은 채 구현이 되면서, 제품 출시 및 서비스 후에도 보안 문제가 쉽게 해결되지 않으며, 오히려 보안 문제를 안고 있는 상태에서 서비스가 확장되는 경우를 보게됩니다.

이런 부분을 해결하기 위해서는 제품의 기획과 개발 단계에서 보안 요소들이 반영되어야 합니다. 최근, DevSecOps는 클라우드시스템을 도입한 조직에서 많이 활용됩니다. DevOps의 개발 프로세스에 각 단계마다 보안이 반영된 개발방법론입니다.

DevOps vs. DevSecOps

DevSecOps는 소프트웨어 개발 라이프사이클에 관하여는 모든 구성원에게 보안에 대한 책임이 있으며, 본질적으로 운영과 개발을 보안 기능과 통합하는 것입니다. DevOps는 개발과 운영을 "하나의 자동화된 우산" 아래 통합하는 것이라면, DevSecOps는 개발과 운영에 보안을 추가합니다. 개발 프로세스의 모든 부분에 보안이 반영됩니다.

DevSecOps 역할과 책임

DevSecOps를 실행하기 위해서는 기획자, 개발자, 보안담당자, 테스터의 역할과 책임이 정의되어있어야 합니다. 그리고 기업마다 정확한 R&R을 정의하기 위하여 자산관리, 산출물 관리, 인력관리에 대한 프로세스의 재정립이 필요합니다.

DevSecOps 기반 개발 프로세스 수립

개발 프로세스에 대한 수준이 평가되었다면, 역할과 책임이 반영된 프로세스를 설계하고 구축하게 됩니다.