6탄-4. DevSecOps, 어디까지 구성해봤니?

AWS 프로페셔널 서비스팀

<1> 데브 옵스란?

<2> 데브 Sec 옵스 하기 위해 필요한 것 4가지

<3>  DevSecOps 시작 프로세스

<4>  DevSecOps 구현을 위해 필요한 것

<5 > 예제

<10> 개인 의견

<1>  데브 옵스란?

1

현재 기업들은?

마이그레이션 진행 중

애플리케이션을 현대화 진행 중 - 클라우드 네이티브로 해서 빠르게 오픈하기 위함.

2

목적은?

민첩한 애플리케이션 개발

3

데브옵스 , 데브Sec옵스 필요.

더 빠른 시간에 개발.

내부의 퀄리티가 보장된  자동화가 필요!

4

애플리케이션과 서비스 빨리 오픈 필요하다.

데브 옵스  =   기술 + 문화 + 철학

기술, 문화, 방법, 도구 모두 포함.

5

데브 Sec 옵스 목적?

데브 옵스 프로세스 안에서 자연스럽게 위협을 탐지, 예방, 제어하는 게 목적이다.

<2> 데브 Sec 옵스 하기 위해 필요한 것 4가지

1

더 빠른 보안 테스트가 필요하다.

2

예방 우선순위를 선정해야 한다.

3

반응형 제어를 통한 탐지 - 프로세스와 도구 제공

4

자동화 필수.  자동화!!

라이프 사이클을 생성하는 것!

5

살펴볼 항목?

Security of the Pipeline  -  파이프라인 보안 ,  암호화 키등

Security in the Pipeline  - 소프트웨어 보안 , 애플리케이션 보안

<3>   DevSecOps 시작 프로세스

1

현황 분석  - 인터뷰한다. 6개 카테고리

수치화

액션 아이템 도출

2

비즈니스와 일치되는 목표 정의

조직의 목표! 비즈니스 목표와 일치해야 한다!!!

개인, 개발자, 운영자의 목표가 아니다~

3

일정

우선순위

4

개발하기

5

리뷰하기

6

다시 반복

스크럼 사용- 작은 단위로 지속 개발.

2주 단위 스프린트로 나눈다.

<4>   DevSecOps 구현을 위해 필요한 것

개발 단계에서부터 보안 위협 요소들을 제거하고자 한다.

보안 때문에 개발 생산성이 떨어진다?

DevSecOps 구현을 위해 필요한 것

1

다양한 툴을  배포 파이프라인 과정에 포함 필요.

2

테스트 결과를 하나로 보고자 한다.

3

취약점에 대해 조치가 필요한 부분인지?  빠른 피드백 필요.

4

오픈 소스로 자동화 구현

이벤트 브리지 사용

스텝 펑션 사용

소나 큐브 사용

<5 > 예제

1

pull request  발생 시에   이벤트 브리지로 감지, 스템 펑션 사용.

테스트 환경을 자동으로 만든다.

테스트, 10초마다 확인한다.

소나 큐브 프로젝트와 연계해 테스트함.

2

테스트 결과가 에러 ->   pull request   허용이 안됨.

3

에러 내용 확인 , 수정

테스트 완료

람다로 테스트 결과를 리포팅함.

pull request  승인됨.

4

디벨롭 브랜치를 메인 브랜치로 병합함.

병합됨.

<10> 개인 의견

1

우선 배포  ci/cd 구현해보자

https://brunch.co.kr/@topasvga/1770

(몰아보기) AWS 빌드/배포 전문가 되기

2

이후 devsecops 구현하자.

3

깃도 공부

소나 큐브 공부

스텝 펑션  공부

이벤트 브리지 공부

시큐리티 허브로 통합

https://brunch.co.kr/@topasvga/1760

(몰아보기) AWS 보안 전문가 되기

https://brunch.co.kr/@topasvga/2439

6탄-(요약)AWS Summit Korea-2022

감사합니다.