brunch

You can make anything
by writing

C.S.Lewis

by Master Seo May 31. 2022

6탄-4. DevSecOps, 어디까지 구성해봤니?


AWS 프로페셔널 서비스팀


<1> 데브 옵스란?

<2> 데브 Sec 옵스 하기 위해 필요한 것 4가지

<3>  DevSecOps 시작 프로세스

<4>  DevSecOps 구현을 위해 필요한 것

<5 > 예제

<10> 개인 의견




<1>  데브 옵스란?


1

현재 기업들은?

마이그레이션 진행 중

애플리케이션을 현대화 진행 중 - 클라우드 네이티브로 해서 빠르게 오픈하기 위함.


2

목적은?

민첩한 애플리케이션 개발


3

데브옵스 , 데브Sec옵스 필요.

더 빠른 시간에 개발.

내부의 퀄리티가 보장된  자동화가 필요!


4

애플리케이션과 서비스 빨리 오픈 필요하다.

데브 옵스  =   기술 + 문화 + 철학

기술, 문화, 방법, 도구 모두 포함.


5

데브 Sec 옵스 목적?

데브 옵스 프로세스 안에서 자연스럽게 위협을 탐지, 예방, 제어하는 게 목적이다.



 

<2> 데브 Sec 옵스 하기 위해 필요한 것 4가지


1

더 빠른 보안 테스트가 필요하다.


2

예방 우선순위를 선정해야 한다.


3

반응형 제어를 통한 탐지 - 프로세스와 도구 제공


4

자동화 필수.  자동화!!

라이프 사이클을 생성하는 것!


5

살펴볼 항목?

Security of the Pipeline  -  파이프라인 보안 ,  암호화 키등

Security in the Pipeline  - 소프트웨어 보안 , 애플리케이션 보안




<3>   DevSecOps 시작 프로세스


1

현황 분석  - 인터뷰한다. 6개 카테고리

수치화

액션 아이템 도출


2

비즈니스와 일치되는 목표 정의

조직의 목표! 비즈니스 목표와 일치해야 한다!!!

개인, 개발자, 운영자의 목표가 아니다~


3

일정

우선순위


4

개발하기


5

리뷰하기


6

다시 반복

스크럼 사용- 작은 단위로 지속 개발.

2주 단위 스프린트로 나눈다.




<4>   DevSecOps 구현을 위해 필요한 것


개발 단계에서부터 보안 위협 요소들을 제거하고자 한다.

보안 때문에 개발 생산성이 떨어진다?



DevSecOps 구현을 위해 필요한 것


1

다양한 툴을  배포 파이프라인 과정에 포함 필요.


2

테스트 결과를 하나로 보고자 한다.


3

취약점에 대해 조치가 필요한 부분인지?  빠른 피드백 필요.


4

오픈 소스로 자동화 구현

이벤트 브리지 사용

스텝 펑션 사용

소나 큐브 사용




<5 > 예제


1

pull request  발생 시에   이벤트 브리지로 감지, 스템 펑션 사용.

테스트 환경을 자동으로 만든다.

테스트, 10초마다 확인한다.

소나 큐브 프로젝트와 연계해 테스트함.


2

테스트 결과가 에러 ->   pull request   허용이 안됨.


3

에러 내용 확인 , 수정

테스트 완료

람다로 테스트 결과를 리포팅함.

pull request  승인됨.


4

디벨롭 브랜치를 메인 브랜치로 병합함.

병합됨.




<10> 개인 의견


1

우선 배포  ci/cd 구현해보자

https://brunch.co.kr/@topasvga/1770


2

이후 devsecops 구현하자.


3

깃도 공부

소나 큐브 공부

스텝 펑션  공부

이벤트 브리지 공부

시큐리티 허브로 통합


https://brunch.co.kr/@topasvga/1760



https://brunch.co.kr/@topasvga/2439



감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari