앱 보안은 SDLC 파이프라인 보안부터 시작됩니다.
최신 개발 관행에서는 개발 라이프사이클이 점점 더 자동화되고 있습니다. IDE에서 코드 저장소까지, 자동화된 빌드와 스캔에서 프로덕션으로의 릴리스까지, 이러한 도구는 서로 연결되어 지속적인 배포 파이프라인을 형성합니다.
저장소는 코드를 저장하는 장소이자 전달 프로세스를 구성하는 이벤트를 시작하는 장소 역할을 합니다. 코드가 커밋되면 보안 검사가 실행될 수 있습니다. 구성이 변경되면 즉시 배포할 수 있도록 적절한 인프라에 자동으로 푸시할 수 있습니다.
이러한 도구는 개발, 전달 및 배포 프로세스를 가속화하고 있으며 점점 더 '클라우드에' 있습니다. 회사 내에 상주하는 개발자들은 종종 인터넷을 통해 접근하여 원격 개발자 커뮤니티를 지원할 수 있습니다. 대부분의 조직에서는 저장소에 대한 자격 증명을 이용한 접근을 요구할 만큼 보안에 능숙하지만, 최신 위협으로부터 해당 접근을 안전하게 보호하는 데는 부족합니다.
최근 발생한 위협 중 하나가 자격 증명 채우기 입니다. 일반적으로 기업 자원에 대한 위험으로 간주되지만, 실제로는 인터넷을 통해 접근할 수 있는 모든 인증 시스템이 손상될 위험이 있습니다. 개발자가 다른 IT 전문가보다 안전한 비밀번호 관리 방법을 적용할 가능성은 더 크거나 작지 않습니다. 인터넷 상에서 비밀번호를 재사용하는 일은 흔하며, 수십억 개의 인증 정보가 노출되면 공격자는 다양한 시스템에 액세스하기 위해 풍부한 리소스를 활용할 수 있습니다. 이 격언을 폭로하는 이 기사를 고려해 보세요. " Lastline 이 2018년 런던 정보보안 컨퍼런스 에서 정보보안 전문가 306명을 대상 으로 실시한 설문 조사에 따르면, 45%가 가장 큰 보안상의 죄 중 하나인 계정 전체에서 비밀번호를 재사용하는 것을 저지른 것으로 나타났습니다." 보안 전문가의 절반 가까이가 비밀번호를 재사용하고 있다면 개발자를 포함한 나머지 IT 커뮤니티의 프로필은 어떨지 상상해 보세요.
미국에서 발생한 악명 높은 데이터 침해 사건은 실존적으로 다음과 같은 내용을 담고 있습니다. 2014년에 시작된 인사 관리국(OPM) 해킹은 권한이 있는 사용자의 자격 증명을 성공적으로 손상시킨 공격자에 의해 수행되었습니다. 공격자들이 이러한 자격 증명을 성공적으로 훔친 후, 그들은 OPM 서버에 포함된 민감한 정보에 액세스할 수 있었을 뿐만 아니라 미국 서버와 인프라로 수평적으로 이동할 수 있었습니다. 내무부에서도 엄청난 혼란을 일으켰습니다.
SDLC를 구성하는 시스템과 서비스에 접근하면 공격자는 마치 우물을 오염시키는 것과 마찬가지입니다. 소스 코드에 접근할 수 있다면 악의적인 행동을 주입하거나 아이디어를 도용하는 일이 쉽게 이루어질 수 있습니다.
이러한 위협에 대처하기 위해 조직에서는 소프트웨어 개발 파이프라인의 도구에 제로 트러스트 아키텍처 개념을 확장하는 것을 고려해야 합니다. IDE부터 클라우드 관리 콘솔, 코드 저장소에 이르기까지 Privileged User Access를 사용하면 MFA/CAC를 기반으로 강력한 보안 관행을 적용할 수 있습니다.
특권 사용자 액세스 및 SDLC 파이프라인
특권 사용자 접근(PUA)은 기본적으로 SAML이 없고 애플리케이션이 특별한 인증 방법을 지원할 필요가 없는 연합입니다. 이를 통해 기존 앱에 대한 제로 트러스트 원칙을 확장할 수 있을 뿐만 아니라 최신 웹 기반 애플리케이션도 지원할 수 있습니다.
이 솔루션은 F5 Access Policy Manager(APM)가 자격 증명 프록시 역할을 하는 기능과 자동으로 임시 자격 증명을 일반화하는 기능을 기반으로 합니다. 간단히 말해서, 사용자는 회사 자격 증명 저장소(도메인 컨트롤러, LDAP)를 통해 인증되고 APM은 보호된 시스템에 로그인하는 데 사용할 수 있는 임시 자격 증명을 생성합니다. 개발 파이프라인의 경우 이는 Bitbucket , GitHub , GitLab 과 같은 코드 저장소가 될 수 있습니다. 이러한 접근 방식은 개발자에게 많은 프로세스 오버헤드를 발생시키지 않으면서도 저장소에 대한 액세스를 더 엄격하게 제어합니다.
- 사용자는 BIG-IP에 자격 증명을 제공합니다.
- BIG-IP는 IaaS 또는 온프레미스 디렉토리 서비스에 대해 사용자 자격 증명을 검증합니다.
- BIG-IP는 인증된 사용자에게 임시 자격 증명을 제공합니다.
- IDE 또는 브라우저를 통해 사용자 임시 자격 증명을 저장소로 전송
- 저장소는 사용자 이름과 임시 자격 증명을 BIG-IP에 전달하여 검증합니다.
- BIG-IP가 검증을 반환합니다.
- 사용자가 저장소에 성공적으로 로그인되었습니다.
민감한 데이터에는 코드가 포함되어야 합니다. 즉, 데이터와 마찬가지로 코드에 대한 액세스도 보호되어야 함을 의미합니다. 코드는 디지털 비즈니스의 핵심이며, 배포 파이프라인은 점점 더 공격 벡터로 간주되고 있습니다. 권한이 있는 사용자 액세스 모델을 도입하면 자격 증명과 이를 사용하는 사용자가 모두 합법적이라는 확신을 가질 수 있습니다.