애플리케이션 보안이 좌측으로 이동하고 있습니다. 결과적으로 DevOps 팀은 보안에 대한 책임이 점점 더 커집니다. 개발 라이프사이클 프로세스에 대한 DevOps 전문 지식을 갖추고 있기 때문에 소프트웨어 라이프사이클 초기에 보안 요구 사항을 효과적으로 도입할 수 있지만, 이러한 팀에는 위협을 예상할 수 있는 리소스가 없거나 현대적 애플리케이션을 보호하는 데 필요한 다양한 보안 솔루션 및 정책을 구현할 수 있는 충분한 전문 지식이 없을 수 있습니다.
네이티브 클라우드 보안 서비스는 DevOps 및 사업부 개발자에게 다양한 애플리케이션 요구 사항을 충족하는 플랫폼별 옵션을 제공합니다. 그러나 기업이 멀티 클라우드 솔루션을 점점 더 많이 도입함에 따라 이러한 기본 서비스의 비용이 이점보다 더 커지기 시작했습니다. 단일 클라우드 플랫폼에서는 몇 가지 보안 서비스로 충분하지만, 두 개 이상의 클라우드 플랫폼에서 동일한 보호 기능을 제공하려면 많은 보안 서비스가 필요합니다. 각 플랫폼마다 자체 ID 관리 요구 사항, 보안 정책, API 및 관리 절차가 있어 전반적인 효율성이 저하됩니다. 운영 효율성과 보안을 강화하는 것은 기업의 디지털 혁신 이니셔티브와 기업 리더십 목표에 있어 최우선 순위입니다.
기본 보안 서비스와 관련된 구현 및 관리의 복잡성은 운영상의 비효율성을 일으키는 첫 번째 주요 원인입니다. 여러 기본 보안 서비스의 모든 구성 요소를 관리하는 데 따르는 어려움은 기업에 심각한 부정적인 결과를 초래할 수 있습니다. 잘못된 구성으로 인한 보안 격차 공격의 66%에서 악용되었습니다(공격자가 웹 애플리케이션 방화벽의 결함을 악용하여 계정 자격 증명에 액세스하거나 공격자가 잘못 구성된 리소스를 활용하는 경우). DevOps 엔지니어는 최대한 빠른 제품 출시 시간을 파악하는 업무를 담당합니다. 여러 클라우드 공급업체의 보안 정책을 유지하고 이해하는 데 따른 간접비를 줄이면 DevOps 팀은 목표에 주의와 리소스를 더 잘 집중할 수 있습니다.
멀티 클라우드 환경의 모든 애플리케이션에서 일관된 보안 정책을 구현할 수 있는 타사 공급업체로 전환하면 DevOps 팀에 발생하는 보안 구현 오버헤드를 크게 줄일 수 있습니다. 이러한 유형의 서비스를 사용하면 보안 오류 구성이 프로덕션 환경에 반영되는 빈도를 줄일 수 있습니다. CI/CD 파이프라인에서 정책 및 구성을 통합하는 과정을 간소화하여 DevOps 팀에 표준화에 사용할 수 있는 자동화 도구 세트를 제공하고, 이를 통해 보안 서비스를 기존 엔터프라이즈 자동화 툴체인에 통합할 수 있습니다.
클라우드 인프라 보안 가시성이 낮은 것은 기본 보안 서비스를 사용함으로써 발생하는 운영 효율성 저하의 또 다른 원인입니다. 기업은 기본 서비스를 사용하면 배포 속도가 빨라지는 이점을 누릴 수 있지만, 설문 응답자의 36%는 이러한 기본 서비스가 클라우드 보안 인프라에 대한 적절한 가시성을 제공하지 못한다고 인정했습니다. DevOps 팀이 애플리케이션 보안을 위한 배포와 관리를 점점 더 맡고 있지만, 엔터프라이즈 보안 감독 및 보고는 여전히 SecOps의 책임입니다. 분산형 및 네이티브 클라우드 보안 서비스는 보안 보고 및 분석도 기본적으로 분산되고 클라우드에 특화된다는 것을 의미합니다. 분석의 분산적 특성으로 인해 시스템 전체의 보안 환경이 흐려집니다. 결과적으로 SecOps 팀은 다음 작업만 수행할 수 있습니다. 개별적인 제공자별 권장 사항을 제공합니다. 표준화된 멀티 클라우드 보안 공급업체를 통해 구현된 공통 보안 서비스를 사용하면 모든 애플리케이션에서 동일한 보안 정책이 공유됩니다. 이를 통해 SecOps는 공유된 보안 분석을 기반으로 전체 시스템에 도움이 되는 권장 사항을 제시할 수 있습니다.
다양한 클라우드 제공업체 전반에서 규정 준수를 보장하는 멀티 클라우드 보안 전략을 채택해야 하는 필요성은 기본 보안 서비스에서 운영상의 비효율성을 초래하는 또 다른 원인입니다. DevOps 팀은 내부 및 업계 보안 요구 사항을 모두 준수해야 합니다. 전통적으로 중앙 집중화된 정보 보안 팀은 애플리케이션 전반에 걸친 보안 제어를 수립하고 감사하는 데 도움을 주었으며, 특히 민감하거나 보호된 개인 정보를 다루는 의료 및 금융 서비스 등의 조직에서 이러한 역할을 담당했습니다. 애플리케이션 보안이 좌측으로 이동함에 따라 이제 DevOps는 SecOps만큼 엔터프라이즈 보안 요구 사항에 대한 일치를 유지할 책임이 있습니다. AWS, Azure, Google Cloud 등 특정 클라우드 공급업체에만 고유한 기본 보안 정책을 적용하는 경우 엔터프라이즈 보안 요구 사항을 유지하는 것은 어렵습니다. 감사의 효율성도 낮아집니다. 공통적인 다중 클라우드 보안 정책을 배포하면 보안 구성을 감사하는 데 소요되는 시간이 줄어듭니다. 가시성 솔루션을 포함하면 조직은 규정 준수 테스트의 복잡성을 줄이고 팀 간 협업을 개선하는 원스톱 서비스를 만들 수 있습니다.
애플리케이션 개발 관례의 변화로 인해 DevOps 범위에 속하는 보안 관련 책임이 커졌습니다. 따라서 이러한 팀을 DevSecOps라고 부르고 이를 SecOps 보안 운영 모델의 일부로 인식하는 것이 더 정확합니다. 기본 제공업체별 보안 정책을 계속 사용하면 상당한 관리 비용이 발생하여 DevOps 모델의 이점이 대부분 사라집니다. 멀티클라우드 엔터프라이즈 보안 솔루션을 중심으로 표준화하면 운영 효율성이 높아지고, 새로운 전략적 보안 파트너와 연결할 수 있는 기회가 생겨, 멀티클라우드 환경으로 전환할 때 운영 효율성이 저하될 가능성이 줄어듭니다.