보안 상황은 위협을 감지, 대응 및 해결하는 조직의 기능입니다. 여기에는 전체 소프트웨어 수명 주기 전반에 걸쳐 조직 인력, 하드웨어, 소프트웨어, 정책, 프로세스의 준비 상태가 포함됩니다.
보안 상황을 평가하고 위협을 완화하는 방법을 식별하는 데 사용할 수 있는 다양한 프레임워크 및 도구가 있습니다.
소프트웨어 배포 권장사항
강력한 보안 수준은 소프트웨어 배포 권장사항을 위한 강력한 토대가 필요하며, 이러한 권장사항은 도구 및 기술 제어 구현을 넘어서는 것입니다. 예를 들어 변경 승인 프로세스가 명확하지 않은 경우 원치 않는 변경사항이 소프트웨어 공급망에 더 쉽게 진입할 수 있습니다. 팀의 문제 제기가 권장되지 않을 경우에는 보안 문제 보고를 주저할 수 있습니다.
DevOps Research and Assessment(DORA)는 고성능 기술팀의 권장사항과 기능에 대한 독립적 연구를 수행합니다. 팀 성과를 평가하고 개선 방법을 알아보려면 다음 DORA 리소스를 참조하세요.
- DORA DevOps 빠른 점검을 수행하여 해당 조직을 다른 조직과 비교하는 방법에 대해 몇 가지 빠른 피드백을 가져옵니다.
- DORA에서 파악한 기술, 프로세스, 측정, 문화적 DevOps 기능에 대해 알아보세요.
보안 상황을 위한 프레임워크
NIST SSDF(Secure Software Development Framework) 및 CAF(Cybersecurity Assessment Framework)는 조직이 보안 상태를 평가하고 공급망 위협을 완화할 수 있도록 정부에서 개발한 프레임워크입니다. 이러한 프레임워크는 소프트웨어 개발 수명 주기뿐만 아니라 이슈 대응 계획과 같은 소프트웨어 보안과 관련된 기타 측면을 고려합니다. 이러한 프레임워크의 복잡성과 범위로 인해 시간과 리소스에 대한 상당한 투자가 필요할 수 있습니다.
SLSA(Supply Chain Levels for Software Artifacts)는 평가 및 완화 구현을 보다 쉽고 점진적으로 수행할 수 있도록 만드는 프레임워크입니다. 공급망 위협 및 관련 완화 조치를 설명하고 완화 조치를 구현하기 위한 도구의 예시를 제공합니다. 또한 보안 상황을 강화하기 위한 요구 사항을 수준별로 그룹화하여 우선 순위를 정하고 점진적으로 변경을 수행할 수 있습니다. SLSA는 주로 소프트웨어 배포 파이프라인에 중점을 두므로 SSDF 및 CAF와 같은 다른 평가 도구와 함께 사용해야 합니다.
SLSA는 Google의 모든 프로덕션 워크로드에 대한 필수 시행 점검인 Google의 내부 Borg용 Binary Authorization을 기반으로 합니다.
Software Delivery Shield는 SLSA의 권장사항을 통합하는 Google Cloud의 완전 관리형 소프트웨어 공급망 보안 솔루션입니다. 빌드의 SLSA 수준을 포함하여 보안 상황에 대한 통계를 볼 수 있습니다.
아티팩트 및 종속 항목 관리
소프트웨어의 취약점에 대한 가시성을 통해 애플리케이션을 고객에게 출시하기 전에 잠재적인 위협에 사전에 대응하고 해결할 수 있습니다. 다음 도구를 사용하면 취약점을 더 자세히 파악할 수 있습니다.
- 취약점 스캔
- Artifact Analysis와 같은 취약점 스캔 서비스를 사용하면 소프트웨어의 알려진 취약점을 식별할 수 있습니다.
- 종속 항목 관리
Open Source Insights는 오픈소스 소프트웨어와 관련된 종속 항목 그래프, 알려진 취약점, 라이선스에 대한 정보를 제공하는 중앙 집중식 소스입니다. 사이트를 사용하여 종속 항목에 대해 알아보세요.
Open Source Insights 프로젝트는 이 데이터를 Google Cloud 데이터 세트로도 제공합니다. BigQuery를 사용하면 데이터를 살펴보고 분석할 수 있습니다.
- 소스 제어 정책
스코어카드는 GitHub 프로젝트에서 위험한 소프트웨어 공급망 권장사항을 식별하는 자동화된 도구입니다.
Allstar는 GitHub 조직 또는 저장소가 구성된 정책을 준수하는지 지속적으로 모니터링하는 GitHub 앱입니다. 예를 들어 관리자 또는 푸시 액세스 권한이 있는 조직 외부의 공동작업자를 확인하는 정책을 GitHub 조직에 적용할 수 있습니다.
종속 항목 관리에 대해 자세히 알아보려면 종속 항목 관리를 참조하세요.
사이버 보안에 대한 팀 인식
팀이 소프트웨어 공급망 위협 및 권장사항을 이해하고 있다면 더 안전한 애플리케이션을 설계하고 개발할 수 있습니다.
정보 보안 전문가를 대상으로 한 설문조사인 2021년 사이버 보안 현황 2부에서 설문 응답자들은 사이버 보안 교육 및 인식 프로그램이 직원 인식에 어느 정도 긍정적인 영향을 미치거나(46%) 강력한 긍정적 영향을 미친다고(32%) 보고했습니다.
다음 리소스는 Google Cloud의 공급망 보안 및 보안에 대해 자세히 알아보는 데 도움이 됩니다.
- Google Cloud 엔터프라이즈 기반 청사진은 조직 구조 설정, 인증 및 승인, 리소스 계층, 네트워킹, 로깅, 감지 제어 등을 설명합니다. Google Cloud 보안 권장사항 센터의 가이드 중 하나입니다.
- 보안 소프트웨어 개발에서는 소프트웨어 공급망 보안과 관련하여 기본 소프트웨어 개발 권장사항을 설명합니다. 이 과정에서는 코드 설계, 개발, 테스트를 위한 권장사항에 중점을 두고 있지만 취약점 공개, 보증 사례, 소프트웨어 배포, 배포 고려사항과 같은 주제도 다룹니다. Open Source Security Foundation(OpenSSF)에서 교육을 만들었습니다.
변화에 대비
변경사항을 확인한 후에는 변경사항을 계획해야 합니다.
- 공급망의 신뢰성과 보안을 개선하기 위한 권장사항과 완화 방법을 파악합니다.
팀이 변경사항을 구현하고 규정 준수를 일관성 있게 측정할 수 있도록 가이드라인과 정책을 개발합니다. 예를 들어 회사 정책에는 Binary Authorization으로 구현하는 배포 기준이 포함될 수 있습니다. 다음 리소스가 도움이 될 수 있습니다.
- 최소 필수 보안 제품 - 제품의 기준 보안 상태를 설정하기 위한 보안 제어 체크리스트입니다. 이 체크리스트는 최소 보안 제어 요구사항을 설정하고 서드 파티 공급업체의 소프트웨어를 평가하는 데 사용할 수 있습니다.
- NIST 정보 시스템 및 조직을 위한 보안 및 개인 정보 보호 설정 간행물(SP 800-53)
각 변경사항의 크기, 복잡성, 영향을 줄일 수 있도록 점진적인 변경을 계획합니다. 또한 팀원이 각 변경사항에 적응하고 피드백을 제공하며 학습한 사항을 향후 변경에 적용하는 데 도움이 됩니다.
다음 리소스는 변경을 계획하고 구현하는 데 도움이 됩니다.
DevOps 혁신의 ROI는 DevOps 혁신의 가치를 예측하고 투자를 정당화하는 방법을 설명하는 백서입니다.
Google Cloud 애플리케이션 현대화 프로그램은 종합적인 가이드 평가를 제공하여 주요 결과(속도, 안정성 및 번아웃)를 측정하고 조직의 결과를 개선하는 기술, 프로세스, 문화적 역량을 식별합니다. 프로그램에 대한 자세한 내용은 CAMP 공지사항 블로그 게시물을 참조하세요.
변환 방법은 변경사항을 계획하고 구현하는 데 도움이 되는 안내를 제공합니다. 점진적이고 지속적인 변경을 지원하는 문화를 조성하면 보다 성공적으로 변경을 수행할 수 있습니다.
NIST Secure Software Delivery Framework는 The Software Alliance, Open Web Application Security Project, SAFECode와 같은 조직에서 확립된 권장사항을 기반으로 소프트웨어 보안 권장사항을 설명합니다. 여기에는 조직 준비를 위한 일련의 관행과 변경을 구현하고 취약점에 대응하기 위한 관행이 포함됩니다.
다음 단계
- 소프트웨어 공급망을 보호하기 위한 권장사항에 대해 알아보기
- Software Delivery Shield 알아보기