보안 상태 평가

보안 상황은 조직이 위협을 감지, 대응, 해결하는 능력입니다. 여기에는 전체 소프트웨어 수명 주기에 걸쳐 조직의 인력, 하드웨어, 소프트웨어, 정책, 프로세스의 준비 상태가 포함됩니다.

보안 상황을 평가하고 위협을 완화하는 방법을 식별하는 데 사용할 수 있는 프레임워크와 도구가 많이 있습니다.

소프트웨어 배포 권장사항

강력한 보안 수준은 소프트웨어 배포 권장사항을 위한 강력한 토대가 필요하며, 이러한 권장사항은 도구 및 기술 제어 구현을 넘어서는 것입니다. 예를 들어 변경 승인 프로세스가 명확하지 않은 경우 원치 않는 변경사항이 소프트웨어 공급망에 더 쉽게 진입할 수 있습니다. 팀의 문제 제기가 권장되지 않을 경우에는 보안 문제 보고를 주저할 수 있습니다.

DevOps Research and Assessment(DORA)는 고성능 기술팀의 권장사항과 기능에 대한 독립적 연구를 수행합니다. 팀 성과를 평가하고 개선 방법을 알아보려면 다음 DORA 리소스를 참조하세요.

• DORA DevOps 빠른 점검을 수행하여 해당 조직을 다른 조직과 비교하는 방법에 대해 몇 가지 빠른 피드백을 가져옵니다.
• DORA에서 파악한 기술, 프로세스, 측정, 문화적 DevOps 기능에 대해 알아보세요.

보안 상황 프레임워크

NIST SSDF(Secure Software Development Framework) 및 CAF(Cybersecurity Assessment Framework)는 조직이 보안 상태를 평가하고 공급망 위협을 완화할 수 있도록 정부에서 개발한 프레임워크입니다. 이러한 프레임워크는 소프트웨어 개발 수명 주기뿐만 아니라 이슈 대응 계획과 같은 소프트웨어 보안과 관련된 기타 측면을 고려합니다. 이러한 프레임워크의 복잡성과 범위로 인해 시간과 리소스에 대한 상당한 투자가 필요할 수 있습니다.

SLSA(Supply Chain Levels for Software Artifacts)는 평가 및 완화 구현을 보다 쉽고 점진적으로 수행할 수 있도록 만드는 프레임워크입니다. 공급망 위협 및 관련 완화 조치를 설명하고 완화 조치를 구현하기 위한 도구의 예시를 제공합니다. 또한 보안 상황을 강화하기 위한 요구 사항을 수준별로 그룹화하여 우선 순위를 정하고 점진적으로 변경을 수행할 수 있습니다. SLSA는 주로 소프트웨어 배포 파이프라인에 중점을 두므로 SSDF 및 CAF와 같은 다른 평가 도구와 함께 사용해야 합니다.

SLSA는 Google의 모든 프로덕션 워크로드에 대한 필수 시행 점검인 Google의 내부 Borg용 Binary Authorization을 기반으로 합니다.

Google Cloud 는 SLSA의 권장사항을 통합하는 모듈식 기능 및 도구 세트를 제공합니다. 빌드의 SLSA 수준을 포함하여 보안 상황에 대한 통계를 볼 수 있습니다.

아티팩트 및 종속 항목 관리

소프트웨어의 취약점을 파악하면 애플리케이션을 고객에게 출시하기 전에 잠재적 위협에 선제적으로 대응하고 해결할 수 있습니다. 다음 도구를 사용하여 취약점을 더 잘 파악할 수 있습니다.

취약점 스캔

Artifact Analysis와 같은 취약점 스캔 서비스를 사용하면 소프트웨어의 알려진 취약점을 식별할 수 있습니다.

종속 항목 관리

Open Source Insights는 오픈소스 소프트웨어와 관련된 종속 항목 그래프, 알려진 취약점, 라이선스에 대한 정보를 제공하는 중앙 집중식 소스입니다. 이 사이트에서 종속 항목에 대해 알아보세요.

Open Source Insights 프로젝트는 이 데이터를 Google Cloud 데이터 세트로도 제공합니다. BigQuery를 사용하면 데이터를 살펴보고 분석할 수 있습니다.

소스 제어 정책

스코어카드는 GitHub 프로젝트에서 위험한 소프트웨어 공급망 권장사항을 식별하는 자동화된 도구입니다.

Allstar는 GitHub 조직 또는 저장소가 구성된 정책을 준수하는지 지속적으로 모니터링하는 GitHub 앱입니다. 예를 들어 관리자 또는 푸시 액세스 권한이 있는 조직 외부의 공동작업자를 확인하는 정책을 GitHub 조직에 적용할 수 있습니다.

종속 항목 관리에 대해 자세히 알아보려면 종속 항목 관리를 참고하세요.

사이버 보안에 대한 팀 인식

팀이 소프트웨어 공급망 위협 및 권장사항을 이해하고 있다면 더 안전한 애플리케이션을 설계하고 개발할 수 있습니다.

정보 보안 전문가를 대상으로 한 설문조사인 2021년 사이버 보안 현황 2부에서 설문 응답자들은 사이버 보안 교육 및 인식 프로그램이 직원 인식에 어느 정도 긍정적인 영향을 미치거나(46%) 강력한 긍정적 영향을 미친다고(32%) 보고했습니다.

다음 리소스를 통해 공급망 보안 및 Google Cloud의 보안에 대해 자세히 알아보세요.

• Google Cloud 엔터프라이즈 기반 청사진에서는 조직 구조 설정, 인증 및 승인, 리소스 계층, 네트워킹, 로깅, 감지 제어 등을 설명합니다. Google Cloud 보안 권장사항 센터의 가이드 중 하나입니다.
• 보안 소프트웨어 개발에서는 소프트웨어 공급망 보안과 관련하여 기본 소프트웨어 개발 권장사항을 설명합니다. 이 과정에서는 코드 설계, 개발, 테스트를 위한 권장사항에 중점을 두고 있지만 취약점 공개, 보증 사례, 소프트웨어 배포, 배포 고려사항과 같은 주제도 다룹니다. Open Source Security Foundation(OpenSSF)에서 교육을 만들었습니다.

변화에 대비

변경사항을 확인한 후에는 변경사항을 계획해야 합니다.

• 공급망의 안정성과 보안을 개선하기 위한 권장사항 및 완화 조치를 파악하세요.

• 팀이 변경사항을 구현하고 규정 준수를 일관되게 측정할 수 있도록 가이드라인과 정책을 수립합니다. 예를 들어 회사 정책에는 Binary Authorization으로 구현하는 배포 기준이 포함될 수 있습니다. 다음 리소스가 도움이 될 수 있습니다.

  • 최소 필수 보안 제품 - 제품의 기준 보안 상태를 설정하기 위한 보안 제어 체크리스트입니다. 이 체크리스트는 최소 보안 제어 요구사항을 설정하고 서드 파티 공급업체의 소프트웨어를 평가하는 데 사용할 수 있습니다.
  • NIST 정보 시스템 및 조직을 위한 보안 및 개인 정보 보호 설정 간행물(SP 800-53)

• 각 변경의 규모, 복잡성, 영향을 줄이기 위해 증분 변경을 계획합니다. 또한 팀원이 각 변경사항에 적응하고 피드백을 제공하며 학습한 사항을 향후 변경에 적용하는 데 도움이 됩니다.

다음 리소스는 변경을 계획하고 구현하는 데 도움이 됩니다.

• DevOps 혁신의 ROI는 DevOps 혁신의 가치를 예측하고 투자를 정당화하는 방법을 설명하는 백서입니다.

• Google Cloud 애플리케이션 현대화 프로그램은 종합적인 가이드 평가를 제공하여 주요 결과(속도, 안정성 및 번아웃)를 측정하고 조직의 결과를 개선하는 기술, 프로세스, 문화적 역량을 식별합니다. 프로그램에 대한 자세한 내용은 CAMP 공지사항 블로그 게시물을 참조하세요.

• 변경 방법에서는 변경사항을 계획하고 구현하는 데 도움이 되는 안내를 제공합니다. 점진적이고 지속적인 변경을 지원하는 문화를 조성하면 보다 성공적으로 변경을 수행할 수 있습니다.

• NIST Secure Software Delivery Framework는 The Software Alliance, Open Web Application Security Project, SAFECode와 같은 조직에서 확립된 권장사항을 기반으로 소프트웨어 보안 권장사항을 설명합니다. 여기에는 조직을 준비하기 위한 일련의 관행과 변경사항을 구현하고 취약점에 대응하기 위한 관행이 포함되어 있습니다.

다음 단계

• 소프트웨어 공급망을 보호하기 위한 권장사항을 알아보세요.
• 소프트웨어 공급망 보안 및 소프트웨어 공급망을 보호하는 데 도움이 되는Google Cloud제품 및 기능에 대해 알아보세요.