IaC(Infrastructure as Code)에 대해 읽은 모든 내용은 작동 방식이나 실제로 원하는 방식으로 구축되고 있는지 확인하려는 이유에 중점을 둡니다.
이는 중요한 영역입니다. 하지만 우리 조직에서 이 접근 방식을 어떻게 사용하는지에 대해 충분히 생각하고 있습니까?
As 멜린다 마크스 ESG는 회사 보고서에서 "83%의 조직이 기술을 계속 채택하면서 IaC 템플릿 구성 오류가 증가하는 것을 경험했습니다"라고 밝혔습니다.
Cloud Security Alliance에서 수행한 작업을 통해 우리는 알고 있습니다(“클라우드 컴퓨팅에 대한 주요 위협: Egregious Eleven") 및 기타 잘못된 구성은 계속해서 클라우드의 가장 큰 위험입니다.
IaC는 다음을 지원합니다. 감소
인프라 생성을 체계화하고 팀이 원하는 것과 원하는 것만 구축할 수 있도록 엄격함과 프로세스 수준을 추가하여 잘못된 구성을 방지합니다. 약 83%의 팀이 이를 확인하지 못한다면 더 심각한 문제가 있는 것입니다.
DevOps 철학의 Dev 및 Ops 부분이 함께 있는 소규모 팀에서는 이는 의미가 있습니다. IaC를 통해 이러한 소규모 팀은 동일한 언어(코드)를 사용하여 수행 중인 모든 작업을 설명할 수 있습니다.
이것이 바로 우리가 Terraform 또는 AWS CloudFormation과 같은 도구보다 더 높은 수준의 추상화를 보고 있는 이유입니다. AWS CDK 및 다음과 같은 프로젝트 CDK8S. 이러한 높은 수준의 추상화는 개발자에게 더 편안합니다.
클라우드 서비스의 운영/SRE/플랫폼 관점은 동일한 서비스의 개발자 관점과 크게 다릅니다. 개발자는 대기열 서비스를 살펴보고 인터페이스(추가할 간단한 엔드포인트와 읽을 엔드포인트)를 살펴보겠습니다. 판매된. 그것은 쉬운 통합입니다.
이러한 운영 관점은 가장자리를 찾는 것을 목표로 합니다. 그렇다면 이 대기열은 언제 한계에 도달합니까? 성능이 일정합니까, 아니면 부하가 걸리면 급격하게 변합니까?
네, 겹치는 우려가 있습니다. 그리고 그렇습니다. 이것은 단순화된 보기입니다. 그러나 아이디어는 유효합니다. IaC는 많은 문제를 해결하지만 팀 간의 단절을 만들고 증폭시킬 수도 있습니다. 더 중요한 것은 구축하려는 의도와 구축한 현실 사이의 격차를 강조할 수 있다는 것입니다.
결과적으로 보안 문제가 종종 확대되는 곳입니다.
대부분의 도구(상용 또는 오픈 소스)는 인프라 템플릿의 잘못된 점을 식별하는 데 중점을 둡니다. 이
좋은 건축물이다. 만들기 이
나쁠 것입니다. 이러한 도구는 CI/CD(지속적 통합/지속적 전달) 파이프라인의 일부로 이러한 결과를 생성하는 것을 목표로 합니다.
정말 좋은 시작이네요. 그러나 그것은 동일한 언어 문제를 반영합니다.
누가 말하고 누가 듣고 있는가?
IaC 도구가 문제를 강조하면 누가 이를 해결할 것인가? 개발팀이라면 이것이 왜 문제로 지적되었는지 알 수 있는 충분한 정보가 있습니까? 운영팀인 경우 문제의 결과가 보고서에 명시되어 있습니까?
개발자의 경우 IaC 테스트를 통과하기 위해 구성을 조정하기만 하면 되는 일이 자주 발생합니다.
작업의 경우 일반적으로 테스트 통과 여부가 중요합니다. 그렇다면 다음 작업으로 넘어갑니다. 그것은 두 팀 모두에게 노크가 아닙니다. 오히려 기대와 현실의 격차를 강조합니다.
필요한 것은 맥락이다. IaC 보안 도구는 곧 구축될 항목에 대한 가시성을 제공합니다. 문제를 막는 것이 목표 전에 그들은 생산에 들어갑니다.
오늘날의 IaC 보안 도구는 해결해야 할 실제 문제를 강조하고 있습니다. 이러한 도구의 출력을 가져와 코드를 담당하는 팀과 관련된 추가 컨텍스트로 강화하는 것은 일부 맞춤형 자동화를 위한 완벽한 기회입니다.
이는 또한 언어 격차를 해소하는 데 도움이 될 것입니다. 도구의 출력은 본질적으로 제XNUMX의 언어로 되어 있어(단지 상황을 더 복잡하게 만들기 위해) 개발 담당자나 운영 담당자가 이해할 수 있는 방식으로 전달되어야 합니다. 종종 둘 다.
예를 들어 스캔에서 보안 그룹 규칙에 설명이 없다는 플래그가 표시되면 그게 왜 중요할까요? "컨텍스트에 대한 설명 추가"라는 경고를 받는 것만으로는 더 나은 빌드를 만드는 데 도움이 되지 않습니다.
이러한 유형의 플래그는 클라우드에서 구축하는 팀을 교육할 수 있는 좋은 기회입니다. 보안 그룹 규칙은 최대한 구체적이어야 한다는 설명을 추가하면 악의적인 공격 가능성이 줄어듭니다. 강력한 규칙의 예에 대한 참조를 제공하세요. 의도를 모르고 이를 호출하면 다른 팀에서는 보안 확인의 유효성을 테스트할 수 없습니다.
보안은 모든 사람의 책임입니다. 따라서 개발자와 운영진 간의 언어 격차를 인정하면 팀에 통찰력을 제공하는 간단한 자동화를 추가할 수 있는 기회가 강조될 것입니다. 이는 그들이 구축하고 있는 것을 개선하는 데 도움이 될 것이며 결과적으로 더 나은 보안 결과를 가져올 것입니다.
저자에 관하여
.jpg?width=690&quality=80&format=webply&disable=upscale "IaC 스캐닝: 환상적이고 간과된 학습 기회")
저는 법의학 과학자이자 연사이자 기술 분석가로서 여러분이 디지털 세계와 그것이 우리에게 미치는 영향을 이해하도록 돕기 위해 노력하고 있습니다. 일반 사용자에게 내 작업은 디지털 세계의 과제를 설명하는 데 도움이 됩니다. 소셜 미디어를 사용하는 것이 개인 정보 보호에 얼마나 큰 영향을 미치나요? 안면 인식과 같은 기술이 우리 지역 사회에서 사용되기 시작한다는 것은 무엇을 의미합니까? 저는 이와 같은 질문에 답하는 데 도움을 드립니다. 기술을 구축하는 사람들의 경우 보안 및 개인 정보 보호 렌즈를 업무에 적용하여 사용자가 자신의 정보와 행동에 대해 더 명확한 결정을 내릴 수 있도록 돕습니다. 개인 정보 보호 및 보안과 관련하여 혼란이 많습니다. 있어서는 안됩니다. 보안과 개인 정보 보호를 더 쉽게 이해할 수 있도록 하겠습니다.
