DevOps 와 마찬가지로 IT 분야에서 핫 트렌디한 "SecOps" 에 대한 포스팅을 해봅니다.
정의
DevOps가 소프트웨어 개발자 및 운영 전문가를 통합 하는 방식과 마찬가지로
SecOps는 보안 및 운영 팀을 연결하는 관리 방식 즉, 개발부터 서비스 론칭 단계까지의 전체 과정에
IT 보안 실무를 통합 할수 있는 모델이다.
목표
개발 초기 단계 또는 모든 단계에서 보안 프로세스를 도입, 접목 시키는것
지속적인 보안 컴플라이언스 자동화
보안에 대한 책임을 공유하여 비즈니스, 제품 및 서비스의 보안 상태를 향상 시키는 것
효과
ROI 향상
생산성 향상
리소스 감소
보안 문제 감소
보안 감사 절차 개선
SecOps 대표 활용 사례
IBM Cloud 는 saltstack 자동화 도구를 활용하여 SecOps 구현
단, 12명의 엔지니어로 전세계 80개 IDC / 70,000개 이상의 노드에 보안 컴플라이언스 수행
자동화 및 오케스트레이션 기능으로 새로운 보안 정책을 자동으로 배포 하고 새로운 보안 위협에 지속적 대응 가능
IT 시스템에 대한 취약성 자동 교정 및 자동화된 보안 감사 수행
SecOps 세부 활용 사례 1
saltstack 사용 heartbleed (하트블리드) 취약점 패치
SecOps 세부 활용 사례 2
saltstack 사용 wannacry (SMB 취약점) 취약점 패치
saltstack은 ansible,pupet,chef 등과 유사한 인프라 자동화 관리 툴입니다.
saltstack은 오픈 소스도 있지만, 유료버전이 있습니다.
유료 버전중 secops라는 제품을 별도로 사용 할수 있습니다.
자세한 내용은 https://www.saltstack.com/products/secops/
현재는 vmware가 인수 한듯하네요 ...
saltstack secops 관련 블로그나 웹상의 자료에서 많이 등장 하는 용어가 있습니다.
Escape Compliance Hell with SaltStack SecOps
"보안 감사 지옥에서 탈출" 아마 많은 현업 종사자들이 공감하고 희망하는 문구 일것입니다.
회사마다 차이점은 있겠지만 보안 감사나 보안과 관련된 업무 비중은 상당히 높은 편입니다.
아마 국내 뿐 아니라 해외에서도 위와 같은 Needs 가 있어 saltstack SecOps를 개발 한게 아닐까요
필자는 saltstack secops 제품이 나오기 몇년전 부터 saltstack를 사용하여 ISMS 점검 항목중 CCE나 기타 몇몇 항목
에 대하여 ISMS 증적 자료 취합을 자동화 하여 업무 프로세스를 개선한 경험이 있습니다.
예를 들자면, 몇백대~수천대의 linux , windows 서버의 계정 보안 정책 적정성에 대한 증적 자료 수집 및 자동 리포팅
이렇게 하면 ISMS 증적 자료를 자동으로 취합하여 시간 단축이나 업무 효율성 측면에서 장점을 극대화 할수 있습니다.
당시에도 필자는 보안 컴플라이언스 기준 이나 보안 정책 리스트에 부합하여 지속적으로 점검 (감사) 하며, 운영중인
자산(서버,네트워크 장비등)의 보안 취약성에 대하여 쉽게 탐지 및 보안 정책을 적용 할수 있는 솔루션이 있으면 좋겠다는 생각을 했었습니다.
몇 년후 saltstack에서 secops라는 상용 제품을 출시한걸 보고 반가울 따름이었습니다.
다만 비용을 지불해야 한다는것에 대한 아쉬움...
하지만 어느 정도 개발 기술력이 된다면 스크립트 처리나 기타 다른 방법으로 굳이 saltstack secops 상용 제품을
사지않고 saltstack 오픈소스 만으로도 각 회사의 보안 컴플라이언스 기준에 부합되며 만족하는 결과물을
충분히 만들어 낼수 있습니다.
화려한 웹 UI나 화려한 보고서는 무리겠지만요.
상용 제품중에도 CCE,CVE,CWE 등에 대한 보안 취약성 점검을 해주는 좋은 솔루션도 다수 있습니다.
하지만, 비용 부담 문제도 있기에 saltstack open source 도구를 활용하여 보안 실무 프로세스에 도입 한다면
수많은 이점을 가져 올거라 생각 합니다.
더불어 SecOps 모델이 추구하는 목표에 한발짝 다가 갈수 있을거라 생각됩니다.
