정책을 코드(Policy as Code)로 : 필요성과 활용 방안

데이터 유출이나 시스템 중단이 인적 오류 또는 외부 주체의 공격으로 발생했다는 뉴스 기사를 얼마나 자주 접하나요? 해당 기업의 IT 분야에서 근무한다, 사건의 직접적 및 간접적 영향은 상당할 수 있으며, 이러한 수준의 영향은 IT 산업 전반에 걸쳐 공통적으로 나타납니다. 몇 가지 데이터 포인트를 살펴보면, Splunk의 2023년 보안 상태 보고서에 따르면, 공격의 정교함이 설문에 응답한 38%의 가장 큰 도전 과제로 나타났으며, 28%는 높은 업무 부담 때문에 반응 모드에 갇혀 있습니다. IBM의 2023년 보안 침해 비용 보고서에 따르면, 데이터 유출의 평균 비용은 445만 달러로, 3년 동안 15% 증가했습니다. 이러한 통계는 공격의 정교함과 양, 보고된 취약점이 계속 증가하고 있음을 나타냅니다. 이와 함께 침해 및 재정적 영향의 위험도 증가하고 있습니다. 여기서의 해결책은 속도를 늦추는 것이 아니라 더 스마트하게 일하는 것입니다.

대부분의 기업은 지난 10년 동안 비즈니스 애플리케이션과 서비스를 하이브리드 클라우드로 현대화하고 이동시켜 더 빠르고 민첩하게 대응할 수 있도록 해왔습니다. 오늘날의 요구는 그 어느 때보다 큽니다. 이와 더불어, 제가 만나는 거의 모든 고객이 자신들의 환경 복잡성에 어려움을 겪고 있으며, 에지, AI 등과 같은 더 많은 기술이 추가됨에 따라 해결의 기미가 보이지 않습니다.

이것은 귀사의 전사적 AI 워크로드에 어떤 의미가 있을까요? 이제 귀사는 더 많은 하이브리드 인프라에서 대량의 데이터를 처리하고 있으며, 기술 인프라에 대한 높은 요구를 가진 AI 기반 애플리케이션을 실행하고 싶어합니다. 솔루션 관리가 자동화되지 않았다면, 이는 매우 도전적인 시나리오가 될 수 있으며, 수동 프로세스는 AI 솔루션 및 혁신의 진행 속도를 늦출 수 있습니다.

미션 크리티컬 워크로드에 대한 규정 준수 요구 사항을 충족하고 운영 일관성을 유지하세요 

이제 AI를 포함한 복잡한 환경에서도 비용을 통제하고, 위험을 줄이며, 민첩성을 유지하려면 내부 및 외부 정책에 맞춰 조정해야 합니다. 내부 및 외부 거버넌스, 위험 및 규정 준수(GRC) 관리가 필요하지만, 이를 자동화하는 것이 훨씬 더 스마트한 접근 방식이며, 민첩성을 유지하는 데 도움을 줄 것입니다.

종종 귀사의 미션 크리티컬 시스템은 조직의 수익을 창출하거나 생산성을 높이거나 프로세스를 통제하는 데 가장 큰 영향을 받습니다. 이들은 내부 및 외부 규정 준수 지침에 의해 가장 큰 영향을 받습니다. 이 시스템들은 안전하고, 성능이 뛰어나며, 감사 가능해야 하며, 위반이 적고 좋은 수정 프로세스를 가져야 합니다. 이 모든 것은 시간과 추가 작업 사이클이 필요하므로 모든 필수 요구 사항이 처리됩니다. 감사인과 평가자도 정보가 필요하며, 이는 중요한 애플리케이션을 구축하고 운영하는 과정에서도 더 많은 시간을 소모하게 됩니다. 최종 결과는 팀의 각 역할에 대한 불만과 개발에서 테스트, 생산에 이르는 속도와 효율성의 부족입니다.  

내부 및 외부 GRC 프로세스에 대해, 만약 다음과 같은 것을 할 수 있다면 어떨까요:

• 번거롭고 느린 수동 검증 프로세스를 자동화되고 원활한 확인으로 대체하여 조치를 취하기 전에 수행합니다.
• 빠르고 효율적인 자동화 프로세스를 통해 규정 준수를 확장합니다.
• 팀 전체가 주요 책임에 집중하고 프로세스에 대한 전반적인 만족도를 높일 수 있도록 간소화된 경험을 제공합니다.

정책을 코드로 자동화하는 것은 복잡성을 관리하고 위험을 줄이며, 비즈니스 이해관계자가 귀사의 팀에서 기대하는 속도와 민첩성으로 요구가 많은 AI 및 기타 애플리케이션을 운영하는 데 도움이 되는 모범 사례입니다. 자동화된 정책을 코드로 사용하면 하이브리드 클라우드 컴퓨팅에서 이루어진 발전을 유지하면서 전반적인 GRC 태세를 개선할 수 있습니다.

정책을 적용할 수 있는 예측 가능하고 원활한 기능을 갖추면, 기술 스택에 대한 신뢰가 높아지며, 운영에서 기술의 일관성이 향상됩니다. 기술 격차는 운영에 덜 영향을 미치게 되고, 인적 오류를 줄이는 데 도움을 줄 수 있습니다. 인적 오류는 종종 침해 및 문제의 원인입니다. 정책을 코드로 자동화하면 팀이 직면한 생산성 저하 문제를 해결하는 데 도움이 될 수 있습니다.

Lifecycle 전반에 걸쳐 정책을 코드로 자동화하세요

정책을 코드로 자동화하는 것은 설계상 검증 및 규정 준수 정책 검사를 원활하게 수행할 수 있는 더 나은 방법을 제공합니다. Red Hat Ansible Automation Platform은 고객이 속도, 효율성, 민첩성을 위해 IT 프로세스 내외부에서 자동화하는 데 사용하는 일반적인 자동화 플랫폼입니다. 이는 거의 모든 IT 프로세스를 자동화할 수 있는 매우 유연한 솔루션이며, 여기에는 정책을 코드로 자동화하는 것도 포함됩니다. 귀하의 팀은 자동화된 정책을 코드로 사용하여:

• 생성하기: 개발 주기 동안 정책 집행을 자동으로 확인하여 개발자가 규정 준수 개발 및 테스트 플랫폼을 원활하게 생성하고, 생산 환경 및 코드에 규정 준수를 처음부터 구축할 수 있도록 합니다. 팀이 시간 소모적인 회의나 수동 이중 확인 없이 모든 적용 가능한 정책을 적용할 수 있도록 합니다.  
   
• 관리하기: 필요에 따라 정책 집행을 통합합니다. 예를 들어, 자동화 작업이 실행되기 전 또는 후에 포함되는 재량 또는 의무 정책 확인을 추가합니다. 기술 스택의 기술이 규정 준수에서 벗어날 때 알림을 받고, 필요에 따라 자동으로 대응합니다. 클라우드 및 기타 기술 인스턴스가 구성 사양을 충족하도록 하여 비용을 통제하고 일관되며 신뢰할 수 있는 운영 환경을 보장합니다. 정책 변경에 영향을 받을 수 있는 인벤토리를 쉽게 식별한 후, 변경 사항을 자동으로 적용합니다.
   
• 확장하기: 보고 및 감사 관련 시스템으로의 출력을 자동화하여 보고와 관련된 전체 팀의 부담을 덜어줍니다.

정책을 코드로 자동화하려면 Ansible Playbooks에 정책을 포함하면 됩니다. 이는 수동으로 실행되거나 자동화 컨트롤러를 통해 실행될 수 있습니다. Event-Driven Ansible(Ansible Automation Platform의 일부)를 추가하면, 정책이 변화하고 귀하의 관측 또는 모니터링 도구가 이 변화를 감지하거나 귀하의 재량에 따라 이를 수정할 때, 엔드-투-엔드 응답을 자동화할 수 있습니다. 

정책을 코드로 완전 자동화하기 위한 준비

이 모든 것이 훌륭하게 들리지만, 대규모로 조직 전반에 걸쳐 어떻게 도달할 수 있을까요? 다음은 준비할 수 있는 몇 가지 방법입니다:

• 자동화 사용 확대. 귀하의 팀(네트워크, 클라우드, 인프라, 보안, 애플리케이션 개발, SRE 등) 중 몇 팀이 단일하고 일관된 자동화 플랫폼을 사용하고 있나요? 기업 차원에서 자동화 사용을 확대하면, 도메인 내외부에서 자동화할 수 있어 정책이 전체 기술 스택에 걸쳐 일치하도록 할 수 있습니다. 아이디어는 미션 크리티컬 워크로드나 애플리케이션을 위한 자동화된 정책을 코드로 구현할 수 있도록 자동화를 확장하는 것입니다. 
• “코드로서의 자동화” 모델로 모듈화 및 중앙 집중화. 귀하의 정책이 공급업체에 구애받지 않는 방식으로 작성되어 특정 공급업체 솔루션에 중앙 집중화되거나 Ansible Playbooks 또는 Ansible Rulebooks에 포함될 수 있나요? 일관되게 사용하고자 하는 표준 구성 파일, 플레이북 및 기타 자동화 자산을 저장할 중앙 저장소를 식별합니다. 이는 인프라 코드 및/또는 구성 코드 모델로, 정책을 코드로 자동화하기 위해 더 많은 조직을 제공합니다.
• 자동화된 규정 준수 필요성을 평가하고 팀을 정렬하기. 충족해야 할 중요한 규정 준수 및 보안 요구 사항을 식별한 후, 주요 이정표 및 목표를 포함한 로드맵을 설정합니다. 팀을 모아 목표, 이점, 역할 및 책임에 대한 공통의 이해를 만듭니다. 운영을 준비하고 모든 정책이 배포 워크플로우에서 사용되기 전에 구현되고 테스트됩니다.
• 모니터링 및 집행을 미리 생각하기. 중요한 애플리케이션과 워크로드가 라이브 상태가 되면, 정책 위반을 모니터링하고 대응하는 방법을 결정합니다. 한 가지 옵션은 이벤트 기반 자동화를 사용하여 보안 위험이나 위험을 초래하는 변경된 구성을 수동 개입 없이 즉시 대응하는 것입니다. 
• 자동화 커뮤니티의 리더 지정하기. Red Hat은 자동화 사용을 확대하고 성장시키기 위한 접근 방식을 수년간 추천해 왔습니다. 이 리더는 일반적인 자동화를 다루고, 자동화된 정책을 코드로 구현하기 위한 자동화 작업을 시작하는 데 도움을 줄 수 있습니다. Automation Architect’s Handbook는 내부 커뮤니티를 조직하는 데 도움이 되는 몇 가지 아이디어를 제공합니다. 

정책을 코드로 시작하기: 작게 시작하고 크게 생각하기.

여러분의 여정이 어디에 있든, 자동화된 정책을 코드로 구현하는 것은 GRC에 도움이 될 수 있습니다. 규정 준수는 애플리케이션을 지원하는 전체 기술 스택을 포함해야 하므로, 자동화를 확장하고 단일 진실 소스에서 자동화하는 지점에 도달하는 것을 생각해 보십시오. 이 지점에 도달하지 못하더라도 여전히 정책을 자동화할 수 있지만, 이는 더 내부적인 성격을 가질 가능성이 높습니다(예: 특정 버전의 리눅스가 귀하의 환경에서 실행되기 위해 특정 보안 정책을 적용해야 함).

Red Hat의 전반적인 접근 방식은 간단한 사용 사례에서 시작하여 그 범위와 정교함을 확장하는 것입니다. 정책을 코드로 구현할 수 있는 방법은 이와 같습니다. 예를 들어, 귀하의 사용 사례는 다음과 같을 수 있습니다.

• 특정 정책에 맞지 않는 시스템에 대한 인벤토리 보고서 수집
• 특정 포트에서만 방화벽을 열 수 있는 런타임 정책 적용
• 클라우드 비용을 통제하기 위해 특정 크기보다 큰 클라우드 인스턴스 생성 금지
• 지정된 서버에서 변경 사항을 자동화하려면 서버가 유지보수 기간에 있어야 함

정책을 코드로 하는 간단한 사용 사례를 구현할 수 있게 되면, 더 많은 수와 더 정교한 사용 사례로 확장할 수 있습니다.  

이제 자동화된 정책을 코드로 하는 Red Hat의 관점을 배웠으니, 이 영역에 대한 고려와 지루하고 시간이 많이 소모되는 프로세스를 완화하는 데 어떻게 활용할 수 있을지 생각해 보시기 바랍니다. 마지막으로, Ansible Automation Platform은 매우 유연하다는 점을 상기시켜 드립니다. 구현하고자 하는 사항을 아는 순간, 이 플랫폼은 정책을 코드로 하는 것과 관련하여 원하는 작업을 수행하는 데 뛰어납니다. 정책을 코드로 하는 것이 귀하의 라이프사이클 전반에 걸쳐 더 쉽고 스마트한 작업 방식이 되는 날이 곧 올 것입니다.