기술 가이드

지속적 IT 보안을 위한 가이드

IT 및 사이버 보안은 지속적으로 유지되고 통합되어야 합니다. 그러면 어떻게 보안을 실현할까요? Red Hat에서 몇 가지 서비스를 제공하긴 하지만, 이러한 과정이 개별적이거나 순차적인 단계로 이루어지는 것은 아닙니다. 서로 연결된 일련의 장비들이 있다고 생각해봅시다. 하나의 장비가 돌아가면 다른 장비들도 돌아가게 됩니다. 보안 계획의 각 부분도 이렇게 맞물려 진행되어야 하는 것입니다.

Security guide diagram

설계

보안은 설계에서부터 시작

팀 전체에서 협업과 책임이 강화된 프로세스를 사용하는 워크플로우를 설계하여 IT 라이프사이클로 보안을 정의하고 구현합니다. 긴밀하게 연결된 환경(예: 클라우드)을 기반으로 한 기술을 사용 중인 경우, 일부 제어 기능을 제3사에서 관리할 수도 있습니다.

팀에서 논의해야 할 몇 가지 문제: 조직의 환경에 어떤 종류의 보안 제어 및 프로세스가 필요한가? 벤더와 어떻게 협업하고 있는가? 팀들 간 중요한 보안 관련 의사 결정을 어떻게 공유하는가?

Design phase of security

시작하기:

  • 보안 제어 기능 및 요건 정의
  • 협업을 통해 보안 프로세스 개발
  • 보안 표준을 항상 최신 상태로 유지
  • 사고 발생 시 즉각적으로 보안 솔루션이 IT 라이프사이클 전반에서 구현되도록 확실한 커뮤니케이션 방법 마련
  • 신뢰하는 벤더를 선택하고 이들의 책임 범위를 규정

빌드

자동화를 통한 보안 구축

DevOps는 자동화를 사용하여 모든 애플리케이션 라이프사이클의 전체 단계에서 지속적인 피드백 루프(feedback loop)를 실행합니다. “내장형(built-in) 보안 구축”은 DevOps 비즈니스가 아닌 경우라 하더라도 이러한 방식을 응용합니다. 보안 검사 및 프로세스 자동화에는 몇 가지 이점이 있습니다. 중복을 방지하고 인적 오류를 줄여주며, 의사 결정을 위한 중앙 집중식 대시보드를 제공하고, 위협 탐지 및 대응 프로세스를 보다 신속하게 만들어 줍니다. 자동화를 사용하여 보안 게이트를 구축할 수 있으므로, 보안 검사가 실패하더라도 자동으로 배포를 방지할 수 있습니다.

그러나 허위 경보와 내부 위협도 발생합니다. 팀의 구체적인 요구 사항을 해결하려면 자동화 관리가 이루어져야 합니다. 인프라, 애플리케이션 및 프로세스에 보안을 구축하여, 무단 변경 및 액세스를 방지하기 위한 제어 기능을 사용할 수 있는지 확인하십시오. 가능한 경우에는 언제나 암호화 기능을 사용합니다.

Build phase of security

시작하기:

  • 보안 테스팅을 빌드 및 배포 프로세스에 통합 및 자동화
  • 보안 게이트를 사용하여 배포 또는 배포 방지와 같은 적절한 작업을 트리거합니다.
  • 암호화 알고리즘 및 인터페이스 사용
  • 로깅 및 모니터링 기능을 갖춘 인프라 선택

실행

보안이 강화된 플랫폼에서 실행

수동 프로세스를 이용하는 전통적인 보안 모델은 클라우드와 같은 새로운 분산형 기술을 필요로 하는 보안 방식과 호환되지 않습니다. 그러한 보안 방식을 지원하는 기술과 툴 및 프로세스는 자동화에 상당 부분 의존합니다. 물리, 가상 프라이빗 또는 퍼블릭 클라우드를 사용하는 경우, 보호 및 보안 기능이 강화된 플랫폼(모든 환경 전체에 공통)이 인프라에 임베딩되도록 하십시오.

Run phase of security

시작하기:

  • 보안 테스팅을 빌드 및 배포 프로세스에 통합 및 자동화
  • 아키텍처 전체에서 일관되게 통합되고 사용 가능하며 다양한 프로세스에 맞춰 수정 가능한 인프라 플랫폼

관리

설정, 사용자 및 액세스 관리

보안 설정 변경, 감사 및 문제 해결 자동화를 처리하는 관리 툴에 투자해야 합니다. 구체적인 보안 요구 사항에 따라 조기에 역할을 할당하면 복원력 있는 보안 환경을 지원할 수 있습니다. 작업하는 데 권한(privilege)이 필요한 사용자에게만 권한이 할당되도록 합니다. 신규 직원이 입사하면 이런 과정을 거치게 되지만, 주기적으로 사용자 데이터를 업데이트하고, 이들이 퇴사하면 다시 한번 업데이트해야 합니다.

유의해야 할 몇 가지 고려사항: 사고를 분석하고 완화하기 위한 툴을 갖추고 있습니까? 워크로드 전반에서 보안 및 규정 준수 정책을 자동으로 적용 및 감사하고 문제를 해결하기 위해 자동화를 어떻게 사용하실 계획입니까?

Manage phase of security

시작하기:

  • 자산 카탈로그를 최신으로 유지하고 액세스 및 사용량 모니터링
  • 물리, 가상, 프라이빗 및 퍼블릭 클라우드 등 모든 인프라에 적용되는 지속적인 사전 예방적 보안을 위한 관리 솔루션 배포
  • IT 라이프사이클의 모든 부분을 추적할 수 있는 대시보드로 사용자 및 액세스를 적극 관리
  • 필요한 보안 제어 기능으로 보안 프로필 정의
  • 이러한 보안 프로필에 대해 규정 준수 자동화
  • 인프라 및 보안을 코드로 관리(이를 통해 반복, 공유 및 검증이 가능한 인프라를 구축할 수 있으며 규정 준수 감사를 간편하게 수행할 수 있음)

조정

변화하는 환경에 맞춰 조정

보안 환경이 빠르게 변하고 있습니다. 따라서 거버넌스 및 감사 요건 변화에 발맞춰 주기적으로 계획을 수정해야 합니다. 보안 경고 및 권고 위치를 파악하고 해당 정보를 사용해 조정합니다. 그러나 보안 계획을 철저히 세웠다 하더라도 주기적으로 새롭게 나타나는 어택 벡터(attack vector)를 모두 방어할 수는 없습니다. 보안 위협에 신속히 대응하는 것은 비즈니스 보호에 매우 중요합니다. 비즈니스 정상화를 위해서는 패치, 수정, 복구를 안내해 주는 파트너가 반드시 있어야 합니다.

Adapt phase of security

시작하기:

  • 조정을 위해 분석 및 자동화 기능 사용: 환경 변화에 따라 수정, 업데이트, 문제 해결
  • 역할 및 업무 변화에 따라 액세스 설정 업데이트
  • 거버넌스 및 감사 요건에 맞춰 대응
  • 환경 변화에 따라 정책 및 거버넌스 수정 및 업데이트

보안 리소스

개발자

Red Hat Developer 프로그램

Red Hat Developer 프로그램으로 보안 프로그래밍에 대해 자세히 알아보세요.

교육

Red Hat Security: Linux in Physical, Virtual, and Cloud(RH415)

Red Hat 보안 기술을 사용하여 보안 위험을 관리하고 규정 준수 요구 사항을 충족하세요.

지원

기술 계정 관리

위험을 평가하고 지원 가능성을 검사하는 기술 자문가와 협업하세요.

Red Hat의 보안 방식에 대해 자세히 알아보기