클라우드 시큐리티 과정 3기 - 1회차 DevSecOps 기초

안녕하세요. Twodragon입니다. 

클라우드 시큐리티 과정 3기 강의를 시작하게 되었고, 게더 타운(Gather Town)에서 진행되는 일정을 소개 드리려고 합니다.

 

 

먼저 게더 타운 진행 스케줄은 총 2시간(20분 진행, 5분 휴식)으로 다음과 같습니다.

온라인 강의 특성 상 눈의 피로 또는 학생분들의 높은 집중력을 위해 20분씩 진행하고 5분 휴식을 취하고 있습니다. 

---

10:00 - 10:20 = 근황 토크 & 과제 피드백

10:25 - 10:45 = 클라우드 소개

10:50 - 11:10 = 클라우드 & 보안

11:15 - 11:35 = 각 클라우드 비교 정리 & 실무 환경

11:40 - 12:00 = 2회차 과정 이해를 위한 필수적인 실습

---

 

1. 근황 토크 & 과제 피드백

- 한 주간의 근황 토크

- Slack 초대장 수락 완료 했는지?

- 현재 온라인 앱 사용에 어려움이 있는지?

- 과제 피드백

- 과제는 어떠셨는지?

 

 

- 현재 클라우드 보안에서 이슈가 되고 있는 사항 (KRCERT 또는 기사를 통해 얻은 참고자료)

 * Atlassian 제품 취약점 보안 업데이트 권고 : Bitbucket Server 및 Data Center 제품에서 발생하는 명령어 삽입 취약점 (CVE-2022-43781) 또는 Crowd Server 및 Data Center 제품에서 발생하는 잘못된 보안 구성 취약점 (CVE-2022-43782)

 * Samba 취약점 보안 업데이트 권고 : Samba 소프트웨어에서 발생하는 취약점을 해결한 보안 업데이트를 발표
  ※ Samba : SMB/CIFS 프로토콜을 통해 Linux/Unix 서버의 파일, 프린터 등 공유 기능을 제공하는 오픈소스

 

2. 클라우드 소개

Q-1) 클라우드란 무엇인지?  

Q-2) 각자 데이터센터 & 클라우드 경험담 소개해줄 수 있는지?

Q-3) 무엇을 하기 위해 클라우드 시큐리티 과정을 듣는 것인지? (이직 또는 연봉 상승? 등 구체적인 목표)

 

1) OT에서 Q&A 또는 이야기했던 내용 정리

- https://twodragon.tistory.com/591

클라우드 시큐리티 과정 3기 온라인 강의 (2022년 ~ )

 

2) 각종 보안 정보 및 기사의 중요성

가트너(Gartner)/CIO 코리아/보안뉴스 꼭 봐야하는 이유는 레거시 보다 클라우드 쪽 투자가 활발한 기사를 확인하며, 전체적인 흐름을 읽을 수 있기 때문입니다. 또한, 각 기업에서 보안뉴스 또는 데일리시큐 기사를 크롤링하여 중요한 소프트웨어 업데이트를 확인하기도 하며, 각종 이슈에 대한 대응 또는 참고자료로 많이 사용하기도 합니다. 

https://www.ciokorea.com/news/265006

‘데알못’도 알기 쉬운 데브옵스 기본기 다지기

미국 국방성 펜타곤 자료 = https://software.af.mil/dsop/

DSOP | Office of the Chief Software Officer, U.S Air Force

- https://software.af.mil/wp-content/uploads/2019/12/DoD-Enterprise-DevSecOps-Initiative-Keynote-v1.7.pdf

 

3) 워터폴 – 애자일 구분

워터폴 프로젝트는 제조 회사 기준으로 위에서 아래 방식으로 수직적 문화구조이며, 비용 또는 성과 중심의 문화가 형성되며 효율성을 강조하는 방식입니다. 하지만, 애자일 프로젝트는 여러 프로젝트를 동시에 진행하여 잘되는 것 하나만 집중하는 방식으로 변경되고 그 외 다시 잘되는 프로젝트를 실행시킵니다. 그리고, 데이터 중심의 문화가 형성되어 수평적 문화구조가 형성됩니다.

 

 https://www.youtube.com/watch?v=gewUUXKVAI0&t=9723s

 

4) 모놀로식에서 마이크로서비스 아키텍처로 전환

최근 유명 회사에서는 개발하는 계층을 더더욱 쪼개는 방식으로 마이크로서비스 아키텍처(MSA)로 개발을 진행하고 있습니다. 각각 광고, 배너, 사이트 전부 나누어 프로젝트로 진행하고 서로 협력하여 소통하도록 합니다. 

 

3. 클라우드 & 보안

- https://twodragon.tistory.com/577

클라우드 시큐리티 과정 2기 - 1주차 클라우드 서비스 기초

- 온프라미스 -> IDC (데이터센터) -> 클라우드 -> ?

Q-4) 과거부터 현재까지 위와 같이 변해 왔지만 앞으로 어떻게 변할 것인가?

 

1) 클라우드 시장

2020년 기준 국내 클라우드 사용률은 13%이며, OECD 평균 30.6% 입니다. 또한, 2020년 Q2분기 Synergy Research Group에 따르면 클라우드 마켓 쉐어 비중은 AWS 33%, Azure 18%, GCP 9%, Alibaba 7%, IBM 5% 등 입니다. 

 

2) 각 클라우드 비교

- 각 클라우드 비교 정리 = https://twodragon.tistory.com/557

AWS, Azure, GCP 서비스 용어 및 보안 정책 정리

- 투드래곤 (클라우드 시큐리티 과정 2기 - 2주차 클라우드 서비스 비교 및 AWS 심화) (tistory.com)

클라우드 시큐리티 과정 2기 - 2주차 클라우드 서비스 비교 및 AWS 심화

 

4. 2회차 과정 이해를 위한 필수적인 실습

- 다음 주차 AWS 기술 실행 하기 전에 알아야 될 것을 명확하게 안내

1. AWS EC2, AWS S3 동영상 시청 후 실습 구성하기 : EC2 인스턴스 타입 - Amazon Web Services (opentutorials.org)
2. AWS 실습 구성 시 자세한 자료 : PYRASIS.COM: 아마존 웹 서비스를 다루는 기술: 실무에서 필요한 AWS 클라우드의 모든 것!

- AWS 2019 아키텍처 소개 : https://youtu.be/6zb-bs_mmFo
- AWS 2017 아키텍처 소개 : https://youtu.be/HI0fPiZpniY
- AWS 보안을 위한 GuardDuty 유형 : 결과 유형 - Amazon GuardDuty

- Azure 서비스 사례 = https://azure.microsoft.com/ko-kr/resources/customer-stories/

 

참고자료

투드래곤 (클라우드 보안 온라인 강의 시작 (2021년 07월 24일 ~ 10월 3일)) (tistory.com)