IaC(Infrastructure as Code) 보안

Terraform, CloudFormation, ARM, Kubernetes 및 기타 IaC 템플릿에서 구성 오류를 찾아서 수정

무료로 시작하기

IaC(Infrastructure as Code)를 사용하는 엔지니어는 DevOps 프로세스를 사용하면서 인프라의 버전을 관리하고 인프라를 구축 및 개선할 수 있습니다. 이는 또한 클라우드 인프라의 태세를 미리 개선하고 보안팀과 운영팀의 부담을 덜 기회이기도 합니다.

클라우드 보안의 원점 회귀에 대해 자세히 알아보기

데모 예약

자동화된 IaC(Infrastructure as Code) 보안

Prisma Cloud의 오픈 소스 기반 Bridgecrew는 배포 수명 주기 전체에서 IaC 템플릿을 스캔해 구성 오류를 찾아내고, 통합 개발 환경, 지속적 통합 도구, 리포지토리, 런타임 환경에 보안을 내장합니다. Bridgecrew는 자동화를 통해 초기에 코드형 정책을 적용함으로써, 구성 오류가 구축되는 것을 막고 자동화된 수정을 제공합니다.

지속적 거버넌스를 통해 코드로 정책 적용
DevOps 워크플로 및 툴링에 내장
풀 요청을 통해 자동 구성 오류 수정

PRISMA CLOUD의 BRIDGECREW 솔루션

Palo Alto Networks의 IaC 보안 접근 방식

커뮤니티의 지원

Bridgecrew는 오픈 소스 프로젝트인 Checkov에 기반합니다. Checkov는 코드형 정책 도구로, IaC 템플릿(예: Terraform, CloudFormation, Kubernetes, Helm, ARM 템플릿 및 서버리스 프레임워크)에서 구성 오류를 검사하는 다운로드가 수백만 개 존재합니다. 사용자는 수백 가지 기본 정책을 활용하고 사용자 정의 규칙을 추가할 수 있습니다. Bridgecrew는 단순화된 사용자 환경과 엔터프라이즈 기능으로 Checkov를 강화합니다.

정책 구성 오류 검사
Checkov는 벤치마크(예: CIS)를 기반으로 한 수백 가지 기본 정책과 커뮤니티에서 제공한 검사로 IaC 템플릿을 확인합니다.
컨텍스트 인식 정책 활용
Checkov의 정책에는 그래프 기반 검사가 포함됩니다. 이 검사는 복잡한 정책에 대한 리소스 관계를 여러 단계로 나눌 수 있습니다(예: 인터넷과 연결된 리소스는 더 높은 심각도 수준 부여).
기능 및 통합 확장
Checkov는 확장이 가능하도록 설계되었습니다. 사용자 지정 정책과 태그를 추가하는 기능이 있으며, CLI는 지속적인 통합과 다른 DevOps 도구를 추가할 수 있습니다.
Bridgecrew와 통합하여 기능 확장
Bridgecrew는 Checkov의 오픈 소스 기능을 Bridgecrew로 강화하여 스캔 기록, 추가적인 통합, 자동 수정 사항 등을 제공합니다.

Checkov에 대해 자세히 알아보기

파이프라인에 IaC 통합

개발자를 복구 업데이트에 포함시키는 것이 문제를 수정하는 가장 빠른 방법입니다. Bridgecrew는 일반적으로 사용하는 DevOps(예: 통합 개발 환경(IDE), 지속적 통합(CI) 도구, 버전 관리 시스템(VCS))에 직접 피드백을 제공합니다. 추가적인 집계와 보고는 Bridgecrew 플랫폼에서 제공됩니다.

개발 수명 주기 전체적으로 빠른 피드백 제공
Bridgecrew는 IDE, CI 도구 및 VCS와 통합되어 개발자가 이미 사용 중인 도구에 피드백과 가드레일을 제공합니다.
코드 검토 주석으로 수정 사항 지원
기본적으로 통합된 VCS에서 구성 오류가 발견되어 새로운 풀 요청을 보낼 때마다 코드 주석을 생성하여 훨씬 쉽게 구성 오류를 찾아서 수정합니다.
한 곳에서 모든 코드 구성 오류 확인
Bridgecrew는 스캔된 리포지토리의 모든 구성 오류를 한곳에 모아서 볼 수 있습니다. 코드 블록과 소유자를 검색하기 위한 필터링과 검색 기능도 제공합니다.
DevOps 워크플로에 복구 업데이트 작업 내장
협업 및 티케팅 도구와 통합하면 티켓과 알림을 생성해 적절한 팀이 DevOps 작업에 복구 업데이트를 추가하도록 알릴 수 있습니다.

자세히 알아보기

컨텍스트를 인식하는 실천 가능한 피드백

개발자가 마감 기한에 맞춰서 최대한 빠르게 움직이는 동안 설명 없이 정책 위반을 알리면 불만만 일으킬 뿐입니다. Bridgecrew는 모든 정책에 가이드라인을 제공하고 대부분 정책의 복구 업데이트를 자동화하여 구성 오류를 수정하기 위한 자세한 정보를 제공합니다.

컨텍스트 인식 가시성 및 정책
Bridgecrew는 리소스와 의존성에 대한 정책 위반을 표시하며, 정책은 컨텍스트에 따라 표시하여(예: 인터넷에 노출된 위반 사항은 더 높은 심각도 설정) 우선순위 설정에 도움을 제공합니다.
실천 가능한 지침 제공
각 정책 위반은 문제를 복구 업데이트하기 위한 지침과 구성 오류에 대한 실천 가능한 가이드라인을 제공합니다.
클라우드를 코드까지 추적해 코드 소유자가 빠르게 복구 업데이트하도록 지원
클라우드 리소스는 코드 수정 도구로 IaC 템플릿을 추적하고, 문제를 빠르게 복구 업데이트하기에 적절한 리소스와 팀을 찾아냅니다.
GitOps 워크플로 지원
클라우드 구성 오류를 코드까지 추적하면 런타임에서 코드로 수정할 문제를 찾아내고, IaC 템플릿의 확장성과 감사 기능의 장점을 그대로 유지할 수 있습니다.

자세히 알아보기

가드레일 강화 및 드리프트 예방

개발자는 기능을 제공해야 한다는 압박 속에서 가장 저항이 적은 경로를 따라갑니다. 마찬가지로, 인시던트 엔지니어가 클라우드 환경에서 급하게 문제를 해결할 때는 IaC 템플릿의 동기화를 놓칠 수 있습니다. 가드레일을 활용하고 드리프트를 탐지하여 IaC(Infrastructure as Code)를 검사하고 코드로 구성 오류를 유지하기 위한 GitOps의 모범 사례를 적용하는 안전하고 효율적인 파이프라인을 생성합니다.

심각한 구성 오류는 리포지토리에 추가, 구축되지 못하도록 차단
CI 도구와 통합하면 잘못 구성된 코드가 리포지토리나 구축 프로세스에 들어가지 못하게 차단하는 하드 페일이 가능합니다.
빌드 차단을 위한 사용자 지정 수준 설정
하드 페일 정책은 리포지토리별로 설정할 수 있으며, 정책 제외 및 리소스 억제 건별로도 가능합니다.
사용자 지정 정책으로 정책 세트 확장
Python, YAML 또는 UI 정책 편집기를 사용하여 사용자 지정 정책을 추가하고, 다수의 리소스, 그래프 기반 정책을 포함한 조직별 정책을 적용합니다.
실패한 구축에 대한 실천 가능한 정보 제공
모든 스캔에는 코드 검토가 포함됩니다. 여기에는 구성 오류 목록과 문제를 복구 업데이트하기 위한 가이드라인, 풀 요청에서 확인된 문제의 자동 수정 등이 포함됩니다.
드리프트 탐지 및 복구 업데이트
Bridgecrew는 런타임 구성과 IaC 템플릿을 비교하여 클라우드 환경에 직접 적용한 변경 사항을 찾아내고 클라우드 구성을 코드와 소유자까지 추적해 코드와 클라우드를 동기화합니다.

자세히 알아보기

규정 준수 벤치마크

개발 단계에서 규정 준수를 시작합니다. Bridgecrew와 Checkov를 지원하는 커뮤니티는 자주 사용하는 벤치마크를 IaC 템플릿에 매핑하여 구축 전에 클라우드 인프라에서 규정 준수 문제를 검사하도록 했습니다.

CIS Benchmarks 위반 검사
Center for Internet Security(CIS) 벤치마크를 기준으로 IaC 구성을 지속적으로 감사
리소스 구성과 다른 일반적인 벤치마크 비교
IaC 구성을 SOC2, HIPAA, PCI-DSS 등의 요구사항과 비교하여 벤치마킹합니다.
리소스 기록에 따라 감사 추적 유지
문제를 일으켜 복구 업데이트한 IaC 리소스의 구성 변경 기록을 검토합니다.
각 프레임워크에 대해 보고서 내보내기
벤치마크 결과를 작성한 보고서를 서식이 지정된 PDF로 내보내 내부 검토를 받거나 외부 감사를 받습니다.

자세히 알아보기