소프트웨어 공급망 보안

소프트웨어 구성 요소 및 전달 파이프라인 전체에 대한 완전한 가시성과 정책 시행을 통해 소프트웨어 공급망을 보호합니다.

무료 평가판 요청

클라우드 네이티브 개발은 소프트웨어 공급망에 의존하여 개발자 생산성을 높이고 새로운 기능의 평균 출시 시간을 단축합니다. 그러나 소프트웨어 공급망은 타사 소프트웨어와 툴링을 개발자 워크플로에 통합하기 때문에 고유한 리스크와 복잡성을 초래합니다. 보안팀은 선제적으로 가드레일을 설정하여 위협으로부터 소프트웨어 공급망을 보호하고 이러한 가드레일이 개발자 민첩성을 저해하지 않도록 해야 합니다.

소프트웨어 공급망 리스크에 대한 Unit 42의 최신 연구를 읽어보세요.

보고서 다운로드

공격의 원인으로 이어지는 안전하지 않은 타사 구성 요소

코드형 인프라(IaC) 템플릿, 패키지 및 컨테이너 이미지와 같은 타사 오픈 소스 구성 요소는 개발자 생산성을 대폭 향상하는 데 도움이 되지만 취약해지기 쉬우며 기본적으로 안전하지 않습니다.

취약점 및 구성 오류에 대한 지속적이고 선제적인 가시성이 없다면 개발자가 애플리케이션에 안전하지 않은 구성 요소를 사용할 가능성이 높아지면서 번잡한 알림과 런타임 약점을 모두 유발하여 공격자가 소프트웨어 공급망 공격에 이를 악용할 수 있습니다.

공격자의 진입점을 제공하는 약한 파이프라인

VCS 리포지토리 및 CI/CD 파이프라인을 통해 클라우드 네이티브 팀은 릴리스 속도를 극대화할 수 있습니다. 그러나 VCS 구성과 CI/CD 워크플로는 기본적으로 허용적이며 무분별한 푸시, 코드 주입 또는 포이즈닝 공격에 대한 보호 기능이 부족합니다. 약한 구성으로 인해 공격자는 독점 코드와 미션 크리티컬 시스템에 액세스할 수 있습니다. 권한 액세스를 통해 공격자는 다른 약한 소프트웨어 구성 요소를 사용하여 데이터를 유출하고 악성 코드를 주입하거나 피벗할 수 있습니다.

자동화된 공급망 커버리지 없이는 조직이 모든 리포지토리, 레지스트리 및 파이프라인이 잠겨 있는지 여부를 보장하기 어려워집니다.

코드부터 클라우드까지 모든 자산을 추적하는 것은 어려운 일

클라우드 네이티브 소프트웨어 공급망은 끊임없이 변화하며 상호 연결된 시스템으로, 공급망 전체의 완전한 가시성을 유지하기란 쉽지 않습니다. 포인트 솔루션은 개발 수명 주기 전체의 리소스, 패키지, 취약점 및 구성 오류를 추적하는 데 필요한 원활한 코드 투 클라우드 커버리지를 제공하지 않습니다.

클라우드 네이티브 스택과 개발 수명 주기 전체에 대한 컨텍스트 인식 커버리지가 없다면 노출 및 실시간 리스크를 기준으로 보안 문제에 우선순위를 두기 어려워집니다.

타사 구성 요소 및 전달 파이프라인 보안

Prisma Cloud는 코드, 리소스에서 전달 파이프라인까지 소프트웨어 공급망의 모든 구성 요소에 대한 가시성은 물론 보안 구성을 지속적으로 적용할 수 있는 기능을 조직에 제공합니다. 네이티브 개발자 통합과 결합된 Prisma Cloud의 신뢰할 수 있는 업계 최고의 데이터 소스를 통해 모든 타사 공급망 리스크를 다음과 같이 쉽게 관리하고 완화할 수 있습니다.

소프트웨어 구성 요소 및 전달 파이프라인 리스크의 시각화
개발자 도구 및 워크플로에 통합
동급 최고의 구성 오류 및 취약점 스캔 엔진

PRISMA CLOUD 솔루션

공급망 보안에 대한 당사의 접근 방식

통합된 공급망 커버리지 및 시각화

Prisma Cloud의 공급망 그래프를 통해 조직은 공급망에 대한 각 구성 요소를 시각화하고 모든 관련 리스크를 파악할 수 있습니다. Prisma Cloud의 공급망 그래프는 조직의 모든 코드 및 파이프라인 구성요소를 보안 태세 데이터의 오버레이로 보강된 하나의 시각화로 인벤토리를 구성하여 조직의 애플리케이션 및 인프라 자산 종속성을 완벽하게 시각적으로 표현합니다. 조직은 이러한 인사이트를 사용하여 공급망 전체의 리스크에 대한 우선순위를 지정하고 리소스를 더 효과적으로 구축하여 익스플로잇 가능성이 가장 높은 문제를 복구 업데이트합니다.

소프트웨어 공급망 가시성 및 목록 작성
공급망 그래프는 조직의 전달 파이프라인 및 코드 구성 요소에 대한 통합 인벤토리를 제공합니다. 조직은 모든 연결을 시각화하여 공급망의 공격 표면에 반드시 필요한 가시성을 확보합니다. 그런 다음, 이러한 결과를 바탕으로 Prisma Cloud의 대량 풀 요청 수정 기능 활용과 같은 조치를 취합니다. 이 기능을 통해 여러 위반에 대한 자동 수정을 한 번에 적용할 수 있는 단일 풀 요청을 생성할 수 있습니다.
컨텍스트 인식 소프트웨어 구성 분석(SCA)
Prisma Cloud는 제한 없는 종속성 트리 스캔과 세분화된 버전 범프 수정을 통한 오픈 소스 패키지 스캔을 지원합니다. 인프라의 구성 오류와 함께 취약점 결과를 오버레이하고 개발자 도구에 포함시켜 Prisma Cloud의 SCA로 개발자의 역량을 강화함으로써 더 빠르게 오픈 소스 리스크의 우선순위를 지정하고 복구 업데이트할 수 있도록 합니다.
업계 최고의 IaC 보안
시중에서 가장 강력한 오픈 소스 코드형 정책 엔진인 Checkov의 지원을 받는 Prisma Cloud는 수천 가지의 정책을 갖추고 클라우드 보안 모범 사례를 선제적으로 적용합니다. Prisma Cloud는 개발 수명 주기에서 클라우드 보안 문제를 조기에 표면화하고 코드 수정을 제공하여 안전한 인프라 코드만 구축되도록 합니다.

자세히 알아보기

안전한 리포지토리 및 레지스트리

클라우드 네이티브 코드 베이스의 점점 증가하는 복잡성을 지원하기 위해 조직은 코드 저장, 버전 및 관리를 위해 타사 시스템에 크게 의존합니다. GitHub, GitLab 또는 Bitbucket과 같은 버전 제어 시스템(VCS)은 관리 코드를 지원해야 하며 여기에는 독점 코드와 중요한 시스템이 포함되기 때문에 이 또한 반드시 보안의 대상이 되어야 합니다. 또한 DockerHub와 같은 이미지 레지스트리는 컨테이너 이미지를 저장하고 즉시 액세스할 수 있도록 지원하는 데 중요하지만 적절한 보호 기능을 갖추고 있지 않으면 역시 취약점이나 악성 이미지를 초래할 수 있습니다. Prisma Cloud는 SLSA 및 CIS 벤치마크에서 정의한 보안 모범 사례를 최신 상태로 유지하기 위해 VCS 조직 설정을 지속적으로 평가하는 정책을 갖추고 있습니다.

VCS 조직 설정의 자동 스캔
빠르게 변화하는 환경에서는 VCS 조직 설정을 간과하거나 모든 코드 요소가 안전하다고 가정하기 쉽습니다. Prisma Cloud에는 SSO(Single Sign-On) 및 2단계 인증(2FA)과 같은 VCS 모범 사례가 지속적으로 적용되어 계정 탈취를 방지하는 정책이 포함되어 있습니다.
VCS 리포지토리 설정 스캔
보다 심층적인 VCS 보안을 위해 Prisma Cloud는 팀이 지사 보호 규칙을 쉽게 적용할 수 있도록 하여 악성 코드 주입 및 기타 무단 또는 의심스러운 활동을 예방합니다. VCS 리포지토리 설정을 지속적으로 스캔하고 일관되게 적용된 지사 보호 규칙을 유지하기 위한 정책을 사용하여 팀은 VCS 리포지토리의 안전을 보장하고 적절한 검토 후에만 코드가 병합되도록 할 수 있습니다.
지속적인 레지스트리 보안 및 신뢰할 수 있는 이미지
컨테이너 레지스트리는 컨테이저 이미지의 저장과 전달을 간소화하지만 클라우드 네이티브 팀이 이미지 포이즈닝이나 안전하지 않은 이미지 구축을 예방하기 위해 해결해야 하는 고유의 보안 고려 사항이 있습니다. Prisma Cloud는 컨테이너 레지스트리를 지속적으로 스캔 및 모니터링하여 취약하거나 신뢰할 수 없는 이미지가 구축되지 않도록 차단하는 동시에 팀이 세분화된 배포 규칙을 설정하여 특정 취약점 및 규정 준수 문제를 알리거나 예방하도록 지원합니다.

안전한 CI/CD 파이프라인

클라우드 네이티브 팀이 릴리스 속도를 유지하기 위해 노력하기 때문에 CI/CD 파이프라인은 매우 중요합니다. 그러나 이러한 파이프라인은 기본적으로 안전하지 않으며, 악성 행위자가 CI/CD의 약점을 자주 이용하여 공급망 공격을 시도합니다. Prisma Cloud의 정책 라이브러리에는 CI/CD 모범 사례가 포함되어 있어 조직이 해당 파이프라인에서 지원하는 동일한 자동화를 활용하여 파이프라인 보안을 지속적으로 평가할 수 있습니다.

코드 주입 및 포이즈닝을 예방하는 가드레일 설정
Prisma Cloud의 기본 CI/CD 정책을 통해 조직은 가드레일의 생성 및 적용을 자동화하여 안전하지 않은 명령이나 베타 기능의 사용을 차단하는 등의 작업을 수행할 수 있습니다.
하드 코딩된 암호를 찾아 제거
IaC 템플릿이나 CI/CD 구성 파일에 암호를 하드 코딩하지 않는 것이 가장 좋지만, 팀이 빠르게 움직이다 보면 이런 경우가 종종 발생하게 됩니다. Prisma Cloud의 암호 스캔을 사용하면 하드 코딩된 암호를 빠르게 식별하고 해당 암호가 공개적으로 노출되지 않도록 예방할 수 있습니다.
최소 권한 원칙의 자동 적용
Prisma Cloud는 코드형 정책을 통해 자동 IAM 규모 적정화를 지원합니다. 기존 IAM 정책을 지속적으로 스캔 및 감사함으로써 Prisma Cloud는 사용하지 않는 권한을 제거하고 과도한 권한이 부여된 CI/CD 호스트 환경 액세스를 조정합니다. 또한 Prisma Cloud는 소스 코드의 검증 및 구축을 자동화하여 팀이 인적 오류의 가능성을 줄일 수 있도록 지원합니다.

자세히 알아보기

통합 소프트웨어 재료 명세서(SBOM) 생성

SBOM은 조직의 소프트웨어 구성 요소 및 모든 관련 보안 문제의 완벽한 인벤토리입니다. 그러나 SBOM은 제공되는 입력만큼만 완전하다 보니, 개별 포인트 솔루션을 활용할 때 이러한 완전성을 확보하려면 수동 중복 제거와 통합이 필요합니다. Prisma Cloud는 애플리케이션 및 인프라 구성 요소 전체에 단일 SBOM을 제공하여 클라우드 네이티브 애플리케이션의 SBOM 생성 프로세스를 간소화함으로써 조직이 인벤토리 및 리스크 정보를 내부 및 외부 고객과 더 쉽게 공유할 수 있습니다.

통합되고 유연한 내보내기 기능
완전한 SBOM에는 모든 IaC 리소스, 오픈 소스 패키지, 이미지 구성 요소, 알려진 취약점, 구성 오류 및 오픈 소스 라이선스가 포함되어 있습니다. Prisma Cloud는 CSV 및 CycloneDX를 비롯한 표준화된 보고서 형식으로 SBOM을 내보냅니다.
SBOM 공급업체 요구 사항 충족
미국 정부를 비롯한 최종 고객은 수많은 주요 우려 사항에 대한 해결책으로 SBOM을 점점 더 많이 요구하고 있습니다. SBOM은 주로 조달 프로세스에서 공급업체의 책임을 유지하고 조직의 지속적인 리스크 평가 시 개별 공급업체에 기인하는 위험을 설명할 수 있도록 하기 위해 사용됩니다.
신뢰할 수 있고 정확한 소프트웨어 인벤토리 유지
구축 전후에 생성되는 SBOM을 비교함으로써 조직은 변조를 탐지 및 복구 업데이트하여 SBOM 내에 저장된 정보의 유효성과 신뢰성을 유지할 수 있습니다.