Trace Id is missing
주 콘텐츠로 건너뛰기

DevSecOps

신뢰할 수 있는 플랫폼에서 안전한 앱을 빌드하세요. 개발자 워크플로에 보안을 적용하여 개발자, 보안 실무자, IT 운영자 간의 협업을 지원하세요.

DevOps 속도로 안전하게 혁신적인 앱 제공

새로운 유형의 사이버 보안 공격이 부상하고 있는 지금, 개발 주기 초반에 보안을 통합하여 개발 환경 및 소프트웨어 공급망을 강화하세요. DevSecOps는 GitHub와 Azure 제품 및 서비스를 결합하여 DevOps 팀과 SecOps 팀 간의 협업을 촉진합니다. 완전한 솔루션을 사용하여 더 안전하고 혁신적인 앱을 DevOps 속도로 제공하세요.

보안 애플리케이션 빌드 및 운영에 조직의 모든 사용자를 개입시켜 환경을 보호하세요. "시프트 레프트" 보안은 개발 초기 단계에 계획부터 개발, 패키징 및 배포에 이르기까지 보안 사고를 통합하는 것입니다. Microsoft Visual Studio 및 GitHub를 사용하여 보안을 개발자 워크플로에 통합함으로써 코드 검토 시간에 잠재적 보안 취약성을 자동으로 탐지하세요.

애플리케이션에 타사 코드 및 오픈 소스 소프트웨어를 사용할 때 소프트웨어 공급망에 대한 제어를 강화하세요. 프로덕션에서 코드를 검사하고 보안 강화를 위해 사용 중인 타사 구성 요소를 추적하는 Azure 및 GitHub 제품과 서비스를 사용하여 안심하고 개발하세요.

애플리케이션을 더 편리하고 안전하게 운영할 수 있게 해주는 포괄적인 일련의 Azure 서비스를 활용하세요. Kubernetes를 비롯한 관리형 애플리케이션 플랫폼에서 코드를 실행하고 신뢰할 수 있는 서비스를 활용하여 키, 토큰 및 비밀을 안전하게 관리하세요. 정책을 사용하여 환경의 보안에 대한 신뢰를 높이세요. 애플리케이션 및 인프라용 실시간 모니터링 솔루션을 활용하여 안전하고 원활한 운영을 지원하세요.

긴밀한 액세스 제어로 애플리케이션, 코드 및 인프라를 보호하세요. Azure는 조직의 내부 사용자 및 애플리케이션에 액세스하는 외부 소비자를 위한 최고의 ID 서비스를 제공합니다. DevSecOps 도구 및 ID 플랫폼을 사용하여 GitHub에서 코드에 대한 액세스를 보호하고, Azure 리소스에 대한 권한을 세부적으로 관리하고, 애플리케이션에 대한 인증 및 권한 부여 서비스를 제공하세요.

탭으로 돌아가기

전체 제품 및 서비스를 사용하거나 필요한 항목만 선택

GitHub 및 Azure DevOps에 사용할 수 있는 앱의 코드, 종속성 및 비밀을 보호하는 데 도움이 되는 고급 기능을 확인하세요.

  • 업계 최고의 의미 체계 코드 분석 엔진인 CodeQL을 사용하여 코드의 취약성을 식별하세요.
  • 보안 경고 및 자동화된 보안 업데이트에 Dependabot를 사용하여 종속성에서 보안 문제를 식별하고 해결하세요.
  • 비밀 스캐닝을 통해, 자격 증명이 실수로 소스 제어에 커밋된 경우 자동으로 알림을 받고 푸시를 차단하세요.

완벽한 엔드투엔드 추적 기능으로 프로덕션 환경에서 사용할 수 있는 컨테이너 이미지를 확신을 가지고 빌드하세요. CI/CD(연속 통합 및 지속적인 업데이트)를 위해 Azure Pipelines를 사용하면 코드가 커밋될 때마다 컴파일되어 Docker 컨테이너에 패키지되고 테스트 환경에 자동으로 배포됩니다. 모든 이미지의 커밋, 작업 항목 및 아티팩트를 추적하여 환경에서 실행 중인 코드를 추적하세요.

GitHub Actions를 사용하여 푸시, 문제 생성 또는 신규 릴리스와 같은 GitHub 이벤트에서 소프트웨어 워크플로를 자동화하고 실행하세요. 사용하는 서비스에의 작업을 결합 및 구성하고 여러 운영 체제에서 동시에 테스트를 수행하는 행렬형 워크플로를 사용하여 시간을 절약하세요. 원하는 언어에 대한 지원을 포함하여 코드를 빌드, 테스트 및 배포하세요.

 Azure Container Registry를 사용하여 컨테이너 이미지 및 아티팩트를 빌드, 저장, 보호, 검사, 복제 및 관리하세요.  클라우드용 Microsoft Defender의 자동 검사를 사용하여 CI/CD 워크플로에서 취약한 컨테이너 이미지를 식별하세요.

ARM(Azure Resource Manager) 또는 기타 템플릿으로 클라우드 IaC(Infrastructure as Code)를 안전하게 구성하여 최소한의 부담으로 개발자들을 빠르게 온보딩하세요. 조직 전체에 일관된 보안을 적용하는 템플릿화된 구성을 적용하고, 여기에 DevOps용 Microsoft Defender IaC 템플릿 검사를 함께 사용하여 프로덕션 환경에 도달하는 클라우드의 잘못된 구성을 최소화하세요.

Terraform과 같은 IaC(infrastructure as Code) 솔루션을 사용하여 CI/CD 파이프라인에서 곧바로  AKS 클러스터를 배포하세요.

 Azure Policy를 AKS와 함께 사용하여 운영의 규정을 준수하세요.

애플리케이션이 런타임에 키, 인증서, 토큰 및 기타 비밀을 로드할 수 있도록  Azure Key Vault에 키, 인증서, 토큰 및 기타 비밀을 안전하게 저장하고 관리하여 애플리케이션 코드에 키가 포함될 위험을 방지하세요. HSM(하드웨어 보안 모듈)에서 키를 가져온 후 생성하여 FIPS 140-2 수준 2 및 수준 3 준수로 보안을 강화하세요.

 GitHub Advanced Security  비밀 스캐닝 또는 GitHub Advanced Security for Azure DevOps 와 결합하여 비밀을 코드 리포지토리에 푸시하여 발생하는 취약성으로부터 보호합니다.

외부 연결 앱을 빌드하건 아니면 내부 LOB 앱을 빌드하건, Azure AD(Azure Active Directory)를 사용하여 ID 및 액세스 제어를 관리하세요.

Azure AD 워크로드 ID 페더레이션 기능을 사용하여, GitHub 비밀 저장소에서 Azure 서비스 주체 비밀 및 기타 클라우드 자격 증명을 관리할 필요를 없애세요. 모든 클라우드 리소스 액세스를 Azure에서 더 안전하게 관리하세요. 이러한 기능은 GitHub의 만료된 자격 증명으로 인해 발생하는 서비스 가동 중지 시간 위험도 최소화해 줍니다.

조직의 디렉터리로 사용자를 인증하고 다단계 인증Azure AD ID 보호 및 비정상적인 활동 보고서와 같은 고급 보안 기능을 활용하세요.

세분화된 RBAC(역할 기반 액세스 제어)로 Azure 리소스 및 Azure Portal에 대한 액세스를 보호하세요.

 Azure Active Directory B2C를 사용하여 외부 사용자를 위한 B2C 애플리케이션에 대한 액세스를 관리하세요.

 Azure Monitor를 사용하여 애플리케이션 및 인프라를 실시간으로 모니터링하세요. 코드의 문제와 잠재적으로 의심스러운 활동 및 이상값을 식별하세요.

Azure Monitor는 Azure Pipelines의 릴리스 파이프라인에 통합되어 모니터링 데이터를 기반으로 품질 게이트의 자동 승인 또는 릴리스 롤백을 지원합니다.

클라우드용 Microsoft Defender는 Azure, 온-프레미스 또는 다중 클라우드 워크로드 및 보안 상태를 지속적으로 평가, 보호 및 방어합니다.  DevOps용 Microsoft Defender와 통합하여 DevOps 인벤토리 및 사전 프로덕션 애플리케이션 코드와 리소스 구성의 보안 태세를 완전히 파악할 수 있습니다.

탭으로 돌아가기
Securing Enterprise DevOps Environments eBook

모든 엔터프라이즈 DevOps 환경을 보호하는 방법 알아보기

엔터프라이즈 DevOps 도구 및 방식의 이상적인 보안 설정을 살펴보세요. 이 eBook에서는 개발자, DevOps 플랫폼 및 애플리케이션 환경을 강화하는 데 중점을 둡니다.

관련 제품

Visual Studio Code

Visual Studio Code

클라우드 개발을 위한 강력한 경량 코드 편집기.

Azure DevOps

Azure DevOps

여러 팀이 코드를 공유하고, 작업을 추적하고, 소프트웨어를 제공하도록 지원하는 서비스.

GitHub

GitHub Enterprise

엔터프라이즈 프로젝트에 오픈 소스 코드와 모범 사례를 안전하게 적용하여 대규모로 혁신을 이끄세요.

Azure Key Vault

Azure Key Vault

키 및 기타 비밀의 보호와 해당 제어 기능의 유지 관리

Microsoft Entra ID(이전 Azure Active Directory)

Microsoft Entra ID(이전 Azure Active Directory)

온-프레미스 디렉터리를 동기화하고 Single Sign-On을 사용합니다.

Azure Monitor

Azure Monitor

애플리케이션, 인프라 및 네트워크에 대한 포괄적인 가시성.

클라우드용 Microsoft Defender

클라우드용 Microsoft Defender

다중 클라우드 및 하이브리드 환경을 보호하세요.

Microsoft Defender

DevOps용 Microsoft Defender

통합된 가시성 및 정책 제어를 통해 보안 팀과 개발 팀을 연결하세요.

Azure에서 DevOps 솔루션을 시작하세요. 자세히 알아보세요.

Azure의 DevSecOps

비즈니스에서 사용자 지정 데이터나 클라이언트 데이터를 보관한다면 보안을 염두에 두고 이러한 데이터의 관리 및 인터페이스를 포괄하는 솔루션을 개발하세요. DevSecOps는 마지막 단계에 감사를 진행하는 대신, 개발 초기부터 시프트 레프트 전략을 사용하는 보안 모범 사례를 적극 활용합니다.

DevSecOps로 안전하게 혁신을 이루고 있는 고객 사례

새로운 애플리케이션 플랫폼의 중심에 보안을 적용한 Gjensidige

Gjensidige는 개발자들이 더 안전한 코드를 작성하고, 보안 모범 사례를 도입하고, 소프트웨어 공급망 취약성에 신속하게 대응할 수 있도록 DevSecOps 도구를 사용하고 있습니다.

Gjensidige 건물 바깥에 있는 동상

DevOps 속도로 안전하게 배포 시간 단축

CDT는 배포 시간을 개선하기 위해 DevSecOps 프로세스, CI/CD 및 인프라에 Azure 및 GitHub를 구현했습니다. 그 결과 여러 팀이 협업하여 더 빠르고 안전하게 코드를 릴리스할 수 있게 되었습니다.

정부 건물 밖에서 휘날리고 있는 캘리포니아 주기

DevSecOps로 구동되는 IT 컨설팅

"DevSecOps 모범 사례의 일환으로 이 에코시스템의 중심에 DevSecOps 플랫폼, 방법 및 GitHub를 도입할 것을 권장합니다. 고객의 프로세스가 성숙함에 따라 GitHub Enterprise도 더 많이 사용될 것으로 기대합니다."

Naresh Choudhary, Infosys 재사용 및 도구 담당 부사장

Infosys 캠퍼스 조감도

DevSecOps 방식을 바탕으로 보안을 회사 문화로 도입

"우리 회사의 문화는 모든 사람이 보안을 책임지는 커뮤니케이션과 상호 작용을 기반으로 조성되었습니다. 엔지니어이든 제품 관리자든 관계없이, 제품의 기능과 품질에 신경을 쓰는 것처럼 보안에도 관심을 가져야 합니다."

Emilio Escobar, Datadog 최고 정보 보안 책임자

DataDog 사무실의 강아지 벽 그림
탭으로 돌아가기

DevSecOps 시작

GitHub 및 Azure를 사용하여 DevSecOps를 구현하는 방법을 알아보세요.

클라우드 보안에 대해 자세히 알아보기

다중 클라우드 앱 및 리소스를 보호하는 방법을 알아보세요.

준비 완료

Azure 체험 계정을 설정하겠습니다.