개발자가 꼭 알아야 할 클라우드 보안 팟캐스트

어플 개발만큼 요즘 중요한 건 사이버 보안입니다. 요즘 개발자가 새로운 서비스를 런칭하려면 Threat Modeling을 해야 하는 회사가 많아지고 있어요. 꼭 보안 개발자가 아니더라도 백엔드 개발자인데 보안 관련 기초 지식을 가져야 하고 Threat Modeling을 해야 합니다. 특히 빅픽쳐를 잘 봐야 하는 시니어, 스태프 그리고 수석 엔지니어에게 중요한 컨셉이기도 합니다. 구글 클라우드 보안 팟케스트에서 Threat Modeling관련 30분짜리 에피소드를 듣고 정리해서 공유합니다. 전통적인 사이버 보안은 IP나 firewall에만 신경 썼다. 클라우드 세계에서는 그 외 누가, 언제, 왜 특정 리소스를 접근할 수 있는지 신경 써야 한다. 📌 Threat Modeling이란? 시스템에 존재하는 보안 리스크와 이러한 리스크를 완화하는 법을 찾는 것을 Threat Modeling이라고 한다. 개발 초기 단계인 설계 단계에서 Threat Modeling을 해야 한다. 📌 개발자가 Threat Modeling을 해야 하는 이유 요즘 개발 도구는 어플 만들 때 필요한 기본 크레덴셜 설정값을 제공한다. 그러나 이런 기본 크레덴셜은 시스템을 해킹하기 쉽게 하는 단점이 있다. 클라우드 세계에서는 서버와 서버 간의 커뮤니케이션이 아주 중요하다. 어플과 네트워크 보안 두 가지 모두 중요하다. 기존 데이터 센터 보안은 최대 2 단계 보안이 필요할 수도 있다. 하지만 클라우드 세계는 수많은 단계의 보안이 필요하다. 📌 수많은 단계 중 아이덴티티 보안 클라우드에서 아이덴티티를 설정하고, 검사하고 모니터 하는 것이 아주 중요하다. 요즘 기업은 자율성을 중시해서 대부분 팀은 독립적으로 서비스를 개발하고 배포한다. 이러한 자율성은 아이덴티티를 관리하는 데 복잡성을 불러온다. 📌 사이버 보안 공학 사이버 보안은 예방과 탐지하는 데 엔지니어링 리소스가 필요하다. 리스크를 “탐지”하는 데만 집중하지 못하는 이유는 사이버 보안은 새로운 CPU-level 취약성이 발견되는 등과 같이 지속적으로 변화하기 때문이다. 지속적 전달 (Continuous Delivery)처럼 시스템을 개발하고 배포하고 유지할 때 지속적 보안 스캔이 필요하다. 📌 멀티 클라우드 플랫폼(AWS, GCP, Azure 등등)을 사용하는 개발자가 알아야 할 점 멀티 클라우드 세계에서 사용자가 자주 하는 실수는 서비스 계정의 키를 직접 다운로드해서 다른 클라우드 플랫폼에 사용하는 것이다. (예: GCP GCS에서 파일을 다운로드하는 데 필요한 key를 다운로드한 후, 다시 같은 키를 사용해서 Azure에 업로드하는 것) 액세스 key를 직접 다운로드하지 말자. 대부분 클라우드 플랫폼은 key를 직접 다운로드할 필요 없이 액세스를 다른 플랫폼에 위임할 수 있는 설정 기능을 제공한다.