Red Hat Ansible Automation Platform으로 보안 강화

현재 기업은 계속해서 복잡해지는 인프라, 애플리케이션, 하이브리드 클라우드 환경 전반의 보안을 관리하기 위해 IT 자동화에 의존하고 있습니다. 자동화 전략을 채택할 때 많은 조직이 비용이 들지 않는 커뮤니티 기반의 자동화 솔루션으로 시작합니다. 

이러한 솔루션은 특정 상황에서는 유용할 수 있지만, 엔터프라이즈 환경에 필요한 지원과 보안 기능이 부족한 경우가 많습니다. 이는 여러 팀과 도메인 전반에서 취약점을 처리할 때 많은 비용을 초래하는 결함이 될 수 있습니다.

Ansible®은 대부분의 조직에서 규모에 따른 자동화 구현 작업의 핵심이 되고 있습니다. Ansible은 관련 커뮤니티를 통해 오픈소스 소프트웨어 개발을 사용합니다. 업스트림 Ansible은 AWX라고 불리는 GUI와 API 래퍼를 사용하여 긴밀히 연계되는 20개 이상의 개별 커뮤니티 프로젝트로 구성되어 있습니다. 

오픈소스 커뮤니티는 현대적인 IT 운영과 애플리케이션 개발의 기반이지만, 모든 오픈소스 소프트웨어 버전이 보안 문제로 고민하는 기업에 모두 적합한 것은 아닙니다. 이는 커뮤니티 Ansible의 여러 릴리스 버전과 보안 중심의 Red Hat® Ansible Automation Platform을 비교해보면 더욱 명확해집니다.

어떠한 환경도 완벽하게 안전하지는 않지만, 기업 보안을 고려하여 설계된 자동화 툴의 중요성이 그 어느 때보다 중요합니다. 경제적으로나 평판 면에서 피해를 유발할 수 있는 소프트웨어 공급망 공격 발생 빈도가 더욱 잦아지고 있습니다.

• 지난 3년 동안 연간 평균 소프트웨어 공급망 공격 횟수는 742% 늘었습니다.¹
• 조직의 45%가 2025년까지 공급망 공격을 받을 것으로 예상됩니다.²
• 데이터 침해 사례 5건 중 1건은 소프트웨어 공급망 침해가 원인인 것으로 나타났습니다.³
• 랜섬웨어 공격으로 인해 지불한 비용은 전년 대비 71% 증가했습니다.⁴

이러한 취약점을 고려할 때 커뮤니티 지원만 제공되는 비관리형 오픈소스 툴은 문제가 될 수 있습니다. 오픈소스 리포지토리는 사실상 어느 위치에서도 호스팅될 수 있기 때문에 일관성 결여로 변경 사항을 추적하기 어렵고 업데이트를 놓칠 가능성이 높아집니다.

커뮤니티 프로젝트는 일부 보호 조치를 갖추고 있기는 하지만, 종류가 매우 다양하고 일관성 없이 적용될 수 있어 일부 프로젝트는 다른 프로젝트보다 더 취약해질 수 있습니다. 그러나 오픈소스 구성 요소를 사용하는 모든 프로젝트가 기업용으로 부적합한 것은 아닙니다. 단지 더욱 까다로운 기준을 충족할 수 있도록 패키징되고 테스트를 거쳐야 한다는 것입니다.

AWX와 같은 커뮤니티 프로젝트는 보안을 최우선으로 고려하는 조직을 위해 설계된 프로젝트가 아니지만, Ansible Automation Platform은 일관성은 높이고 취약점은 완화된 엔터프라이즈 환경을 위해 지원, 성능 테스트, 버그 수정, 기타 표준화된 사례를 통해 보안이 더욱 강화되었습니다.

지원

커뮤니티 지원 업스트림 프로젝트인 AWX는 대다수의 기업이 비즈니스 크리티컬 자동화 툴에 기대하는 수준에 미달하는 부분이 많습니다. AWX에는 보안 취약점에 관한 서비스 수준 계약(SLA) 보장, 독립 소프트웨어 벤더(ISV) 호환성을 갖춘 인증 콘텐츠, 또는 버전 간에 지원되는 업그레이드 마이그레이션이 포함되어 있지 않습니다.

Ansible Automation Platform에는 다음이 포함됩니다.

• Red Hat의 향상된 트러블슈팅과 근본 원인 분석을 통해 패키징된 모든 구성 요소에 대한 1년 365일 지원
• Red Hat Customer Portal에 축적된 풍부한 지식에 대한 셀프 서비스 액세스
• 버그 수정 및 기능에 대한 Red Hat Ansible Engineering 팀의 우선순위 지정

성능 테스트

새로운 AWX 버전은 커뮤니티 구성원의 테스트를 거쳤지만, 커뮤니티 기반 테스트로 엔터프라이즈 환경에 필요한 호환성과 성능을 보장할 수 있는 것은 아닙니다. Red Hat 팀은 새로운 Ansible Automation Platform 버전을 개발하는 과정에서 지속적이고도 엄격한 테스트를 수행하며 프로세스 전반의 성능 개선을 기록하여 기업의 진화하는 요구 사항을 지원하는 새로운 기능을 안정적으로 구축합니다.

Ansible Automation Platform에는 다음이 포함됩니다.

• 야간 QA 및 통합 테스트
• 제품에 대한 정기적인 침투 테스트로 새로운 보안 취약점이 악용되는 것을 방지합니다.
• Ansible Playbook과 그 외 콘텐츠의 스케일 아웃 실행을 위한 오토메이션 컨트롤러와 오토메이션 메시에 대한 스트레스 테스트

컨테이너 상태 지수와 보안 등급

Ansible Automation Platform은 컨테이너 상태 지수(CHI)라고 불리는 보안 등급을 갖춘 지원되는 실행 환경을 게시합니다. 이는 컨테이너 이미지가 Red Hat에서 인증, 유지 관리, 지원된다는 것을 의미합니다. 커뮤니티 AWX에서는 이와 유사한 서비스가 제공되지 않습니다.

• 실행 환경이 "A" 보안 등급이 아닌 경우, 이를 다시 "A" 등급으로 복구하기까지의 SLA는 영업일 기준 5일입니다. 이는 AWX 실행 환경에는 해당되지 않습니다.

안전한 개발 라이프사이클 사례

코드화된 모범 사례 세트인 보안 개발 라이프사이클(SDL)은 Red Hat의 구체적인 제품 개발 단계로 표준화되어 있습니다. Ansible Automation Platform은 개발에 있어 SDL을 준수합니다. 하지만 AWX와 개별 Ansible 하위 프로젝트는 분산된 특성으로 인해 이를 준수하지 않습니다.

SDL 사례와 표준의 목표는 다음과 같습니다. 

• 릴리스된 소프트웨어의 취약점 수 감소
• 감지되지 않거나 해결되지 않은 취약점의 잠재적 영향 완화
• 향후 재발을 막기 위해 취약점의 근본 원인 해결 

버그 수정

Ansible Automation Platform의 버그는 중앙 데이터베이스에서 추적되며, 개발 팀이 이를 수정하기 위한 작업을 매일 수행합니다. 사용자의 직접 피드백에 따라 버그 해결이 우선순위로 지정됩니다. 

• 고객은 access.redhat.com을 통해 Red Hat이 식별한 버그 수정에 액세스할 수 있습니다.
• 또한 고객 포털에서 케이스를 오픈하거나 더욱 시급한 버그 수정의 경우 현지 지원 센터에 전화로 문의할 수 있습니다.

반면 커뮤니티 Ansible에서 버그는 중앙에서 추적할 수 없으며, 커뮤니티 전체가 이를 우선순위로 지정합니다. 또한 버그 수정 방법이 버전마다 다르기 때문에 사용자가 커뮤니티 Ansible 버전 간의 전환을 어렵다고 느낄 수 있습니다. 

Ansible Automation Platform은 일관된 맞춤형 지원이 제공되기 때문에 기업이 신속하게 버그로 인한 문제를 해결하고 비즈니스 운영에 발생할 수 있는 결과를 제한할 수 있습니다. 

Event-Driven Ansible

Ansible Automation Platform에는 Event-Driven Ansible이 포함되어 있어 표준화와 감사를 거친 프로세스를 통해 소프트웨어 업데이트 및 문제 해결과 같은 다양한 작업을 자동화할 수 있습니다. Event-Driven Ansible은 다음과 같은 지원을 제공합니다. 

• 대량의 반복적인 작업으로 인해 종종 발생하며 공급망에 취약점을 더하는 인적 오류를 최소화합니다.
• 보안 대응을 자동화하여 취약점이 시급한 문제로 심화되기 전에 빠르게 해결합니다.

Red Hat Ansible Automation Platform은 규모에 맞게 IT 자동화를 구축하고 운영하기 위한 일관된 엔터프라이즈 프레임워크를 제공하는 동시에 모든 단계에서 보안을 최우선으로 고려합니다. 이를 통해 팀은 기업 전반에서 보안과 컴플라이언스를 자동화하고 인증된 오토메이션 콘텐츠를 사용하여 유기적으로 위협에 대응하고 Red Hat의 24시간 지원을 받을 수 있습니다.

Red Hat의 개방형 개발 모델은 Ansible Automation Platform을 사용하는 엔지니어를 커뮤니티 내 다양한 오픈소스 Ansible 프로젝트와 연결합니다. 구성원들이 협업을 통해 최상의 아이디어를 찾아내고 이를 발전시키면 Red Hat은 코드에 기여하고 업스트림 프로젝트에서 제품을 만들어 구성원들을 지원합니다.

Ansible Automation Platform은 패키징과 배포를 간소화하면서 모든 구성 요소 간에 검증되고 신뢰할 수 있는 상호운용성을 제공합니다. 18개월의 라이프사이클 지원을 포함하는 Ansible Automation Platform을 활용하면 업스트림 오픈소스 툴 사용 시 야기되는 불확실성과 보안 취약점을 최소화할 수 있습니다.

또한 Ansible Automation Platform은 CyberArk, IBM, Palo Alto Networks와 같은 인증 파트너 콘텐츠를 사용하여 보안 솔루션의 통합 지점 역할을 할 수 있어 다양한 외부 보안 기술의 관리와 통합을 자동화할 수 있습니다.