한국정보처리학회:학술대회논문집 (Proceedings of the Korea Information Processing Society Conference)

한국정보처리학회 (Korea Information Processing Society)
권호 표지

DevSecOps를 위한 AWS CloudFormation 기반 코드형 인프라 취약성 스캐닝 효율성 분석

Comparative analysis of IaC Vulnerability Scanning Efficiency with AWS Cloudformation for DevSecOps

  • 채시윤 (성신여자대학교 융합보안공학과) ;
  • 홍지원 (성신여자대학교 융합보안공학과) ;
  • 김정아 (성신여자대학교 융합보안공학과) ;
  • 박승현 (성신여자대학교 융합보안공학과) ;
  • 김성민 (성신여자대학교 융합보안공학과)
  • Siyun Chae (Dept. of Convergence Security Engineering, Sungshin Women's University) ;
  • Jiwon Hong (Dept. of Convergence Security Engineering, Sungshin Women's University) ;
  • Junga Kim (Dept. of Convergence Security Engineering, Sungshin Women's University) ;
  • Seunghyun Park (Dept. of Convergence Security Engineering, Sungshin Women's University) ;
  • Seongmin Kim (Dept. of Convergence Security Engineering, Sungshin Women's University)
  • 발행 : 2024.05.23
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근 클라우드 컴퓨팅 인프라 및 소프트웨어의 지속적인 발전으로 인한 복잡성 증가로 인해 신속한 확장성과 유연성에 대한 요구가 증가하고 있다. 이에 클라우드 네이티브 환경과의 호환성뿐만 아니라 개발과 운영의 효율성을 높이고자 코드로 인프라를 정의하여 자동화된 환경을 구축해 주는 코드형 인프라(Infrastructure as Code, IaC) 기술이 주목받고 있으며, AWS CloudFormation 은 대표적인 솔루션 중 하나이다. 그러나 IaC 형태로 배포되는 템플릿에 취약성이 존재할 경우, 인스턴스가 실행되기 전까지 보안 취약점을 미리 발견하기 어려워 DevOps 사이클에서의 보안 이슈를 야기할 수 있다. 이에 본 논문은 CloudFormation 템플릿의 보안 취약성 스캔이 가능하다고 알려진 오픈 소스 도구의 효율성을 평가하기 위한 사례 연구를 수행한다. 분석 결과를 바탕으로, DevSecOps 달성을 위한 IaC 기반 환경에서 취약성 사전 탐지의 필요성과 세분화된 접근 방식을 제시하고자 한다.

키워드

참고문헌

  1. Kumar M., Mishra S., Lathar N.K., and Singh P., "Infrastructure as Code (IaC): Insights on Various Platforms", Sentiment Analysis and Deep Learning: Proceedings of ICSADL 2022, pp. 439-449, Jan. 2023.
  2. "AWS, AWS CloudFormation", accessed on Mar. 20, 2024, https://aws.amazon.com/ko/cloudformation/.
  3. Juncal Alonso, Radoslaw Piliszek, and Matija Cankar, "Embracing IaC Through the DevSecOps Philosophy Concepts, Challenges, and a Reference Framework", 2023 53rd Annual IEEE/IFIP International Conference on Dependable Systems and Networks, pp. 56-62, Jan. 2023.
  4. "Snyk", accessed on Mar. 20, 2024, https://github.com/snyk/snyk-iac-cloudformation.
  5. "CFRipper", accessed on Mar. 20, 2024, https://github.com/Skyscanner/CFRipper.
  6. "Cfn-nag, Stelligent", accessed on Mar. 20, 2024, https://github.com/stelligent/cfn_nag.
  7. "OWASP, OWASP Cloud-Native Application Security Top 10", accessed on Mar. 20, 2023, https://owasp.org/www-project-cloud-native-application-security-top-10/.