블로그

전문가 인터뷰: 오스카 퀸타스와 코드로 인프라

마티아스 마두, Ph.
게시일: 2020년 9월 10일

기술 스타트업에서 일하는 가장 좋은 점 중 하나는 여러분이 만나 함께 협력하고 협업할 수 있는 흥미롭고 영리한 사람들입니다. 멋진 아이디어에서 진지한 시장 경쟁자로 회사를 성장하려면 어벤져스 (또는 저스티스 리그)의 자체 팀의 조립이 필요합니다.

이를 염두에 두고, 우리는 전문가 중 한 명인 오스카 퀸타스의 스포트라이트를 빛나게 하고 싶습니다. 그는 수석 보안 연구원으로 일하면서 제품 콘텐츠 팀의 일원입니다. 그는 또한 코드 (IaC)로 모든 것 인프라에 우리의 거주 마법사입니다. 그는 우리의 178 (그리고 계산!) 뒤에 힘입니다! IaC 플랫폼 과제, 그리고 이 신선하고 배관적인 화제에 대해 우리가 가진 모든 불타는 질문에 대한 우리의 이동.

오스카 퀸타스의 헤드샷
오스카 퀸타스

우리는 그가 꽤 특별하다고 생각하기 때문에 그를 좀 더 잘 알고 있기를 바란다. 여기서 그는 코드 보안, 역할 및 조직이 클라우드 인프라 및 엔지니어를 더 잘 준비하기 위해 무엇을 할 수 있는지에 대한 인프라의 배관 핫 주제에 대한 통찰력을 공유합니다.

Q: Secure Code Warrior . 전형적인 하루는 여러분에게 어떤 모습일까요?

A: 저는 수석 보안 연구원으로 일하는 제품 콘텐츠 팀의 일원입니다. 일반적인 날에는 코드 품질 표준을 충족하고 보안 모범 사례가 구현되도록 다양한 언어로 챌린지 코드를 검토하는 작업이 포함됩니다. 또한 새로운 IaC 콘텐츠를 개발합니다.

Q: 코드 플랫폼의 과제로 모든 인프라의 원동력이 되었습니다. 프로세스는 무엇입니까?

A: 연구의 조합이라고 말하고, 여러 기술 수준에 높은 관련성과 참여를 제공하는 콘텐츠를 제공하기 위해 열심히 노력하고 있습니다. 저는 일반적으로 사용자가 인프라를 배포할 때 직면하고 있는 가장 일반적인 문제를 살펴보는 것으로 시작하여 해당 정보를 사용하여 각 사례에 대한 보안 모범 사례를 표시하는 유용한 과제를 개발합니다.

저는 항상 전사들에게 좋은 학습 경험을 제공하고 지속적인 이점을 가진 직업에 관련성이 있고 유용한 운동인지 확인하려고 노력합니다.

Q: IaC 보안은 현재 정말 인기 있는 주제입니다. 클라우드 보안 관행 측면에서 기업이 직면한 주요 문제는 무엇입니까?
A: 코드로서의 인프라는 코드를 사용하여 인프라 리소스를 관리하는 것입니다. 해당 코드의 몇 줄만 있으면 제대로 구성되지 않으면 보안 버그가 포함될 수 있는 수백 개의 클라우드 리소스(네트워크, 방화벽 규칙, 가상 시스템, 컨테이너 등)를 배포할 수 있습니다. 따라서 보안 응용 프로그램 배포에 적용된 동일한 원칙이 IaC에 적용될 수 있으며 이러한 위험과 수정 사항은 SDLC에 관련된 모든 팀에서 이해해야 합니다.

이러한 인식과 조치는 IaC 보안에 대한 적절한 교육과 클라우드 엔지니어의 보안 코딩 기술의 우선 순위지정으로 시작됩니다. 강력한 방어 계층이 될 수 있으며 응용 프로그램을 호스팅하는 인프라를 구축할 때 특히 중요합니다.

Q: Kubernetes 에 대한 업계의 관심이 많으며 널리 사용되는 것 같습니다. 그러나 플랫폼 데이터는 테라폼을 압도적으로 인기 있는 언어로 반영하며 참여도가 높습니다. 이러한 견인력을 얻고 있는 이유에 대해 공유할 수 있는 통찰력이 있습니까?
A: 테라폼은 간단한 구문을 사용하여 멀티 클라우드 환경(예: AWS, GCP, Azure)에 인프라 리소스를 배포할 수 있으므로 IaC의 사실상 언어입니다. 이를 통해 코드를 사용하여 인프라를 정의할 수 있으며 클라우드 API와 투명하게 상호 작용하여 리소스 배포를 관리할 수 있습니다.

이 언어는 매우 다양하며 소스 제어 리포지토리에 추가할 수 있으므로 DevOps / DevSecOps 원칙도 인프라 배포에 적용할 수 있습니다. 그러나, 이것은 또한 해결해야 할 새로운 위협을 소개합니다, 그래서 Terraform와 보안 코딩에 대한 포괄적 인 교육은 필수입니다.

Q: IaC 보안 전문가님. 업무의 가장 중요한 부분은 무엇입니까?
A: IaC는 아직 초기 단계이기 때문에 자주 출시되는 새로운 것들이 많이 있습니다. 이러한 새로운 기술을 최신 상태로 유지하는 것은 다소 어렵지만 동시에 보람이 있습니다. 저는 새로운 것을 배우고 새로운 서비스에 대한 보안 모범 사례를 테스트하는 것을 정말 좋아합니다.

IaC 보안을 다음 단계로 끌어올려 보세요.

클라우드 개발자가 인프라를 코드로 사용하여 보안 기술을 연마하려면 IaC Top 8에도전하십시오! 새로운 지식을 테스트하기 위한 대화형 과제를 포함하여 8개의 일반적인 IaC 보안 버그의 전체 실행을 위한 각 장을 읽어보십시오.

점수를 알려주시고 오스카를 자랑스럽게 만드세요!

리소스 보기
리소스 보기

우리는 우리의 전문가 중 하나에 스포트라이트를 빛나고 싶습니다, 오스카 퀸타스. 그는 수석 보안 연구원으로 일하면서 제품 콘텐츠 팀의 일원입니다. 그는 또한 코드 (IaC)로 모든 것 인프라에 우리의 거주 마법사입니다.

더 알고 싶으신가요?

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약
공유하세요:
저자
마티아스 마두, Ph.
게시일: 2020년 9월 10일

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

공유하세요:

기술 스타트업에서 일하는 가장 좋은 점 중 하나는 여러분이 만나 함께 협력하고 협업할 수 있는 흥미롭고 영리한 사람들입니다. 멋진 아이디어에서 진지한 시장 경쟁자로 회사를 성장하려면 어벤져스 (또는 저스티스 리그)의 자체 팀의 조립이 필요합니다.

이를 염두에 두고, 우리는 전문가 중 한 명인 오스카 퀸타스의 스포트라이트를 빛나게 하고 싶습니다. 그는 수석 보안 연구원으로 일하면서 제품 콘텐츠 팀의 일원입니다. 그는 또한 코드 (IaC)로 모든 것 인프라에 우리의 거주 마법사입니다. 그는 우리의 178 (그리고 계산!) 뒤에 힘입니다! IaC 플랫폼 과제, 그리고 이 신선하고 배관적인 화제에 대해 우리가 가진 모든 불타는 질문에 대한 우리의 이동.

오스카 퀸타스의 헤드샷
오스카 퀸타스

우리는 그가 꽤 특별하다고 생각하기 때문에 그를 좀 더 잘 알고 있기를 바란다. 여기서 그는 코드 보안, 역할 및 조직이 클라우드 인프라 및 엔지니어를 더 잘 준비하기 위해 무엇을 할 수 있는지에 대한 인프라의 배관 핫 주제에 대한 통찰력을 공유합니다.

Q: Secure Code Warrior . 전형적인 하루는 여러분에게 어떤 모습일까요?

A: 저는 수석 보안 연구원으로 일하는 제품 콘텐츠 팀의 일원입니다. 일반적인 날에는 코드 품질 표준을 충족하고 보안 모범 사례가 구현되도록 다양한 언어로 챌린지 코드를 검토하는 작업이 포함됩니다. 또한 새로운 IaC 콘텐츠를 개발합니다.

Q: 코드 플랫폼의 과제로 모든 인프라의 원동력이 되었습니다. 프로세스는 무엇입니까?

A: 연구의 조합이라고 말하고, 여러 기술 수준에 높은 관련성과 참여를 제공하는 콘텐츠를 제공하기 위해 열심히 노력하고 있습니다. 저는 일반적으로 사용자가 인프라를 배포할 때 직면하고 있는 가장 일반적인 문제를 살펴보는 것으로 시작하여 해당 정보를 사용하여 각 사례에 대한 보안 모범 사례를 표시하는 유용한 과제를 개발합니다.

저는 항상 전사들에게 좋은 학습 경험을 제공하고 지속적인 이점을 가진 직업에 관련성이 있고 유용한 운동인지 확인하려고 노력합니다.

Q: IaC 보안은 현재 정말 인기 있는 주제입니다. 클라우드 보안 관행 측면에서 기업이 직면한 주요 문제는 무엇입니까?
A: 코드로서의 인프라는 코드를 사용하여 인프라 리소스를 관리하는 것입니다. 해당 코드의 몇 줄만 있으면 제대로 구성되지 않으면 보안 버그가 포함될 수 있는 수백 개의 클라우드 리소스(네트워크, 방화벽 규칙, 가상 시스템, 컨테이너 등)를 배포할 수 있습니다. 따라서 보안 응용 프로그램 배포에 적용된 동일한 원칙이 IaC에 적용될 수 있으며 이러한 위험과 수정 사항은 SDLC에 관련된 모든 팀에서 이해해야 합니다.

이러한 인식과 조치는 IaC 보안에 대한 적절한 교육과 클라우드 엔지니어의 보안 코딩 기술의 우선 순위지정으로 시작됩니다. 강력한 방어 계층이 될 수 있으며 응용 프로그램을 호스팅하는 인프라를 구축할 때 특히 중요합니다.

Q: Kubernetes 에 대한 업계의 관심이 많으며 널리 사용되는 것 같습니다. 그러나 플랫폼 데이터는 테라폼을 압도적으로 인기 있는 언어로 반영하며 참여도가 높습니다. 이러한 견인력을 얻고 있는 이유에 대해 공유할 수 있는 통찰력이 있습니까?
A: 테라폼은 간단한 구문을 사용하여 멀티 클라우드 환경(예: AWS, GCP, Azure)에 인프라 리소스를 배포할 수 있으므로 IaC의 사실상 언어입니다. 이를 통해 코드를 사용하여 인프라를 정의할 수 있으며 클라우드 API와 투명하게 상호 작용하여 리소스 배포를 관리할 수 있습니다.

이 언어는 매우 다양하며 소스 제어 리포지토리에 추가할 수 있으므로 DevOps / DevSecOps 원칙도 인프라 배포에 적용할 수 있습니다. 그러나, 이것은 또한 해결해야 할 새로운 위협을 소개합니다, 그래서 Terraform와 보안 코딩에 대한 포괄적 인 교육은 필수입니다.

Q: IaC 보안 전문가님. 업무의 가장 중요한 부분은 무엇입니까?
A: IaC는 아직 초기 단계이기 때문에 자주 출시되는 새로운 것들이 많이 있습니다. 이러한 새로운 기술을 최신 상태로 유지하는 것은 다소 어렵지만 동시에 보람이 있습니다. 저는 새로운 것을 배우고 새로운 서비스에 대한 보안 모범 사례를 테스트하는 것을 정말 좋아합니다.

IaC 보안을 다음 단계로 끌어올려 보세요.

클라우드 개발자가 인프라를 코드로 사용하여 보안 기술을 연마하려면 IaC Top 8에도전하십시오! 새로운 지식을 테스트하기 위한 대화형 과제를 포함하여 8개의 일반적인 IaC 보안 버그의 전체 실행을 위한 각 장을 읽어보십시오.

점수를 알려주시고 오스카를 자랑스럽게 만드세요!

리소스 보기
리소스 보기

아래 양식을 작성하여 보고서를 다운로드하세요.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

전송
양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.

기술 스타트업에서 일하는 가장 좋은 점 중 하나는 여러분이 만나 함께 협력하고 협업할 수 있는 흥미롭고 영리한 사람들입니다. 멋진 아이디어에서 진지한 시장 경쟁자로 회사를 성장하려면 어벤져스 (또는 저스티스 리그)의 자체 팀의 조립이 필요합니다.

이를 염두에 두고, 우리는 전문가 중 한 명인 오스카 퀸타스의 스포트라이트를 빛나게 하고 싶습니다. 그는 수석 보안 연구원으로 일하면서 제품 콘텐츠 팀의 일원입니다. 그는 또한 코드 (IaC)로 모든 것 인프라에 우리의 거주 마법사입니다. 그는 우리의 178 (그리고 계산!) 뒤에 힘입니다! IaC 플랫폼 과제, 그리고 이 신선하고 배관적인 화제에 대해 우리가 가진 모든 불타는 질문에 대한 우리의 이동.

오스카 퀸타스의 헤드샷
오스카 퀸타스

우리는 그가 꽤 특별하다고 생각하기 때문에 그를 좀 더 잘 알고 있기를 바란다. 여기서 그는 코드 보안, 역할 및 조직이 클라우드 인프라 및 엔지니어를 더 잘 준비하기 위해 무엇을 할 수 있는지에 대한 인프라의 배관 핫 주제에 대한 통찰력을 공유합니다.

Q: Secure Code Warrior . 전형적인 하루는 여러분에게 어떤 모습일까요?

A: 저는 수석 보안 연구원으로 일하는 제품 콘텐츠 팀의 일원입니다. 일반적인 날에는 코드 품질 표준을 충족하고 보안 모범 사례가 구현되도록 다양한 언어로 챌린지 코드를 검토하는 작업이 포함됩니다. 또한 새로운 IaC 콘텐츠를 개발합니다.

Q: 코드 플랫폼의 과제로 모든 인프라의 원동력이 되었습니다. 프로세스는 무엇입니까?

A: 연구의 조합이라고 말하고, 여러 기술 수준에 높은 관련성과 참여를 제공하는 콘텐츠를 제공하기 위해 열심히 노력하고 있습니다. 저는 일반적으로 사용자가 인프라를 배포할 때 직면하고 있는 가장 일반적인 문제를 살펴보는 것으로 시작하여 해당 정보를 사용하여 각 사례에 대한 보안 모범 사례를 표시하는 유용한 과제를 개발합니다.

저는 항상 전사들에게 좋은 학습 경험을 제공하고 지속적인 이점을 가진 직업에 관련성이 있고 유용한 운동인지 확인하려고 노력합니다.

Q: IaC 보안은 현재 정말 인기 있는 주제입니다. 클라우드 보안 관행 측면에서 기업이 직면한 주요 문제는 무엇입니까?
A: 코드로서의 인프라는 코드를 사용하여 인프라 리소스를 관리하는 것입니다. 해당 코드의 몇 줄만 있으면 제대로 구성되지 않으면 보안 버그가 포함될 수 있는 수백 개의 클라우드 리소스(네트워크, 방화벽 규칙, 가상 시스템, 컨테이너 등)를 배포할 수 있습니다. 따라서 보안 응용 프로그램 배포에 적용된 동일한 원칙이 IaC에 적용될 수 있으며 이러한 위험과 수정 사항은 SDLC에 관련된 모든 팀에서 이해해야 합니다.

이러한 인식과 조치는 IaC 보안에 대한 적절한 교육과 클라우드 엔지니어의 보안 코딩 기술의 우선 순위지정으로 시작됩니다. 강력한 방어 계층이 될 수 있으며 응용 프로그램을 호스팅하는 인프라를 구축할 때 특히 중요합니다.

Q: Kubernetes 에 대한 업계의 관심이 많으며 널리 사용되는 것 같습니다. 그러나 플랫폼 데이터는 테라폼을 압도적으로 인기 있는 언어로 반영하며 참여도가 높습니다. 이러한 견인력을 얻고 있는 이유에 대해 공유할 수 있는 통찰력이 있습니까?
A: 테라폼은 간단한 구문을 사용하여 멀티 클라우드 환경(예: AWS, GCP, Azure)에 인프라 리소스를 배포할 수 있으므로 IaC의 사실상 언어입니다. 이를 통해 코드를 사용하여 인프라를 정의할 수 있으며 클라우드 API와 투명하게 상호 작용하여 리소스 배포를 관리할 수 있습니다.

이 언어는 매우 다양하며 소스 제어 리포지토리에 추가할 수 있으므로 DevOps / DevSecOps 원칙도 인프라 배포에 적용할 수 있습니다. 그러나, 이것은 또한 해결해야 할 새로운 위협을 소개합니다, 그래서 Terraform와 보안 코딩에 대한 포괄적 인 교육은 필수입니다.

Q: IaC 보안 전문가님. 업무의 가장 중요한 부분은 무엇입니까?
A: IaC는 아직 초기 단계이기 때문에 자주 출시되는 새로운 것들이 많이 있습니다. 이러한 새로운 기술을 최신 상태로 유지하는 것은 다소 어렵지만 동시에 보람이 있습니다. 저는 새로운 것을 배우고 새로운 서비스에 대한 보안 모범 사례를 테스트하는 것을 정말 좋아합니다.

IaC 보안을 다음 단계로 끌어올려 보세요.

클라우드 개발자가 인프라를 코드로 사용하여 보안 기술을 연마하려면 IaC Top 8에도전하십시오! 새로운 지식을 테스트하기 위한 대화형 과제를 포함하여 8개의 일반적인 IaC 보안 버그의 전체 실행을 위한 각 장을 읽어보십시오.

점수를 알려주시고 오스카를 자랑스럽게 만드세요!

시작

아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

보고서 보기데모 예약
리소스 보기
공유하세요:
더 알고 싶으신가요?

공유하세요:
저자
마티아스 마두, Ph.
게시일: 2020년 9월 10일

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

공유하세요:

기술 스타트업에서 일하는 가장 좋은 점 중 하나는 여러분이 만나 함께 협력하고 협업할 수 있는 흥미롭고 영리한 사람들입니다. 멋진 아이디어에서 진지한 시장 경쟁자로 회사를 성장하려면 어벤져스 (또는 저스티스 리그)의 자체 팀의 조립이 필요합니다.

이를 염두에 두고, 우리는 전문가 중 한 명인 오스카 퀸타스의 스포트라이트를 빛나게 하고 싶습니다. 그는 수석 보안 연구원으로 일하면서 제품 콘텐츠 팀의 일원입니다. 그는 또한 코드 (IaC)로 모든 것 인프라에 우리의 거주 마법사입니다. 그는 우리의 178 (그리고 계산!) 뒤에 힘입니다! IaC 플랫폼 과제, 그리고 이 신선하고 배관적인 화제에 대해 우리가 가진 모든 불타는 질문에 대한 우리의 이동.

오스카 퀸타스의 헤드샷
오스카 퀸타스

우리는 그가 꽤 특별하다고 생각하기 때문에 그를 좀 더 잘 알고 있기를 바란다. 여기서 그는 코드 보안, 역할 및 조직이 클라우드 인프라 및 엔지니어를 더 잘 준비하기 위해 무엇을 할 수 있는지에 대한 인프라의 배관 핫 주제에 대한 통찰력을 공유합니다.

Q: Secure Code Warrior . 전형적인 하루는 여러분에게 어떤 모습일까요?

A: 저는 수석 보안 연구원으로 일하는 제품 콘텐츠 팀의 일원입니다. 일반적인 날에는 코드 품질 표준을 충족하고 보안 모범 사례가 구현되도록 다양한 언어로 챌린지 코드를 검토하는 작업이 포함됩니다. 또한 새로운 IaC 콘텐츠를 개발합니다.

Q: 코드 플랫폼의 과제로 모든 인프라의 원동력이 되었습니다. 프로세스는 무엇입니까?

A: 연구의 조합이라고 말하고, 여러 기술 수준에 높은 관련성과 참여를 제공하는 콘텐츠를 제공하기 위해 열심히 노력하고 있습니다. 저는 일반적으로 사용자가 인프라를 배포할 때 직면하고 있는 가장 일반적인 문제를 살펴보는 것으로 시작하여 해당 정보를 사용하여 각 사례에 대한 보안 모범 사례를 표시하는 유용한 과제를 개발합니다.

저는 항상 전사들에게 좋은 학습 경험을 제공하고 지속적인 이점을 가진 직업에 관련성이 있고 유용한 운동인지 확인하려고 노력합니다.

Q: IaC 보안은 현재 정말 인기 있는 주제입니다. 클라우드 보안 관행 측면에서 기업이 직면한 주요 문제는 무엇입니까?
A: 코드로서의 인프라는 코드를 사용하여 인프라 리소스를 관리하는 것입니다. 해당 코드의 몇 줄만 있으면 제대로 구성되지 않으면 보안 버그가 포함될 수 있는 수백 개의 클라우드 리소스(네트워크, 방화벽 규칙, 가상 시스템, 컨테이너 등)를 배포할 수 있습니다. 따라서 보안 응용 프로그램 배포에 적용된 동일한 원칙이 IaC에 적용될 수 있으며 이러한 위험과 수정 사항은 SDLC에 관련된 모든 팀에서 이해해야 합니다.

이러한 인식과 조치는 IaC 보안에 대한 적절한 교육과 클라우드 엔지니어의 보안 코딩 기술의 우선 순위지정으로 시작됩니다. 강력한 방어 계층이 될 수 있으며 응용 프로그램을 호스팅하는 인프라를 구축할 때 특히 중요합니다.

Q: Kubernetes 에 대한 업계의 관심이 많으며 널리 사용되는 것 같습니다. 그러나 플랫폼 데이터는 테라폼을 압도적으로 인기 있는 언어로 반영하며 참여도가 높습니다. 이러한 견인력을 얻고 있는 이유에 대해 공유할 수 있는 통찰력이 있습니까?
A: 테라폼은 간단한 구문을 사용하여 멀티 클라우드 환경(예: AWS, GCP, Azure)에 인프라 리소스를 배포할 수 있으므로 IaC의 사실상 언어입니다. 이를 통해 코드를 사용하여 인프라를 정의할 수 있으며 클라우드 API와 투명하게 상호 작용하여 리소스 배포를 관리할 수 있습니다.

이 언어는 매우 다양하며 소스 제어 리포지토리에 추가할 수 있으므로 DevOps / DevSecOps 원칙도 인프라 배포에 적용할 수 있습니다. 그러나, 이것은 또한 해결해야 할 새로운 위협을 소개합니다, 그래서 Terraform와 보안 코딩에 대한 포괄적 인 교육은 필수입니다.

Q: IaC 보안 전문가님. 업무의 가장 중요한 부분은 무엇입니까?
A: IaC는 아직 초기 단계이기 때문에 자주 출시되는 새로운 것들이 많이 있습니다. 이러한 새로운 기술을 최신 상태로 유지하는 것은 다소 어렵지만 동시에 보람이 있습니다. 저는 새로운 것을 배우고 새로운 서비스에 대한 보안 모범 사례를 테스트하는 것을 정말 좋아합니다.

IaC 보안을 다음 단계로 끌어올려 보세요.

클라우드 개발자가 인프라를 코드로 사용하여 보안 기술을 연마하려면 IaC Top 8에도전하십시오! 새로운 지식을 테스트하기 위한 대화형 과제를 포함하여 8개의 일반적인 IaC 보안 버그의 전체 실행을 위한 각 장을 읽어보십시오.

점수를 알려주시고 오스카를 자랑스럽게 만드세요!

목차

PDF 다운로드
리소스 보기
더 알고 싶으신가요?

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약다운로드
공유하세요:
리소스 허브

시작할 수 있는 리소스

더 많은 게시물
리소스 허브

시작할 수 있는 리소스

더 많은 게시물