검색

코드 보안

Cortex® Cloud는 개발자 도구와 통합된 클라우드 네이티브 인프라와 애플리케이션에 자동화된 보안 제공

코드 보안 앞

클라우드 네이티브 애플리케이션 개발은 속도가 빠르고 복잡합니다. 보안팀이 그 속도를 따라가기가 어려울 수 있습니다. 그러나 여러 DevOps 모범 사례는 자동화를 통해 코드부터 클라우드까지 앱과 인프라를 보호하는 기회를 제공하여 이러한 압박을 완화해줍니다.

민첩하게 개발하려면 자동화된 빌드 보안이 필요합니다.

기존 보안 검토는 민첩한 개발 방식에 방해가 되고 비즈니스의 속도를 늦춥니다. 속도를 유지하면서 복구 업데이트하려면 풀 요청, 지속적 통합 빌드에서 레지스트리, 런타임에 이르기까지 개발 수명 주기 전체에 보안을 포함해야 합니다.

클라우드 네이티브 아키텍처는 전문 도구가 필요합니다.

IaC(Infrastructure as code), OSS(open source software) 및 마이크로서비스를 사용하는 개발 팀은 각 서비스에 최적의 도구, 언어, 클라우드를 사용할 수 있습니다. 하지만 보안팀이 모든 각 구성 요소에 전문성을 보유하기란 불가능합니다. 이들에게는 구축 전에 취약점과 구성 오류 및 노출된 암호를 찾아내는 데 도움이 되는 자동 보안 도구가 필요합니다.

사일로화된 코드 보안 툴링은 오버헤드를 만들어냅니다.

빌드 타임과 런타임을 함께 보호해야 팀 전체에 일관된 피드백이 공유됩니다. 그러나 팀에는 취약점, 구성 오류, 종속성, 노출된 암호 및 네트워크 컨텍스트를 오버레이하여 오탐(false positive)을 최소화하고 주요 위협의 우선순위를 지정하며 코드에서 클라우드로의 리스크를 완화하는 통합 도구가 필요합니다.

모든 최신 아키텍처와 소프트웨어 공급망 전체의 코드 보안을 위한 단일 도구입니다.

Cortex Cloud는 소프트웨어 개발 사이클에 포괄적인 보안을 적용합니다. 플랫폼은 개발 수명 주기의 초기에 취약점, 구성 오류, 규정 준수 위반 및 노출된 암호를 식별합니다. IaC 템플릿, 컨테이너 이미지, 오픈 소스 패키지 및 전달 파이프라인에 대한 스캔 지원을 통해 Cortex Cloud는 오픈 소스 커뮤니티와 수년간의 전문 지식 및 위협 연구로 지원되는 코드 보안을 제공합니다. 연결된 가시성과 정책 제어 기능을 통해 엔지니어링 팀은 도구 내에서 풀 스택을 보호할 수 있고 보안 팀은 구축된 모든 코드의 안전을 보장할 수 있습니다.
  • 여러 언어, 런타임 및 프레임워크에 대한 지원
  • 빌드 타임에서 런타임까지 일관되게 제어
  • DevOps 툴링에 포함
  • IaC(Infrastructure as Code) 스캐닝
    IaC(Infrastructure as Code) 스캐닝
  • 소프트웨어 구성 분석(SCA)
    소프트웨어 구성 분석(SCA)
  • 암호 스캔
    암호 스캔
  • 코드형 정책
    코드형 정책
  • OSS 라이선스 규정 준수
    OSS 라이선스 규정 준수
CORTEX CLOUD 솔루션

Palo Alto Networks의 코드 보안 접근 방식

IaC(Infrastructure as code) 스캔

IaC(Infrastructure as Code)는 프로덕션에 구축하기 전에 코드로 클라우드 인프라를 보호할 기회입니다. Cortex Cloud는 자동화를 사용하여 소프트웨어 개발 수명 주기 전체적으로 보안을 적용하고, DevOps 툴링에 Terraform, CloudFormation, Kubernetes, Dockerfile, Serverless 및 ARM 템플릿을 위한 워크플로에 보안을 포함합니다.

  • 코드에서 클라우드 보안 검사 자동화

    소프트웨어 개발 수명 주기의 각 단계에서 구성 오류 및 노출된 암호에 대한 자동 검사를 추가합니다.

  • 오픈 소스 및 커뮤니티의 힘 활용

    Cortex Cloud IaC(Infrastructure as Code) 보안을 지원하는 주요 오픈 소스 코드형 정책 도구인 Checkov는 활발한 커뮤니티의 지원을 받고 있으며, 다운로드 횟수는 수백만 회에 달합니다.

  • 코드 보안 피드백을 개발자 도구에 직접 적용

    Cortex Cloud는 개발자가 기존 워크플로에서 코드를 보호하는 데 도움이 되는 IDE, VCS 및 CI/CD 툴링을 위한 네이티브 통합을 제공합니다.

  • 구성 오류에 대한 심층 컨텍스트 포함

    Cortex Cloud는 IaC 리소스에 대한 종속성과 가장 최근 개발자 수정자를 추적하여 대규모 팀에서 협업을 개선합니다.

  • 자동 피드백, 코드로 된 수정 사항 제공

    구성 오류에 대한 풀 요청을 자동화하고, 확인된 구성 오류에 대한 수정 사항 및 Smart Fixes를 커밋합니다.

자세히 알아보기
IaC(Infrastructure as code) 스캔

소프트웨어 구성 분석

대부분 최신 애플리케이션 코드는 오픈 소스 종속성으로 구성됩니다. 실제로 사용 중인 종속성에 대한 인식이 부족하고 핵심 변경 사항 도입에 대한 두려움으로 인해 취약점이 해결되지 않습니다. Cortex Cloud는 개발자 도구와 통합하여 유연하고 세분화된 범프 수정을 지원하여 오픈 소스 패키지의 취약점과 전체 종속성 트리를 식별합니다.

  • 완전한 오픈 소스 보안 신뢰성을 위한 업계 최고의 소스 활용

    Cortex Cloud는 위치에 관계없이 오픈 소스 종속성을 스캔하고, NVD 및 Cortex Cloud Intelligence Stream과 같은 퍼블릭 데이터베이스와 비교하여 취약점을 식별합니다.

  • 모든 종속성 깊이 및 컨텍스트에서 취약점 식별

    Cortex Cloud는 패키지 관리자 데이터를 수집하여 종속성 트리를 가장 먼 계층으로 추론하고 인프라 및 애플리케이션 리스크를 연결하여 복구 우선순위를 더 빠르게 지정합니다.

  • 개발 수명 주기 전체의 오픈 소스 보안 통합

    IDE 및 VCS 풀/병합 요청을 통해 실시간 취약점 피드백을 개발자에게 표면화하고 취약점 임계값을 기준으로 빌드를 차단하여 선제적으로 클라우드 네이티브 환경의 보안을 유지합니다.

  • 핵심 변경 사항을 도입하지 않고 문제 해결

    중요한 기능을 중단할 리스크 없이 직접 및 과도적 종속성의 취약점을 수정할 수 있는 권장 최소 업데이트를 제공합니다. 패키지별로 세분화된 버전을 선택할 수 있는 유연성으로 여러 문제를 한 번에 해결합니다.

소프트웨어 구성 분석

암호 보안

악성 행위자가 자격 증명이 노출된 온라인을 찾아서 악용하는 데는 1분이면 충분합니다. Cortex Cloud를 사용해서 프로덕션 전에 암호를 찾으세요. 개발 환경과 빌드 타임에서 서명과 휴리스틱을 사용하여 IaC 템플릿과 컨테이너 이미지에서 암호를 찾아서 제거할 수 있습니다.

  • 거의 모든 파일에서 암호 찾기

    IaC(Infrastructure as Code) 템플릿, 골든 이미지 및 Git 리포지토리 구성에서 비밀번호 및 토큰을 식별합니다.

  • 개발자 도구의 암호 표면화

    IDE, CLI, 커밋 전, CI/CD 툴링을 통해 코드의 하드 코딩된 암호를 개발자에게 표면화합니다.

  • 다차원 암호 스캔

    정규식, 키워드, 미세 조정된 엔트로피 기반 식별자를 사용하여 일반적인 암호와 일반적이지 않은 암호를 찾아냅니다.

암호 스캔

코드형 정책

기존 보안 테스트는 별도의 도구를 사용하여 조직별로 실행하기 때문에 사일로가 생겨나고 제어 기능을 복제하기 어렵습니다. Cortex Cloud는 코드형 정책으로 복제, 버전 관리 및 라이브 코드 리포지토리 테스트가 가능한 제어 기능을 코드에 내장합니다.

  • 코드를 사용한 정책 설정 및 관리

    IaC 템플릿의 체크리스트, 스킵리스트, 그래프 기반 맞춤형 정책을 Python과 YAML으로 정의, 테스트 및 버전 관리합니다.

  • 코드로 계정 및 에이전트 구축, 구성

    Terraform을 사용하여 계정을 온보딩하고 에이전트를 구축하며 런타임 정책을 구성합니다(예: OpenAPI 및 Swagger 파일 기반 입력 및 보호).

  • 구성 오류에 기본 및 사용자 지정 정책 활용

    Cortex Cloud는 코드에 내장된 수백 가지의 정책을 기본으로 제공하므로 클라우드 리소스와 IaC 템플릿에 사용자 지정 정책을 추가할 수 있습니다.

  • 작성 중인 코드에 직접 피드백 제공

    IaC 템플릿은 자동 수정, 풀/병합 요청 명령, 풀/병합 요청 자동 수정으로 직접 피드백을 받습니다.

자세히 알아보기
코드형 정책

OSS 라이선스 규정 준수

기업마다 오픈 소스 라이선스에 대한 허용 가능한 사용 정책이 있습니다. 수동으로 규정 준수 상태를 검토할 때 요구 사항을 준수하지 않는 오픈 소스 라이브러리가 발견되기만을 기다리지 마세요. Cortex Cloud는 종속성에 대한 오픈 소스 라이선스를 카탈로그로 기록하고, 사용자 지정이 가능한 라이선스 정책을 기준으로 구축을 경고하거나 차단할 수 있습니다.

  • 비용이 많이 들어가는 오픈 소스 라이선스 규정 위반 예방

    피드백을 조기에 표면화하고, 널리 사용되는 모든 언어 및 패키지 관리자를 지원하여 오픈 소스 패키지 라이선스 위반을 기준으로 구축을 차단합니다.

  • git 리포지토리와 그 외의 리포지토리에서 문제 스캔

    Cortex Cloud는 GitHub 및 Bitbucket과 같은 버전 제어 시스템과의 네이티브 통합을 제공하지만 명령줄 도구를 사용하여 모든 리포지토리 유형을 스캔할 수 있습니다.

  • 기본 규칙을 사용하거나 알림 및 차단 사용자 정의

    카피레프트 및 허용적 라이선스에 대한 내부 요구사항에 맞게 라이선스 유형별로 알림과 차단 임계값을 설정합니다.

OSS 라이선스 규정 준수

추가적인 애플리케이션 보안 기능

IaC(Infrastructure as Code) 보안

자동화된 IaC 보안을 개발자 워크플로에 포함

자세히 알아보기

소프트웨어 구성 분석(SCA)

정확성이 높고 컨텍스트를 인식하는 오픈 소스 보안 및 라이선스 규정 준수

자세히 알아보기

소프트웨어 공급망 보안

애플리케이션 개발 환경을 위한 그래프 기반 공급망 보안

자세히 알아보기

암호 보안

리포지토리 및 파이프라인 전체에 대한 풀 스택, 다차원 암호 스캔을 수행합니다.

자세히 알아보기

최신 소식, 이벤트 초대장 및 위협 알림 받기

© Copyright 2025 팔로알토네트웍스코리아 유한회사 Palo Alto Networks Korea, Ltd. All rights reserved. 여러 가지 상표에 대한 소유권은 각 소유자에게 있습니다. 사업자 등록번호: 120-87-72963. 대표자 : 제프리찰스트루 서울특별시 서초구 서초대로74길 4, 1층 (삼성생명 서초타워) TEL: +82-2-568-4353