ITPE * JackerLab

개요Terrascan은 Tenable(구 Accurics)에서 개발한 오픈소스 보안 도구로, Terraform, Kubernetes, Docker, Helm, CloudFormation 등 IaC(Infrastructure as Code) 구성 파일을 분석하여 보안 정책 위반, 오탐 구성, 규정 비준수 여부를 탐지합니다. DevSecOps 환경에서 IaC 보안의 핵심 도구로 자리잡고 있으며, 클라우드 리소스 배포 전 단계에서 자동화된 보안 검증을 수행합니다.1. 개념 및 정의 항목 내용 비고 정의코드형 인프라(IaC)의 보안 및 규정 준수를 자동으로 분석하는 도구Policy-as-Code 엔진 기반목적클라우드 리소스 구성의 사전 검증 및 자동 보안 강화DevSecOps 환경 최적화필요성IaC 확산에 ..

개요Compliance-as-Code는 보안 및 규제 준수 요구사항을 코드로 정의하고 자동화하여, 시스템 운영 중에도 지속적으로 정책 위반을 감지하고 수정할 수 있도록 하는 접근 방식이다. DevSecOps의 필수 구성 요소로, 인프라/애플리케이션/운영 단계 전반에 걸쳐 규정 준수 상태를 코드 기반으로 통합 관리할 수 있다는 점에서 각광받고 있다.1. 개념 및 정의Compliance-as-Code는 보안, 프라이버시, 산업 표준(예: ISO 27001, GDPR, PCI-DSS 등)의 규제 요건을 코드로 선언하고 이를 CI/CD 및 운영 환경에 통합함으로써, 자동화된 규정 준수 점검 및 시정 조치를 가능케 한다. 사람이 수동으로 규정 체크를 하던 전통 방식에서 벗어나, 코드 기반의 선언적 규칙 및 정책으..