OWASP Cloud-Native Application Security Top 10 요약
OWASP Cloud-Native Application Security Top 10 요약
OWASP Cloud-Native Application Security Top 10 프로젝트는 컨테이너, 마이크로서비스, 서비스 메시, 불변 인프라, 선언형 API 같은 클라우드 네이티브 환경에서 자주 발생하는 보안 위협을 정의하고, 이를 안전하게 실행하기 위한 안내를 제공하기 위한 커뮤니티 기반 가이드입니다.
최신 업데이트는 2022년 4월이며, 현재도 활발하게 개선 중입니다.:contentReference[oaicite:3]{index=3}
예비(Interim) Cloud-Native Top 10 보안 위험 목록 (Under Review)
-
CNAS-1: Insecure Cloud, Container or Orchestration Configuration
클라우드 스토리지 버킷이 공개 설정되어 있거나, 컨테이너가 루트(root) 권한으로 실행되는 등 잘못된 구성. -
CNAS-2: Injection Flaws (App Layer, Cloud Events, Cloud Services)
SQL/NoSQL 인젝션, XXE, 서버리스 이벤트 주입 등 다양한 인젝션 취약점. -
CNAS-3: Improper Authentication & Authorization
인증되지 않은 API 접근, 과도한 IAM 역할 권한, 오케스트레이터의 권한 설정 부실 등. -
CNAS-4: CI/CD Pipeline & Software Supply Chain Flaws
인증 없는 CI/CD 시스템, 신뢰할 수 없는 이미지 사용, 레지스트리 통신 보안 미비 등.
요약
| 범주 | 설명 |
|---|---|
| 프로젝트 상태 | 2022년 4월 이후에도 업데이트 및 기여자 모집 중인 활발한 프로젝트:contentReference[oaicite:4]{index=4} |
| 목표 | 클라우드 네이티브 아키텍처가 직면한 고유한 보안 리스크를 명확히 하고, 안전한 구현 방안을 제공 |
| 구조 | 현재는 4개 위험 항목 기반의 예비 리스트 형태로 발표됨 |
작성자 안내
이 글은 현재 공개된 예비 목록을 기반으로 작성되었습니다.
프로젝트는 개발 중이며, 추가 항목이나 세부 가이드가 향후 공개될 가능성이 있습니다.
따라서 참고 시점에 따라 최신 정보를 공식 OWASP 페이지에서 확인하시는 것을 추천드립니다.
참고 링크
- OWASP Cloud-Native Application Security Top 10 (공식 페이지)
https://owasp.org/www-project-cloud-native-application-security-top-10/
2022-04 업데이트, 예비 리스트 포함:contentReference[oaicite:5]{index=5}
Velog에 그대로 붙여 넣어 사용하셔도 깔끔히 렌더링됩니다.
추가로 각 항목별 방어 전략이나 세부 예시가 필요하시면 말씀 주세요.
::contentReference[oaicite:6]{index=6}
