보안 소유권 분배 - AWS 규범적 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 소유권 분배

AWS 공동 책임 모델은 클라우드 보안 AWS 및 규정 준수에 대한 책임을 고객이 공유하는 방법을 정의합니다. 이 모델에서는 에서 제공하는 모든 서비스를 실행하는 인프라를 보호하며 AWS 클라우드, AWS 고객은 데이터와 애플리케이션을 보호할 책임이 있습니다. AWS

이 모델을 조직 내부에 반영하여 클라우드 팀과 애플리케이션 팀 간에 책임을 분산할 수 있습니다. 애플리케이션 팀이 애플리케이션의 특정 보안 측면에 대한 소유권을 가지므로 클라우드 보안 프로그램을 보다 효과적으로 확장할 수 있습니다. 공동 책임 모델에 대한 가장 간단한 해석은 리소스를 구성할 수 있는 액세스 권한이 있으면 해당 리소스의 보안을 책임져야 한다는 것입니다.

애플리케이션 팀에 보안 책임을 분배할 때 가장 중요한 부분은 애플리케이션 팀이 자동화하는 데 도움이 되는 셀프 서비스 보안 도구를 구축하는 것입니다. 처음에는 공동 작업이 필요할 수 있습니다. 보안 팀이 보안 요구 사항을 코드 스캔 도구로 변환하면 애플리케이션 팀이 이러한 도구를 사용하여 솔루션을 빌드하고 내부 개발자 커뮤니티와 공유할 수 있습니다. 이를 통해 유사한 보안 요구 사항을 충족해야 하는 다른 팀의 효율성이 향상됩니다.

다음 표에는 애플리케이션 팀에 소유권을 분배하는 단계가 요약되어 있으며 예시가 나와 있습니다.

단계 작업
1 보안 요구 사항 정의 — 달성하고자 하는 것은 무엇입니까? 이는 보안 표준 또는 규정 준수 요구 사항에서 비롯된 것일 수 있습니다. 보안 요구 사항의 예로는 애플리케이션 ID에 대한 최소 권한 액세스가 있습니다.
2 보안 요구 사항에 대한 제어 항목 열거 — 제어 관점에서 이 요구 사항이 실제로 의미하는 바는 무엇입니까? 이를 달성하려면 어떻게 해야 하나요?

애플리케이션 ID에 대한 최소 권한을 달성하기 위한 두 가지 샘플 컨트롤은 다음과 같습니다.

  • (IAM) 역할 사용 AWS Identity and Access Management

  • IAM 정책에 와일드카드를 사용하지 마세요.
3 컨트롤에 대한 문서 지침 — 이러한 컨트롤을 통해 개발자가 제어를 준수하는 데 도움이 되도록 개발자에게 어떤 지침을 제공할 수 있습니까? 처음에는 보안 및 비보안 IAM 정책과 Amazon Simple Storage Service (Amazon S3) 버킷 정책을 비롯한 간단한 예제 정책을 문서화하는 것으로 시작할 수 있습니다. 다음으로, 사전 평가를 위한 규칙을 사용하는 것과 같이 지속적 통합 및 지속적 전송 (CI/CD) 파이프라인 내에 정책 스캔 솔루션을 내장할 수 있습니다.AWS Config
4 재사용 가능한 아티팩트 개발 — 이 지침에 따라 이를 더 쉽게 만들고 개발자를 위해 재사용 가능한 아티팩트를 개발할 수 있을까요? IaC (코드형 인프라) 를 만들어 최소 권한 원칙을 따르는 IAM 정책을 배포할 수 있습니다. 이러한 재사용 가능한 아티팩트를 코드 리포지토리에 저장할 수 있습니다.

셀프 서비스는 모든 보안 요구 사항에 적합하지 않을 수 있지만 표준 시나리오에서는 작동할 수 있습니다. 이러한 단계를 따르면 조직은 애플리케이션 팀이 확장 가능한 방식으로 자체 보안 책임을 더 많이 처리할 수 있도록 역량을 강화할 수 있습니다. 전반적으로 분산 책임 모델은 많은 조직 내에서 보다 협력적인 보안 관행으로 이어집니다.