보안 관점: 규정 준수 및 보증

보안 거버넌스 - 보안 역할, 책임, 정책, 프로세스, 절차를 개발 및 유지하고 효과적으로 전달합니다. 명확한 책임 라인을 보장하는 것은 보안 프로그램의 효율성에 매우 중요합니다. 산업 및/또는 조직에 적용되는 자산, 보안 위험 및 규정 준수 요구 사항을 이해하면 보안 노력의 우선 순위를 정하는 데 도움이 됩니다. 지속적인 방향과 조언을 제공하면 팀이 신속하게 대응하여 혁신을 가속화하는 데 도움이 됩니다.

클라우드 내부 보안에 대한 책임을 이해합니다. 관련 이해 관계자, 자산, 정보 교환에 대한 인벤토리를 작성하고 분류하며 우선 순위를 지정합니다. 산업 및/또는 조직에 적용되는 법률, 규칙, 규정, 표준/프레임워크를 식별합니다. 조직에 대해 연간 위험 평가를 수행합니다. 위험 평가는 식별된 위험 및/또는 취약성이 조직에 영향을 미칠 가능성과 영향을 결정하는 데 도움이 될 수 있습니다. 식별된 보안 역할과 책임에 충분한 리소스를 할당합니다. 규정 준수 요구 사항과 조직의 위험 허용 수준에 따라 보안 정책, 프로세스, 절차 및 제어를 개발하고 진화하는 위험 및 요구 사항에 따라 지속적으로 업데이트합니다.

보안 보증 - 보안 및 개인정보 보호 프로그램의 효과를 지속적으로 모니터링, 평가, 관리, 개선합니다. 조직과 서비스를 제공 받는 고객은 구현된 제어 기능을 통해 규정 요구 사항을 충족하고 비즈니스 목표와 위험 허용 수준에 따라 보안 및 개인정보 보호 위험을 효과적이고 효율적으로 관리할 수 있다는 신뢰와 확신이 필요합니다.

제어를 포괄적인 제어 프레임워크에 문서화하고 해당 목표를 충족하는 입증 가능한 보안 및 개인정보 보호 제어를 설정합니다. 클라우드 공급 업체가 확보한 감사 보고서, 규정 준수 인증 또는 증명을 검토하면 적용된 제어와 해당 제어가 검증된 방법을 파악하고, 확장된 IT 환경 제어가 효율적으로 운영되는지 여부를 이해하는 데 도움이 됩니다.

환경을 지속적으로 모니터링 및 평가하여 제어의 운영 효율성을 확인하고 규정 및 업계 표준 준수를 입증합니다. 보안 정책, 프로세스, 절차, 제어, 기록을 검토하고 필요에 따라 주요 담당자를 인터뷰합니다.

자격 증명 및 권한 관리 - 규모에 맞게 자격 증명 및 권한을 관리합니다. AWS 리소스 및 통합 애플리케이션DMF 로그인, 액세스, 프로비저닝 또는 오케스트레이션할 수 있도록 AWS에서 자격 증명을 생성하거나 자격 증명 소스를 연결한 다음 사용자에게 필요한 권한을 부여합니다. 효과적인 자격 증명 및 액세스 관리를 통해 적합한 사람과 기계가 적절한 조건에서 올바른 리소스에 액세스할 수 있는지 검증할 수 있습니다.

AWS Well-Architected Framework는 자격 증명을 관리하기 위한 관련 개념, 설계 원칙 및 아키텍처 모범 사례를 설명합니다. 여기에는 중앙 집중식 자격 증명 공급자에 대한 의존, 대규모 임시 자격 증명에 대한 세분화된 액세스를 위한 사용자 그룹 및 속성 활용, 멀티 팩터 인증(MFA)과 같은 강력한 로그인 메커니즘 사용이 포함됩니다. 인적 자격 증명과 머신 자격 증명으로 AWS 및 워크로드에 대한 액세스를 제어하려면 특정 조건에서 특정 리소스에 관한 특정 서비스 작업에 대한 권한을 설정합니다. 환경과 사용자 기반이 성장함에 따라 올바른 엔터티가 올바른 리소스에 액세스할 수 있도록 최소 권한 원칙을 사용하고, 권한 경계를 설정하고, 서비스 제어 정책을 사용합니다. 또한 정책을 확장할 수 있도록 속성 기반 권한(ABAC)을 부여하고, 정책이 필요한 보호 기능을 제공하는지 지속적으로 검증합니다.

위협 탐지 - 잠재적 보안 구성 오류, 위협 또는 예기치 않은 동작을 이해하고 식별합니다. 보안 위협을 더 잘 이해하면 보호 제어의 우선 순위를 정할 수 있습니다. 효과적인 위협 탐지를 통해 위협에 더 빠르게 대응하고 보안 이벤트로부터 학습할 수 있습니다. 전술, 운영, 전략적 인텔리전스 목표와 전반적인 방법론에 대해 합의합니다. 관련 데이터 원본을 마이닝하고, 데이터를 처리 및 분석하며, 인사이트를 전파하고 운영합니다.

환경 내 어디서나 모니터링을 배포하여 필수 정보를 수집하고 임시 위치에서 특정 유형의 트랜잭션을 추적합니다. 네트워크 트래픽, 운영 체제, 애플리케이션, 데이터베이스, 엔드포인트 디바이스 등 여러 이벤트 소스의 모니터링 데이터를 상호 연결하여 강력한 보안 태세를 제공하고 가시성을 개선합니다. 사기 기술(예: 허니팟)을 활용하여 승인되지 않은 사용자 행동 패턴을 파악할 것을 고려합니다.

취약성 관리 - 보안 취약성을 지속적으로 식별, 분류, 해결, 완화합니다. 기존 시스템을 변경하거나 새 시스템을 추가하는 경우에도 취약성이 발생할 수 있습니다. 취약성을 주기적으로 검사하여 새로운 위협으로부터 보호합니다. 취약성 스캐너와 엔드포인트 에이전트를 사용하여 시스템을 알려진 취약성과 연결합니다. 취약성 위험에 따라 수정 조치의 우선 순위를 지정합니다. 수정 조치를 적용하고 관련 이해 관계자에게 보고합니다. 레드 팀 구성 및 침투 테스트를 활용하여 시스템 아키텍처의 취약성을 식별하고 필요에 따라 클라우드 공급자에게 사전 승인을 받습니다.

인프라 보호 - 의도하지 않은 무단 침입 및 잠재적 취약성으로부터 워크로드 내의 시스템과 서비스가 보호되는지 확인합니다. 의도하지 않은 무단 액세스 및 잠재적 취약성으로부터 인프라를 보호하면 클라우드의 보안 태세를 높이는 데 도움이 됩니다. 심층적 방어를 활용하여 데이터와 시스템을 보호하기 위한 일련의 방어 메커니즘을 계층화합니다.

프라이빗 서브넷에서 인터넷 액세스를 위한 요구 사항 없이 네트워크 계층을 생성하고 워크로드를 배치할 수 있습니다. 보안 그룹, 네트워크 액세스 제어 목록 및 네트워크 방화벽을 사용하여 트래픽을 제어합니다. 가치에 따라 시스템과 데이터에 제로 트러스트를 적용합니다. 클라우드 리소스에 대한 프라이빗 연결을 위해 가상 프라이빗 클라우드(VPC) 엔드포인트를 활용합니다. 예를 들어 웹 애플리케이션 방화벽 및/또는 네트워크 방화벽을 통해 각 계층에서 트래픽을 검사하고 필터링합니다. 강화된 운영 체제 이미지를 사용하고 온프레미스와 엣지에서 하이브리드 클라우드 인프라를 물리적으로 보호합니다.

데이터 보호 - 데이터에 대한 가시성과 제어력을 유지하고 조직에서 데이터를 액세스하여 사용하는 방식을 유지 관리합니다. 의도하지 않은 무단 액세스 및 잠재적 취약성으로부터 데이터를 보호하는 것은 보안 프로그램의 주요 목표 중 하나입니다. 적절한 보호 및 보존 제어를 결정하는 데 도움이 되도록 중요도 및 민감도(예: 개인 식별 정보)를 기준으로 데이터를 분류합니다. 데이터 보호 제어 및 수명 주기 관리 정책을 정의합니다. 저장된 데이터와 전송 중인 데이터를 모두 암호화하고 민감한 데이터를 별도의 계정에 저장합니다. 기계 학습을 활용하여 민감한 데이터를 자동으로 검색, 분류 및 보호합니다.

애플리케이션 보안 - 소프트웨어 개발 프로세스 중에 보안 취약성을 탐지하고 해결합니다. 애플리케이션의 코딩 단계에서 보안 결함을 발견하고 해결할 때 시간, 노력, 비용을 절약하고 프로덕션을 시작할 때 보안 태세를 신뢰할 수 있습니다. 코드 및 종속성의 취약성을 스캔하고 패치하여 새로운 위협으로부터 보호합니다. 개발 및 운영 프로세스와 도구 전반에서 보안 관련 작업을 자동화하여 인적 개입의 필요성을 최소화합니다. 정적 코드 분석 도구를 사용하여 일반적인 보안 문제를 식별합니다.

인시던트 대응 - 보안 인시던트에 효과적으로 대응하여 잠재적 피해를 줄입니다. 보안 인시던트에 신속하고 효과적이며 일관되게 대응하여 잠재적 피해를 줄일 수 있습니다. 클라우드 기술과 조직에서 이러한 기술을 어떻게 사용하고자 하는지에 대해 보안 운영 및 인시던트 대응에 참여하는 팀을 교육합니다. 런북을 개발하고 인시던트 대응 메커니즘 라이브러리를 생성합니다. 주요 이해 관계자를 포함시켜 선택 사항이 더 넓은 조직에 미치는 영향을 정확히 파악합니다.

테이블 탑 연습 및 게임 데이를 통해 보안 이벤트를 시뮬레이션하고 인시던트 대응을 연습합니다. 시뮬레이션 결과를 반복하여 대응 태세를 강화하고, 가치 창출 시간을 단축하고, 위험을 더 줄입니다. 표준화된 메커니즘을 활용하여 근본 원인을 식별하고 해결함으로써 사고 후 분석을 수행하여 보안 인시던트로부터 학습할 수 있습니다.