공동 책임 모델
보안과 규정 준수는 AWS와 고객의 공동 책임입니다. 이 공유 모델은 AWS가 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안에 이르기까지 구성 요소를 운영, 관리 및 제어하므로 고객의 운영 부담을 경감할 수 있습니다. 고객은 게스트 운영 체제(업데이트 및 보안 패치 포함) 및 다른 관련 애플리케이션 소프트웨어를 관리하고 AWS에서 제공한 보안 그룹 방화벽을 구성할 책임이 있습니다. 고객은 서비스를 선택할 때 신중하게 고려해야 합니다. 고객의 책임이 사용되는 서비스, IT 환경에서 이러한 서비스의 통합, 그리고 관계 법규에 다라 달라지기 때문입니다. 또한, 이러한 공동 책임의 특성은 배포를 허용하는 고객 제어권과 유연성을 제공합니다. 아래 차트에서 볼 수 있듯이 이러한 책임의 차이를 일반적으로 클라우드'의' 보안과 클라우드'에서의' 보안이라고 부릅니다.
AWS 책임 '클라우드의 보안' – AWS는 AWS 클라우드에서 제공되는 모든 서비스를 실행하는 인프라를 보호할 책임이 있습니다. 이 인프라는 AWS 클라우드 서비스를 실행하는 하드웨어, 소프트웨어, 네트워킹 및 시설로 구성됩니다.
고객 책임 '클라우드에서의 보안' – 고객 책임은 고객이 선택하는 AWS 클라우드 서비스에 따라 달라집니다. 이에 따라 고객이 보안 책임의 일부로 수행해야 하는 구성 작업량이 정해집니다. 예를 들어, Amazon Elastic Compute Cloud (Amazon EC2) 같은 서비스는 Iaas(Ifrastructure as a Service)로 분류되고 고객이 필요한 모든 보안 구성 및 관리 작업을 수행하도록 요구합니다. Amazon EC2 인스턴스를 배포하는 고객은 게스트 운영 체제의 관리(업데이트, 보안 패치 등), 고객이 인스턴스에 설치한 모든 애플리케이션 소프트웨어 또는 유틸리티의 관리, 인스턴스별로 AWS에서 제공한 방화벽(보안 그룹이라고 부름)의 구성 관리에 대한 책임이 있습니다. Amazon S3 및 Amazon DynamoDB와 같은 추상화 서비스의 경우, AWS는 인프라 계층, 운영 체제, 플랫폼을 운영하고 고객은 데이터를 저장하고 검색하기 위해 엔드포인트에 액세스합니다. 고객은 데이터 관리(암호화 옵션 포함), 자산 분류, 적절한 허가를 부여하는 IAM 도구 사용에 책임이 있습니다.
이 고객/AWS 공동 책임 모델은 IT 제어까지도 확장됩니다. IT 환경을 운영할 책임이 AWS와 고객 간에 분담되는 것과 마찬가지로 IT 제어의 관리, 운영 및 검증도 분담됩니다. AWS는 AWS 환경에서 배포되는 물리적 인프라와 관련하여 이전에는 고객이 관리해야 했던 제어 항목을 대신 관리함으로써 고객이 제어를 운영하는 부담을 경감하도록 도울 수 있습니다. 모든 고객이 AWS에서 다르게 배포되므로 고객은 특정 IT 제어 항목의 관리를 AWS로 이전함으로써 (새로운) 분산형 제어 환경의 이점을 활용할 수 있습니다. 고객은 제공되는 AWS 제어 및 규정 준수 설명서를 사용하여 필요에 따라 제어 평가 및 확인 절차를 수행할 수 있습니다. 다음은 AWS, AWS 고객 및/또는 양쪽에서 관리하는 제어 항목의 예입니다.
상속된 제어 항목 – 고객이 AWS로부터 전적으로 상속받는 제어 항목.
- 물리적 및 환경 제어 항목
공유된 제어 항목 – 인프라 계층과 고객 계층에 모두 적용되지만, 컨텍스트 또는 관점이 완벽하게 구분되는 제어 항목. 공유된 제어에서는 AWS는 인프라에 대한 요구 사항을 제공하고 고객은 자사의 AWS 서비스 사용 내에서 자체적인 제어 구현을 제공해야 합니다. 예:
- 패치 관리 – AWS는 인프라와 관련된 결함 수정과 패치에 대한 책임이 있으며, 고객은 게스트 OS와 애플리케이션 패치에 대한 책임이 있습니다.
- 구성 관리 – AWS는 인프라 디바이스의 구성을 유지 관리하고, 고객은 자체 게스트 운영 체제, 데이터베이스 및 애플리케이션의 구성에 대한 책임이 있습니다.
- 인지 및 교육 – AWS는 AWS 직원을 교육하고, 고객은 자사의 직원을 교육해야 합니다.
고객 특정 – 고객이 AWS 서비스 내에서 배포하는 애플리케이션에 따라 전적으로 고객의 책임인 제어 항목. 예:
- 고객이 특정 보안 환경 내에서 데이터를 라우팅하거나 영역을 지정해야 할 수 있는 서비스 및 통신 보호 또는 영역 보안.
AWS 공동 책임 모델의 실제 적용
고객은 AWS 공동 책임 모델을 이해하고 클라우드 운영에 일반적으로 적용하는 방법을 확인한 후 해당하는 사용 사례에 어떻게 적용할지 결정해야 합니다. 고객의 책임은 선택한 AWS 서비스 및 리전, 고객의 IT 환경에 통합된 서비스와 조직 및 워크로드에 적용되는 법률 및 규정과 같은 여러 요인에 따라 달라집니다.
다음 연습은 특정 사용 사례를 기반으로 책임의 분배를 결정하는 데 도움이 될 수 있습니다.
외부 및 내부 보안과 관련 규정 준수 요구 사항 및 목표를 결정한 후 NIST Cybersecurity Framework(CSF) 및 ISO와 같은 산업 프레임워크를 고려합니다.
AWS Cloud Adoption Framework(CAF) 및 Well-Architected 모범 사례를 사용하여 대규모 디지털 전환을 계획하고 실행합니다.
AWS 서비스 설명서의 보안 챕터에서 개별 AWS 서비스의 보안 기능 및 구성 옵션을 검토합니다.
AWS 보안, 자격 증명 및 규정 준수 서비스를 평가하여 이러한 서비스가 조직의 보안 및 규정 준수 목표를 충족하는 데 어떤 도움이 되는지 확인합니다.
서드 파티 감사 증명서를 검토하여 상속된 제어 기능과 환경에 구현해야 하는 나머지 제어 기능을 결정합니다.
Cloud Audit Academy 교육 프로그램을 활용하여 클라우드 관련 학습 기회를 내부 및 외부 감사 팀에 제공합니다.
AWS 워크로드에 대한 Well-Architected 검토를 시행하여 보안, 안정성 및 성능에 대한 모범 사례 구현을 평가합니다.
AWS에서 실행되는 소프트웨어를 검색, 테스트, 구매 및 배포할 수 있도록 수천 개의 ISV(Independent Software Vendor) 소프트웨어 제품 목록을 제공하는 AWS Marketplace 디지털 카탈로그에서 사용할 수 있는 솔루션을 살펴봅니다.
깊이 있는 기술 전문 지식과 입증된 고객 성공 사례를 통해 초기 마이그레이션부터 지속적인 일상적 관리에 이르는 모든 클라우드 채택 단계를 안전하게 보호하는 AWS 보안 컴피턴시 파트너를 살펴봅니다.
