AWS 보안 및 규정 준수 센터
Amazon Web Services(AWS)는 고객이 광범위한 애플리케이션을 구축할 수 있도록 높은 가용성과 안정성, 그리고 유연성까지 갖춘 확장력이 탁월한 클라우드 컴퓨팅 플랫폼을 제공합니다. 엔드-투-엔드 보안 및 엔드-투-엔드 개인 정보 보호를 위해 AWS는 보안 모범 사례에 따라 서비스를 구축하고, 그 서비스에 적절한 보안 기능을 도입하고, 이 보안 기능의 사용 방법을 문서화합니다. 그리고 AWS 고객은 이러한 보안 기능과 모범 사례를 활용하여 보안에 문제 없는 애플리케이션 환경을 구축해야 합니다. 고객 데이터의 기밀성, 무결성, 가용성 구현은 신뢰와 자신감을 유지할 수 있으므로 AWS에 있어 가장 중요한 부분입니다.
AWS는 백서, 보고서, 인증 및 기타 제3자 증명을 통해, IT 제어 환경에 관한 광범위한 정보를 고객에게 제공합니다. 고객은 이 정보를 통해 사용하는 AWS 서비스에 관련된 제어 기능과 이러한 제어 기능이 독립 감사인의 검증을 어떻게 거쳤는지 쉽게 이해할 수 있습니다. 또한, 고객이 확장된 IT 환경에서 제어 기능이 효과적으로 작동하고 있는지를 검토하고 확인하는 데에도 도움이 됩니다.
이 페이지에는 다음과 같은 범주의 정보가 담겨 있습니다. 아래를 클릭하면 해당 항목으로 이동합니다.
개요
AWS 인프라의 보안을 위해 AWS에서는 다음과 같이 높은 수준의 접근 방식을 취하고 있습니다.
- 보고, 인증 및 자체 증명 AWS는 지금까지 여러 SAS70 Type II 감사를 성공적으로 완수한 바 있으며, 현재 SSAE 16 및 ISAE 3402 프로페셔널 표준 모두에 의거하여 Service Organization Controls 1(SOC 1) 보고서를 발행하였습니다. 또한, AWS는 ISO 27001 인증을 획득하였고, Payment Card Industry(PCI) Data Security Standard(DSS)에 의거하여 1등급 서비스 제공업체로 검증받았습니다. 공공 부문 인증 영역에서, AWS는 FISMA Moderate 등급으로 운영할 수 있는 권한을 U.S. General Services Administration으로부터 받았으며, Defense Information Assurance Certification and Accreditation Program(DIACAP)에 의거하여 Authorities to Operate(ATO)를 획득한 애플리케이션용 플랫폼이기도 합니다. AWS는 계속적으로 적합한 보안 인증을 획득하고 감사를 수행하여 당사 인프라와 서비스 보안을 입증할 것입니다. AWS 클라우드의 위험 및 규정 준수 활동에 대한 자세한 정보는 Amazon Web Services: 위험 및 규정 준수 백서를 참조하십시오.
- 물리적 보안. Amazon은 대규모 데이터 센터를 설계, 구축 및 운영하는 데 있어 유구한 경험을 자랑합니다. AWS 인프라는 Amazon이 제어하는 전 세계 데이터 센터 내에서 안전하게 관리됩니다. Amazon 내에서도 합법적인 사업적 필요가 있는 사람들만 이 데이터 센터의 실제 위치를 알고 있으며, 데이터 센터는 다양한 물리적 통제 장치로 안전하게 관리되기 때문에 무단으로 액세스할 수 없습니다.
- 안전한 서비스. AWS 클라우드의 각 서비스는 안전하게 설계되었으며, 고객이 요구하는 유연성을 훼손하지 않으면서도 무단 액세스나 사용을 방지하는 다양한 보안 기능을 갖추고 있습니다. AWS 클라우드에 포함된 각 서비스의 보안 기능에 대한 자세한 정보는 Amazon Web Services: 보안 프로세스 개요 백서를 참조하십시오.
- 데이터 개인 정보 보호. AWS 사용자는 AWS 클라우드에 보관된 개인 데이터나 사업 데이터를 암호화할 수 있으며, 서비스를 위한 백업 및 중복 절차를 게시하여 고객이 AWS 전체에 걸친 데이터 흐름 방식에 대해 명확히 이해하도록 할 수 있습니다. AWS 클라우드의 각 서비스에 대한 데이터 개인 정보 보호 및 백업 절차에 대한 자세한 정보는 위에 언급된 Amazon Web Services: 보안 프로세스 개요 백서를 참조하십시오.
AWS 보안 센터의 관련 링크를 통해 기술 정보, 도구 및 세부 안내를 참고하면 AWS 클라우드에서 안전한 애플리케이션을 보다 쉽게 구축하고 관리할 수 있습니다. AWS의 목표는 이 포럼을 활용하여 개발자에게 각종 보안 정보를 사전에 미리 통지해주는 것입니다. 이러한 투명성이 바로 AWS와 고객 사이에 신뢰를 형성하는 근간입니다.
인증 및 인가
SOC 1/SSAE 16/ISAE 3402
Amazon Web Services는 현재 Service Organization Controls 1(SOC 1), Type 2 보고서를 발행하고 있습니다. 이 보고서에 대한 감사는 Statement on Standards for Attestation Engagements No. 16(SSAE 16) 및 International Standards for Assurance Engagements No. 3402(ISAE 3402) 프로페셔널 표준에 따라 이행됩니다. 이렇게 이중 표준 보고서를 발행하기 때문에 미국 및 국제 감사 기관의 광범위한 감사 요건을 모두 충족할 수 있습니다. SOC 1 보고서는 AWS의 제어 목표가 적절하게 설계되어 있고, 고객 데이터를 보호하도록 정의되어 있는 개별 제어 기능들이 효과적으로 작동하고 있다는 점을 증명하고 있습니다. AWS는 SOC 1 보고서의 내용을 헌신적으로 준수하고 있으며, 앞으로도 정기 감사 프로세스를 지속해 나갈 것입니다. 이 감사는 Statement on Auditing Standards No. 70(SAS 70) Type II 보고서를 대체합니다.
FISMA Moderate
미국 정부 기관 고객은 AWS를 이용하여 연방 정보 보안 관리법(FISMA)을 지속적으로 준수할 수 있습니다. FISMA에서는 연방 기관이 NIST(National Institute of Standards and Technology) Special Publication 800-53, Revision 3 표준을 근거로 하여, 자체 데이터 및 인프라에 대한 정보 보안 시스템을 개발, 문서화 및 구현하도록 규정하고 있습니다. FISMA Moderate Authorization and Accreditation은 AWS가 광범위한 보안 구성 및 제어 세트를 구현해 운영하도록 규정하고 있습니다. 여기에는 물리, 가상 인프라 보안을 위한 관리, 운영 및 기술 프로세스와 기존의 프로세스와 제어 기능에 대한 제3자 감사를 문서화하라는 항목도 포함되어 있습니다. AWS는 General Services Administration으로부터 인프라에 대한 3년 유효 FISMA Moderate 권한을 획득하였습니다. 또한, 정부 기관과의 협력을 통해 애플리케이션과 워크로드를 인증함으로써 FISMA Moderate 등급의 다른 ATO도 성공적으로 획득하였습니다.
PCI DSS Level 1
AWS는 Level 1 PCI 규정 준수를 달성하였습니다. AWS는 Payment Card Industry(PCI) Data Security Standard(DSS)에 따른 Level 1 서비스 공급자로 성공적으로 인정받았습니다. 현재 상업회사 및 기타 서비스 공급자는 AWS의 PCI 준수 기술 인프라에서 자체 애플리케이션를 실행하여 클라우드에서 신용 카드 정보를 저장, 처리 및 전송할 수 있습니다. 보다 규모가 큰 대기업에서도 여타 PCI 준수 기술 인프라에서 애플리케이션을 실행하여 혜택을 얻을 수 있습니다. PCI 검증을 받은 서비스로는 Amazon Elastic Compute Cloud(EC2), Amazon Simple Storage Service(S3), Amazon Elastic Block Storage(EBS)와 Amazon Virtual Private Cloud(VPC), Amazon Relational Database Service(RDS), Amazon Elastic Load Balancing(ELB), Amazon Identity and Access Management(IAM), 그리고 기본적인 물리적 인프라와 AWS Management Environment가 있습니다.
자세한 정보는 당사 PCI DSS Level 1 FAQ를 참조하십시오.
ISO 27001
AWS는 Amazon Elastic Compute Cloud(Amazon EC2), Amazon Simple Storage Service(Amazon S3) 및 Amazon Virtual Private Cloud(Amazon VPC)를 포함한 서비스, 인프라 및 데이터 센터를 아우르는 Information Security Management System(ISMS)에 대해 ISO 27001 인증
을 획득했습니다. ISO 27001/27002는 일반적으로 널리 적용되는 글로벌 보안 표준으로서, 정기적인 위험 평가를 기반으로 하여 기업 및 고객 정보를 관리하는 체계적인 접근 방식에 대한 모범 사례 및 요건을 규정합니다. 기업이 인증을 획득하려면 기업 및 고객 정보의 기밀성, 무결성, 가용성에 영향을 미치는 정보 보안 위험 관리에 대한 체계적이고 지속적인 접근 방식을 갖추고 있음을 증명해야만 합니다. 보안 관리 및 관행에 투명성을 부여하려는 Amazon의 헌신적인 노력이 이 인증을 통해 한층 강화됩니다. AWS의 ISO 27001 인증에는 전 세계 모든 지역 내 모든 AWS 데이터 센터가 포함되며, AWS는 인증 유지를 위한 공식 프로그램을 구축해 운영하고 있습니다. AWS 고객에게 제공 가능한 ISO 인증에는 ISMS 서비스와 지리적 범위에 대해 설명되어 있습니다.
자세한 정보는 당사 ISO 27001 FAQ를 참조하십시오.
국제 무기거래규정 준수
AWS GovCloud(US) 지역은 미국 국제 무기거래규정(ITAR) 준수를 지원합니다. 포괄적 ITAR 준수 프로그램 관리의 일환으로, ITAR 수출 규정에 구속되는 기업은 보호 대상 데이터에 대한 액세스를 미국 거주민으로 제한하고, 해당 데이터의 물리적 위치를 미국 영토로 제한함으로써 의도하지 않은 부적절한 수출을 통제해야 합니다. AWS GovCloud(US)는 미국에 물리적으로 위치하는 환경을 제공하고, 그 액세스를 미국 거주민인 AWS 직원으로 제한하기 때문에 적격 기업만 ITAR에 따라 보호되는 문서와 데이터를 전송, 처리 및 저장할 수 있습니다. 독립적인 제3자의 감사 결과 AWS GovCloud(US) 환경은 고객 수출 규정 준수 프로그램이 이러한 요건을 충족할 수 있도록 지원하는 적절한 제어 체계를 갖추고 있음을 인증받았습니다.
FIPS 140-2
Federal Information Processing Standard(FIPS) Publication 140-2는 미국 정부 보안 표준으로서, 기밀 정보를 보호하는 암호 모듈의 보안 요건을 규정하고 있습니다. 고객이 FIPS 140-2 요건을 충족할 수 있도록 AWS GovCloud(US)의 Amazon Virtual Private Cloud VPN 끝점과 SSL 종단은 FIPS 140-2 검증 하드웨어를 이용하여 작동합니다. AWS는 AWS GovCloud(US) 고객과 협업하여 고객이 AWS GovCloud(US) 환경을 이용할 때 규정 준수를 원활히 관리하는 데 필요한 정보를 제공합니다.
기타 규정 준수 프로그램
AWS 플랫폼이 제공하는 유연성과 고객 관리 기능 덕분에 산업별 규정 준수 요건에 부합하는 솔루션 배포가 가능합니다.
-
HIPPA: 고객은 AWS에서 HIPPA의 보안 및 개인 정보 보호 규정
을 준수하는 건강 관리 애플리케이션을 구축해 왔습니다. AWS는 건강 관리 관련 전자 기록의 보안을 유지하기 위해 고객이 사용할 수 있는 보안 관리 기능을 제공합니다. 관련 백서를 참조하십시오(아래 링크).
- CSA: AWS는 Cloud Security Alliance(CSA) 평가 질문서 작성을 완료하였습니다. CSA가 발행한 이 질문서는 AWS의 인프라에 존재하는 보안 관리 기능에 대한 참조 및 문서화 방법을 서비스로 제공합니다. 이 질문서(CAIQ)에는 클라우드 고객과 클라우드 감사인이 클라우드 공급업체에 확인하고자 하는 질문 140여개가 수록되어 있습니다.
배경 정보
안전한 클라우드 컴퓨팅 플랫폼을 제공하기까지는 온 프레미스 인프라에 대한 수많은 모범 사례를 구현해보고, 호스팅하는 인프라 환경 고유의 무수한 특성도 추가로 고려해야 하는 과정이 따릅니다. Amazon Web Services: 보안 프로세스 개요 백서에는 안전한 클라우드 컴퓨팅 플랫폼 제공에 있어 AWS가 견지하고 있는 철학에 대한 개요와 배경 정보가 설명되어 있습니다.
-
Amazon Web Services Overview of Security Processes 백서(pdf)
-
Security Best Practices(pdf)
-
Creating HIPAA-Compliant Medical Data Applications with AWS 백서(pdf)
-
AWS Risk and Compliance 백서(pdf)
보안 기능
AWS는 사용자 본인의 신원을 식별하고, 본인의 AWS 계정, 로그인한 AWS 서비스 및 해당 서비스가 호스팅하는 리소스에 안전하게 액세스할 수 있도록 다양한 방법을 갖추고 있습니다. Your Account 아래 Security Credentials 페이지에서 지원되는 모든 자격 증명 목록을 참고할 수 있습니다. 또한 Identity and Access Management(IAM), Multi-Factor Authentication(MFA) 및 키 교체 등 사용자의 AWS 계정을 보호하고 액세스를 통제하기 위한 추가적인 보안 옵션도 제공합니다.
AWS Identity and Access Management(IAM)
AWS Identity and Access Management(IAM)를 이용하면 본인의 AWS 계정에서 여러 사용자를 생성하고, 각 사용자의 권한을 관리할 수 있습니다. 사용자란 AWS 리소스에 액세스하는 데 사용하는 고유한 보안 자격 증명을 가지는 ID(고객 AWS 계정에 포함)입니다. 결국 IAM을 이용하면 암호나 액세스 키를 공유할 필요가 없어져 상황에 따라 각 사용자의 액세스를 쉽게 활성화하거나 비활성화할 수 있습니다.
IAM을 통해 본인의 AWS 계정에 속한 사용자마다 고유한 자격 증명을 할당하고, 사용자가 작업 수행에 필요한 AWS 리소스에 액세스할 수 있는 권한만 부여하는 최소 권한 할당 방식 등으로 보안 모범 사례를 이행할 수 있습니다. IAM은 철저하게 안전합니다. 새로운 사용자는 명시적으로 권한이 부여되기 전까지는 AWS에 액세스할 수 없습니다.
IAM을 통해 본인의 AWS 계정 자격 증명이 무분별하게 이용될 가능성을 최소화하십시오. 대신 IAM 사용자 보안 자격 증명에 따라 AWS 리소스와의 상호 작용이 자유롭게 이루어져야 합니다. AWS Identity and Access Management(IAM)에 대한 자세한 정보는 IAM 페이지를 참조하십시오.
AWS Multi-Factor Authentication(AWS MFA)
AWS Multi-Factor Authentication(AWS MFA)은 사용자의 AWS 계정 설정과 해당 계정이 등록되어 있는 AWS 리소스의 관리를 위한 고급 제어 기능을 갖춘 추가 보안 계층입니다. 이 옵트인 기능을 활성화하면 표준 사용자 이름 및 암호 자격 증명과 함께 6자리로 된 일회용 코드를 제공해야 액세스 권한이 부여됩니다. 이 일회용 코드는 인증 장치 또는 실제 소유하고 있는 휴대 전화의 관련 애플리케이션을 통해 받을 수 있습니다. 액세스 권한이 계정에 부여되기까지 확인하는 요소가 두 가지이기 때문에 Multi-Factor Authentication이라고 합니다. 사용자는 AWS 이메일 ID와 암호(첫 번째 “요소”: 사용자가 아는 사항) 그리고 사용자의 인증 장치에서 얻은 정확한 코드(두 번째 “요소”: 사용자가 갖고 있는 사항), 이 두 가지를 모두 제공해야 합니다. Multi-Factor Authentication은 본인의 AWS 계정뿐 아니라 IAM을 사용해 본인의 AWS 계정 안에 생성한 사용자에 대해서도 활성화할 수 있습니다.
참여하고 있는 타사 공급자로부터 인증 장치를 받거나 휴대 전화에 적절한 소프트웨어를 다운로드 및 설치한 다음 AWS 웹 사이트에서 사용 설정하는 방식으로 쉽게 이용할 수 있습니다. Multi-Factor Authentication에 대한 자세한 정보는 여기에서 참조하십시오.
키 교체
암호를 자주 변경하는 것이 중요한 것과 마찬가지로, AWS는 액세스 키와 인증서를 정기적으로 교체할 것을 권장합니다. AWS는 다중 동시 액세스 키와 인증서를 지원하고 있어서 혹시라도 사용자의 애플리케이션 가용성에 영향을 주는 일 없이 키 교체 작업을 수행할 수 있습니다. 이 기능 덕분에 사용할 키와 인증서를 애플리케이션 다운타임 없이 정기적으로 교체할 수 있습니다. 액세스 키나 인증서가 분실되거나 훼손된다고 해도 크게 염려하지 않아도 됩니다. IAM API를 이용하면 본인의 AWS 계정뿐 아니라 이 AWS 계정 안에 생성한 사용자의 액세스 키도 교체할 수 있습니다.
이 기능에 대한 자세한 정보를 알아보거나 키 교체 기능을 도입하려면 여기를 클릭하십시오.
AWS 공개 PGP 키
AWS 보안 팀은 고객의 의견을 환영합니다. AWS는 보안 취약성 보고와 모의 침투 테스트 요청을 위한 프로세스를 구축했습니다. 특히 사용자가 전송해야 할 수 있는 기밀 내용에 대해서는 서명된 PGP 키를 생성하고 있습니다.
