Amazon Web Services 한국 블로그
AWS Marketplace Vendor Insights – 서드파티 소프트웨어 위험 평가 간소화 기능 출시
AWS Marketplace Vendor Insights는 AWS Marketplace의 새로운 기능입니다. 이를 통해 AWS Marketplace에서 솔루션 조달 시 서드파티 소프트웨어 위험 평가를 간소화할 수 있습니다.
데이터 프라이버시 및 상주, 애플리케이션 보안 및 액세스 제어와 같은 보안 및 규정 준수 정보를 하나의 통합 대시보드에서 컴파일하여 서드파티 소프트웨어가 업계 표준을 지속적으로 충족하는지 확인할 수 있습니다.
보안 엔지니어는 이제 몇 개월이 아닌 며칠 만에 서드파티 소프트웨어 위험 평가를 완료할 수 있습니다. 이제 다음을 수행할 수 있습니다.
- Vendor Insights 프로필을 검색하고 액세스하여 AWS Marketplace에서 보안 및 인증 표준을 충족하는 제품을 빠르게 찾아보십시오.
- 공급 업체의 보안 도구 및 감사 보고서에서 수집한 증거와 함께 최신의 검증된 정보에 액세스하고 이를 다운로드해보십시오. 보고서는 AWS Artifact 서드파티 보고서(현재 미리 보기로 제공)에서 다운로드할 수 있습니다.
- 구매 후 소프트웨어의 보안 상태를 모니터링하고 보안 및 규정 준수 이벤트에 대한 알림을 받을 수 있습니다.
소프트웨어 공급 업체는 이제 위험 평가 정보에 대한 구매자 요청에 응답하는 운영 부담을 줄일 수 있습니다. 이 기능은 고객에게 셀프 서비스 액세스 경험을 제공합니다. 이제 다음을 수행할 수 있습니다.
- 제품의 보안 프로필을 구축하려면 ISO 27001 또는 SOC2 유형 2 보고서를 업로드하고 AWS Audit Manager와 함께 소프트웨어 위험 평가를 완료합니다.
- ISO 27001 및 SOC2 유형 2와 같은 규정 준수 보고서를 저장 및 공유하기 위해 AWS Artifact 서드파티 보고서(미리 보기)를 사용하십시오.
- Vendor Insights에 저장한 보안 제어 및 규정 준수 아티팩트를 보기 위한 구매자 요청을 확인 및 승인하십시오.
실제 작동 모습 살펴보기
AWS Marketplace에서 솔루션을 구매하고 싶습니다. 하지만 보안 엔지니어로서 제품을 구매하기 전 규정 준수에 대해 검토하고 싶습니다. AWS Marketplace 페이지(AWS Management Console 내)으로 이동합니다. 좌측의 패싯 검색을 사용하여 ISO 27001을 준수하는 공급 업체를 선택합니다.
제품을 선택합니다. 제품 개요 페이지에서 우측 상단의 평가 데이터 보기(스크린샷에는 표시되지 않음)를 선택합니다. 그러면 수신한 보안 인증 및 만료 날짜가 표시된 개요 페이지가 나타납니다.
보안 및 규정 준수 탭을 선택하고 자세한 보안 및 규정 준수 정보를 보려면 액세스를 요청해야 한다는 것을 확인합니다. 우측 상단의 액세스 요청 버튼을 선택해 공급 업체에 규정 준수 문서에 대한 액세스 권한을 요청합니다.
다음 페이지에서 사용자 정보 양식에 세부 정보를 입력하고 액세스 요청을 선택합니다.
다음 단계 섹션에서는 다음에 일어날 일에 대해 자세히 설명합니다. 판매자가 비공개 계약(NDA)에 서명하기 위해 저에게 연락할 것입니다. 판매자는 NDA에 서명을 받으면 AWS Marketplace에 알립니다. 그러면 공급 업체 인사이트 데이터에 대한 액세스 권한이 부여됩니다.
이 과정에 며칠이 소요될 수 있습니다. 이 데모에서는 규정 준수 데이터에 액세스할 수 있는 가상 제품인 Everest로 전환합니다. 액세스 요청이 수락되면 보안 및 규정 준수 탭이 표시됩니다.
요약 섹션에는 가용 제어 수가 표시됩니다. 증거로 검증한 건수와 셀러가 자체 신고한 건수를 보고합니다. 또한 보고된 비준수 제어의 수를 보여 줍니다.
페이지를 아래로 스크롤하여 감사, 규정 준수 및 보안 정책, 데이터 보안, 액세스 관리, 애플리케이션 보안, 위험 관리 및 사고 대응, 비즈니스 지속성 및 연속성, 최종 사용자 장치 보안, 인프라 보안, 인적 자원, 보안 및 구성 정책 등 여러 범주의 세부 정보를 볼 수 있습니다. 스크린샷에는 모두 나타나지 않습니다.
액세스 제어에 대한 세부 정보를 선택하고 제어 이름 아래의 목록을 확인합니다. 이들 각각에 대하여 SOC2 유형 2, ISO 27001 및 공급업체 자체 평가 관련 규정 준수를 확인할 수 있습니다.
규정 미준수 제품을 선택하여 공급 업체에서 제공한 세부 정보 및 설명을 확인합니다.
필요한 경우 AWS Artifact 서드파티 보고서(미리 보기)를 사용하여 규정 준수 보고서를 다운로드할 수도 있습니다.
소프트웨어 공급 업체용
소프트웨어 공급 업체는 AWS Marketplace에서 SaaS 제품에 대한 보안 프로필을 생성하고 이 프로필을 잠재 구매자 및 기존 구매자와 공유할 수 있습니다. 이를 통해 엔지니어닝과 보안 팀이 고객 설문지에 응답하는 수작업을 줄일 수 있습니다.
보안 프로필을 생성하려면 마켓플레이스 관리 AWS 계정에서 AWS Audit Manager를 사용하여 자체 평가를 완료하고, 가능한 경우 현재 SOC2 Type II 및 ISO27001 규정 준수 아티팩트를 공유하며, 제작 AWS 계정에서 Audit Manager 및 AWS Config를 사용하여 자동 평가를 활성화해야 합니다.
저희 팀은 온보딩 단계를 자동화하기 위해 AWS CloudFormation 템플릿을 생성했습니다. GitHub 리포지토리에서 설정 가이드와 온보딩 템플릿과 같은 기술 리소스를 찾을 수 있습니다. 프로필을 생성하면 Vendor Insights는 Audit Manager 및 AWS Config에서 제공하는 자동화된 증거를 사용하여 보안 프로필을 최신 상태로 유지합니다. 프로필 업데이트는 알림으로 전송됩니다. 구매자와 업데이트를 공유하기 전에 보안 및 규정 준수 팀에서 업데이트를 검토할 수 있습니다.
Vendor Insights를 사용하면 구매자의 구독 요청을 승인하여 제품 보안 프로필에 대한 액세스를 관리할 수 있습니다. 구매자가 액세스를 요청하면 Vendor Insights는 이메일을 통해 연락처 정보를 규정 준수 또는 거래 데스크 운영 팀에 공유합니다. 구매자와 NDA를 완료하고 구매자에게 보안 프로필에 대한 액세스 권한을 부여하도록 AWS Marketplace에 알릴 수 있습니다. 또한 제품의 보안 및 규정 준수 상태 정보를 구매자와 더 이상 공유하고 싶지 않은 경우 추후에 구매자의 구독을 취소하도록 AWS Marketplace에 요청할 수 있습니다.
전체 과정은 AWS Marketplace Vendor Insights 판매자 안내문에 문서화되어 있습니다.
요금 및 가용성
Vendor Insights는 이제 AWS Marketplace를 사용할 수 있는 모든 AWS 리전에 출시되었습니다.
요금 모델은 매우 간단합니다. AWS Marketplace Vendor Insights 사용에는 비용이 부과되지 않습니다.
구매자는 구매 단계에서 자산에 액세스하고 이를 다운로드할 수 있습니다. 60일 후에 제품을 구매하지 않는다면 Vendor Insights 프로필에 액세스할 수 없습니다. 제품을 구매하면 제품의 보안 프로필에 계속 액세스하여 규정 준수 상태를 지속적으로 모니터링할 수 있습니다.
판매자의 경우 AWS Marketplace는 Vendor Insights 활성화 및 사용에 비용을 청구하지 않습니다. Audit Manager 및 AWS Config를 사용할 경우 요금이 부과됩니다.