Amazon Web Services 한국 블로그
AWS Audit Manager, 최초 서드 파티 거버넌스, 위험 및 규정 준수 통합 지원
감사는 꾸준히 이루어지는 지속적인 프로세스이며, 모든 감사는 증거 수집을 수반합니다. 수집된 증거는 리소스의 상태를 확인하는 데 도움이 되며, 고객의 정책, 절차 및 활동(통제 수단)이 적절하고 제어 기능이 지정된 기간 동안 운영되었음을 입증하는 데 사용됩니다. AWS Audit Manager는 이미 AWS 사용에 대해 이러한 증거 수집을 자동화하고 있습니다. 하지만 클라우드, 온프레미스 또는 이 둘의 조합과 같은 다양한 위치에 워크로드를 배포하는 대기업 조직은 서드 파티 또는 자체 개발 도구, 스프레드시트 및 이메일을 조합하여 이러한 증거 데이터를 관리합니다.
오늘 AWS Audit Manager를 GRC 역량을 갖춘 AWS 파트너이자 서드 파티 거버넌스, 위험 및 규정 준수(GRC) 제공업체인 MetricStream CyberGRC와 통합한다는 소식을 발표합니다. 이번 통합으로 기업은 중앙 집중식 GRC 환경에서 AWS, 온프레미스 및 기타 클라우드 환경 전반의 규정 준수를 관리할 수 있게 됩니다.
이번 발표 이전에 Audit Manager는 AWS 컨텍스트에서만 운영되어 고객이 AWS의 리소스에 대한 규정 준수 증거를 수집할 수 있도록 했습니다. 그런 다음 추가 집계 및 분석을 위해 해당 정보를 AWS 외부의 GRC 시스템으로 전달해야 했습니다. 이 프로세스로 인해 고객이 한곳에서 모든 규정 준수 데이터를 모니터링하고 평가할 수 있는 자동화된 방법이 없어 규정 준수 성과를 실현하는 시간이 지연되었습니다.
GRC와 Audit Manager의 통합으로, Audit Manager가 수집한 감사 증거를 MetricStream CyberGRC에서 바로 사용할 수 있게 됩니다. 이제 Audit Manager는 MetricStream CyberGRC로부터 범위 내에서 제어를 받고, 이러한 제어와 관련된 증거를 수집하며, 감사 관련 데이터를 MetricStream CyberGRC로 내보내 집계 및 분석을 수행합니다. 이제 통합 규정 준수, 실시간 모니터링 및 중앙 집중식 보고를 이용할 수 있게 됩니다. 이를 통해 규정 준수와 관련한 작업 부담이 줄어들고 이해 관계자의 협업이 개선됩니다.
작동 방식
Amazon Cognito 사용자 풀을 사용하여 사용자를 MetricStream CyberGRC의 멀티 테넌트 인스턴스에 온보딩합니다.
사용자가 온보딩되고 나면 MetricStream CyberGRC 내에서 AWS 자산과 프레임워크를 볼 수 있게 됩니다. 그런 다음 먼저 적합한 Audit Manager 프레임워크를 선택하여 기존 엔터프라이즈 제어 항목과 AWS 제어 항목 간의 관계를 정의할 수 있습니다. 이 일회성 제어 매핑을 생성한 후에는 범위 내의 계정을 정의하여 MetricStream CyberGRC가 사용자를 대신하여 AWS Audit Manager에서 관리할 평가를 생성할 수 있습니다. 이 평가를 통해 AWS Audit Manager는 매핑된 제어 항목의 컨텍스트에서 증거를 수집합니다. 따라서 GRC 애플리케이션 내의 규정 준수 증거를 통합하여 볼 수 있습니다. Audit Manager에 있는 모든 표준 컨트롤은 자동 매핑이 실패하거나 충분하지 않은 경우 GetControl
API를 사용한 수동 매핑 프로세스를 지원함으로써 MetricStream CyberGRC에 제공됩니다. EvidenceFinder
API는 Audit Manager로부터 MetricStream CyberGRC로 대량의 증거를 전송합니다.
지금 이용 가능
이 기능은 현재 Audit Manager(AWS 리전)와 MetricStream CyberGRC가 모두 지원되는 리전에서 사용할 수 있습니다. 이 통합 기능을 사용하는 데 따른 추가 AWS Audit Manager 요금은 없습니다. 이 통합 기능을 사용하려면 MetricStream에 문의하여 MetricStream CyberGRC 소프트웨어의 액세스 권한 및 구매에 대한 정보를 확인하세요.
AWS 프리 티어의 일부로서, AWS Audit Manager는 처음 이용하는 고객에게 프리 티어를 제공합니다. 프리 티어는 첫 구독 후 2개월 후에 만료됩니다. 자세한 내용은 AWS Audit Manager 요금을 참조하세요. AWS Audit Manager와 MetricStream CyberGRC의 통합에 대해 자세히 알아보려면 Audit Manager 설명서를 참조하세요.
– Veliswa