Amazon Web Services 한국 블로그
AWS Audit Manager 신규 공통 제어 라이브러리 출시 – 위험 및 규정 준수 평가 간소화
AWS Audit Manager를 사용하면 규정 준수 요구 사항을 AWS 사용 데이터에 매핑하고 위험 및 규정 준수 평가의 일환으로 AWS 사용을 지속적으로 감사할 수 있습니다. 오늘 Audit Manager는 사전 정의되고 사전 매핑된 AWS 데이터 소스와 함께 공통 제어를 제공하는 공통 제어 라이브러리를 출시했습니다.
공통 제어 라이브러리는 AWS 공인 감사 담당자가 수행한 광범위한 매핑 및 검토를 기반으로 하며, 증거 수집을 위해 적합한 데이터 소스가 식별되었는지 확인합니다. 거버넌스, 위험 및 규정 준수(GRC) 팀은 증거 수집을 위해 엔터프라이즈 제어를 Audit Manager에 매핑할 때 공통 제어 라이브러리를 사용하여 시간을 절약하고 정보 기술(IT) 팀에 대한 의존도를 줄일 수 있습니다.
공통 제어 라이브러리를 사용하면 동일한 공통 제어와 관련된 여러 프레임워크(예: PCI 또는 HIPAA)의 규정 준수 요구 사항을 한 곳에서 확인할 수 있으므로 여러 프레임워크에서 동시에 감사 준비 상태를 쉽게 파악할 수 있습니다. 이렇게 하면 서로 다른 규정 준수 표준 요구 사항을 개별적으로 구현한 다음 다양한 규정 준수 체제에 대해 결과 데이터를 여러 번 검토할 필요가 없습니다.
또한 이 라이브러리의 제어를 사용하면 Audit Manager가 추가 AWS CloudTrail 이벤트, AWS API 직접 호출, AWS Config 규칙과 같은 새로운 데이터 소스를 업데이트하거나 추가할 때 자동으로 개선 사항을 상속하거나 추가 규정 준수 프레임워크를 공통 제어에 매핑할 수 있습니다. 이렇게 하면 GRC 및 IT 팀이 증거 자료를 지속적으로 업데이트 및 관리하지 않아도 되고 Audit Manager가 라이브러리에 추가하는 추가 규정 준수 프레임워크의 이점을 더 쉽게 활용할 수 있습니다.
예시를 통해 실제로 어떻게 작동하는지 알아보겠습니다.
AWS Audit Manager 공통 제어 라이브러리 사용
항공사의 일반적인 시나리오는 기내식 및 인터넷 액세스 등의 고객 결제를 신용카드로만 할 수 있도록 정책을 구현하는 것입니다. 이 정책을 구현하기 위해 항공사는 ‘고객 거래 데이터를 항상 사용할 수 있는’ IT 운영을 위한 엔터프라이즈 제어 기능을 개발합니다. AWS 기반 애플리케이션이 이 새로운 제어를 충족하는지 여부를 어떻게 모니터링할 수 있을까요?
규정 준수 책임자라고 가정하고, Audit Manager 콘솔을 열고 탐색 모음에서 제어 라이브러리를 선택합니다. 그러면 제어 라이브러리에 새로운 공통 범주가 포함됩니다. 각각의 공통 제어는 AWS 관리형 데이터 소스에서 증거를 수집하는 핵심 제어 그룹에 매핑되며, 이를 통해 중복되는 다양한 규정 및 표준의 준수 여부를 쉽게 입증할 수 있습니다. 공통 제어 라이브러리를 살펴보고 ‘가용성’을 찾아보겠습니다. 그러면 항공사의 예상 요구 사항이 라이브러리의 공통 제어 고가용성 아키텍처에 매핑된다는 것을 알 수 있습니다.
고가용성 아키텍처 공통 제어를 확장하여 기본 핵심 제어를 살펴보겠습니다. 여기에서는 Amazon DynamoDB가 이 목록에 없기 때문에 이 제어가 회사의 모든 요구 사항을 제대로 충족하지 못하는 것을 알 수 있습니다. DynamoDB는 완전관리형 데이터베이스이지만 애플리케이션 아키텍처에서 DynamoDB를 광범위하게 사용하므로 워크로드가 증가하거나 감소할 때 DynamoDB 테이블을 사용하려고 합니다. DynamoDB 테이블에 대해 고정 처리량을 구성한 경우에는 그렇지 않을 수 있습니다.
공통 제어 라이브러리를 다시 살펴보고 ‘중복성’을 찾아봅니다. 내결함성 및 중복성 공통 제어를 확장하여 핵심 제어에 어떻게 매핑되는지 살펴보겠습니다. 여기에서 Amazon DynamoDB 테이블의 Auto Scaling 활성화 핵심 제어를 볼 수 있습니다. 이 핵심 제어는 항공사가 구현한 아키텍처와 관련이 있지만 전체 공통 제어가 필요하지는 않습니다.
또한 공통 제어 고가용성 아키텍처에는 Amazon 관계형 데이터베이스 서비스(RDS)의 다중 AZ 복제가 활성화되었는지 확인하는 몇 가지 핵심 제어 기능이 이미 포함되어 있지만, 이러한 핵심 제어는 AWS Config 규칙을 기반으로 합니다. 항공사에서 AWS Config를 사용하지 않기 때문에 이 사용 사례에는 이 규칙이 적용되지 않습니다. 이 두 가지 핵심 제어 중 하나는 CloudTrail 이벤트도 사용하지만, 해당 이벤트가 모든 시나리오에 적용되지는 않습니다.
규정 준수 책임자이며 실제 리소스 구성을 수집하고 싶다고 가정해 보겠습니다. 이러한 증거를 수집하기 위해 IT 파트너와 간단히 상의하고 고객 관리형 소스를 사용하여 사용자 지정 제어를 생성합니다. api-rds_describedbinstances API 직접 호출을 선택하고 비용을 최적화하기 위해 수집 빈도를 매주 수집하는 것으로 설정합니다.
규정 준수 팀은 IT 팀의 상호 작용을 최소화하면서 사용자 지정 제어 구현을 처리할 수 있습니다. 규정 준수 팀이 IT에 대한 의존도를 줄여야 하는 경우 DynamoDB와 관련된 핵심 제어만 선택하는 대신 두 번째 공통 제어(내결함성 및 중복성) 전체를 구현하면 됩니다. 아키텍처에 따라 필요한 것 이상일 수도 있지만 규정 준수 팀과 IT 팀 모두의 속도를 높이고 시간과 노력을 줄이는 것이 기존 제어 기능을 최적화하는 것보다 더 큰 이득인 경우가 많습니다.
이제 탐색 창에서 프레임워크 라이브러리를 선택하고 이러한 제어를 포함하는 사용자 지정 프레임워크를 생성합니다. 그런 다음 탐색 창에서 평가를 선택하고 사용자 지정 프레임워크가 포함된 평가를 생성합니다. 평가를 생성하고 나면 Audit Manager가 선택한 AWS 계정과 해당 AWS 사용에 대한 증거를 수집하기 시작합니다.
이러한 단계를 따르면 규정 준수 팀은 시스템 설계 및 기존 AWS 서비스에 맞게 구현하여 엔터프라이즈 제어 ‘고객 거래 데이터를 항상 사용할 수 있는지’에 대해 정확하게 보고할 수 있습니다.
알아야 할 사항
공통 제어 라이브러리는 현재 AWS Audit Manager가 제공되는 모든 AWS 리전에서 사용할 수 있습니다. 공통 제어 라이브러리 사용에 따른 추가 비용은 없습니다. 자세한 내용은 AWS Audit Manager 요금을 참조하세요.
이 새로운 기능은 규정 준수 및 위험 평가 프로세스를 간소화하여 GRC 팀의 워크로드를 줄이고 증거 수집을 위해 엔터프라이즈 제어를 Audit Manager에 매핑하는 방법을 간소화합니다. 자세히 알아보려면 AWS Audit Manager 사용 설명서를 참조하세요.
– Danilo