클라우드에서 MPAA에 대한 정보를 받고 싶습니다.

미국 영화 협회(MPAA)는 보호된 미디어 및 콘텐츠를 안전하게 보관, 처리 및 전송할 수 있는 모범 사례를 마련했습니다(http://www.fightfilmtheft.org/facility-security-program.html/). 미디어 회사는 자사 콘텐츠 및 인프라의 보안과 위험을 평가하는 방법으로 이러한 모범 사례를 활용합니다.

MPAA는 "인증"을 제공하지는 않지만, 미디어 산업 고객은 MPAA 모범 사례에 부합되는 AWS에 관해 설명하는 AWS MPAA 지침을 사용하여 AWS상의 MPAA 유형 콘텐츠에 대한 위험 평가를 강화할 수 있습니다.

디지털 미디어 솔루션에 대한 추가 정보는 아래 사이트를 참조:

https://aws.amazon.com/digital-media/


AWS는 Virtual Private Cloud(VPC)를 통해 데이터 센터를 클라우드로 안전하게 확장할 수 있는 유연한 방법을 제공해 주었습니다. 기존 하드웨어/정책 및 절차를 활용하여 안전하고, 원활하며, 확장 가능하고, 관리에 리소스가 거의 들지 않는 컴퓨팅 환경을 만들 수 있었습니다.

Theresa Miller 정보기술 부문 수석 부사장, LIONSGATE

모범 사례
정보 보안 프로그램과 위험 평가 결과를 정기적으로 검토하도록 요구하여 경영진/소유자가 정보 보안 기능을 관리할 수 있도록 보장합니다.
 
AWS 구현      
Amazon의 규제 환경은 회사의 경영진에서부터 시작됩니다. 경영진과 선임 책임자는 회사의 우선 순위와 핵심 가치 형성에 중요한 역할을 합니다. AWS는 COBIT(Control Objectives for Information and related Technology) 프레임워크를 기반으로 정보 보안 프레임워크 및 정책을 구축하고, ISO 27002 규제 항목, 미국 공인 회계사 협회(AICPA) 트러스트 서비스 원칙, PCI DSS v3.1, NIST(National Institute of Standards and Technology) Publication 800-53 Rev 3(연방 정보 시스템 보안 규제 항목 권고안)을 기준으로 ISO 27001 인증 가능 프레임워크를 효과적으로 통합했습니다. AWS 직원은 정기적으로 역할 기반 교육을 이수하며 이 교육에는 AWS 보안 교육이 포함됩니다. 규정 준수 감사는 직원들이 수립된 정책을 이해하고 따르게 하기 위해 수행됩니다.      
       
모범 사례
     
시설과 관련된 콘텐츠 도용 및 유출 위험을 식별하고 우선순위를 지정하기 위해 콘텐츠 워크플로와 중요한 자산에 초점을 맞춘 공식적인 보안 위험 평가 프로세스를 개발합니다.      
       
AWS 구현      
AWS는 최소한 일년에 한번 업데이트되고 검토되며 문서화된 공식적인 위험 평가 정책을 구현했습니다. 이 정책은 목적, 범위, 역할, 책임 및 경영진의 헌신을 다룹니다.

이 정책의 하나로, AWS 규정 준수 팀에서 모든 AWS 리전과 비즈니스를 대상으로 한 연간 위험 평가를 수행하고 AWS 고위 경영진에서 이를 검토합니다. 이는 독립적인 감사자가 수행하는 인증, 인가 및 보고서 외에 추가로 진행됩니다. 위험 평가의 목적은 AWS의 위협 및 취약성을 파악하고, 위협 및 취약성에 위험 등급을 지정하고, 평가 내용을 공식적으로 문서화하고, 문제를 해결하기 위한 위험 처리 계획을 수립하는 것입니다. 위험 평가 결과는 AWS 고위 경영진에서 매년 검토하고 더불어 현격한 변화가 발생하여 연간 위험 평가 이전에 새로운 위험 평가를 해야 할 때 검토합니다.

고객은 자신의 데이터(콘텐츠)에 대한 소유권을 유지하고, 규정 준수 요구를 충족할 수 있도록 데이터 워크플로와 관련된 위험을 평가하고 관리할 책임이 있습니다.

AWS 위험 관리 프레임워크는 SOC, PCI DSS, ISO 27001 및 FedRAMPsm 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.
     
       
모범 사례
보안 1차 담당자를 파악하고 콘텐츠 및 자산 보호에 대한 역할과 책임을 공식적으로 정의합니다.
 
AWS 구현      
AWS는 AWS 보안 팀에서 관리하고 AWS CISO(최고 정보 보안 책임자)가 이끄는 정보 보안 조직을 구성했습니다. AWS는 AWS를 지원하는 모든 정부 시스템 사용자에게 보안 인식 교육을 지속적으로 제공합니다. 매년 진행되는 보안 인식 교육의 주제는 보안 및 인식 교육의 목적, 모든 AWS 정책의 위치, AWS 인시던트 대응 절차(내부/외부 보안 사건을 보고하는 방법에 대한 지침 포함)를 포함합니다.

AWS 내 시스템은 주요 운영 및 보안 지표를 모니터링하기 위해 광범위하게 활용됩니다. 주요 지표가 조기 경보 임계값을 초과하는 경우 운영 및 관리 담당자에게 자동으로 통보하도록 경보가 구성되어 있습니다. 임계값이 초과하면, AWS 인시던트 대응 프로세스가 시작됩니다.  Amazon 인시던트 대응 팀은 비즈니스에 영향을 미치는 이벤트 발생 시 해결책을 모색하기 위해 업계 표준의 진단 절차를 사용합니다. 직원은 연중무휴 24시간 운영되며 인시던트를 감지하고 인시던트의 영향과 해결책을 관리합니다.

AWS 역할 및 책임은 SOC, PCI DSS, ISO 27001 및 FedRAMPsm 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.
     
       
모범 사례      
자산 및 콘텐츠 보안에 대한 정책과 절차를 확립합니다. 정책은 최소한 다음 항목을 포함해야 합니다.
• 인사관리 정책
• 사용 제한(예: 소셜 네트워킹, 인트라넷, 전화 등)
• 자산 분류
• 자산 취급 정책
• 디지털 기록 디바이스(예: 스마트폰, 디지털 카메라, 캠코더)
• 예외 정책 (예: 정책 편차를 문서화하는 프로세스)
• 암호 관리(예: 암호 최소 길이, 화면보호기)
• 시설에서 고객 자산 제거 금지
• 시스템 변경 관리
• 내부고발자 정책
• 제재 정책(예: 징계 정책)
     
       
AWS 구현      
AWS의 규정 준수 및 보안 팀은 COBIT(Control Objectives for Information and related Technology) 프레임워크를 기반으로 정보 보안 프레임워크 및 정책을 구축하고, ISO 27002 제어, 미국 공인 회계사 협회(AICPA) 트러스트 서비스 원칙, PCI DSS v3.0, 미국 국립표준기술연구소(NIST) Publication 800-53 Rev 3(연방 정보 시스템 보안 통제 권고안)을 기준으로 ISO 27001 인증 가능 프레임워크를 효과적으로 통합했습니다.

AWS는 AWS를 지원하는 모든 정부 시스템 사용자에게 보안 인식 교육을 지속적으로 제공합니다. 매년 진행되는 보안 인식 교육의 주제는 보안 및 인식 교육의 목적, 모든 AWS 정책의 위치, AWS 인시던트 대응 절차(내부/외부 보안 사건을 보고하는 방법에 대한 지침 포함)를 포함합니다.

AWS 정책, 절차 및 관련 교육 프로그램은 SOC, PCI DSS, ISO 27001 및 FedRAMPsm 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.
     
모범 사례      
보안 인시던트가 탐지 및 보고된 경우 취해야 할 조치를 설명하는 공식적인 인시던트 대응 계획을 수립합니다.      
AWS 구현

AWS는 문서화된 공식적인 인시던트 대응 정책 및 프로그램을 구현했습니다. 이 정책은 목적, 범위, 역할, 책임 및 경영진의 헌신을 다룹니다.

AWS는 다음과 같은 3단계 접근 방식을 사용하여 인시던트를 관리합니다.
1. 활성화 및 알림 단계: AWS의 인시던트는 이벤트 탐지에서 시작됩니다. 다음과 같은 출처를 통해 이벤트가 탐지됩니다.
a. 지표 및 경보 – AWS는 탁월한 상황 인지 기능을 유지합니다. 대부분 문제가 연중무휴 24시간 모니터링과 실시간 지표 및 서비스 대시보드의 경보를 통해 신속하게 탐지됩니다. 인시던트 대부분이 이를 통해 탐지됩니다. AWS는 조기 지표 경보를 활용하여 궁극적으로 고객에게 영향을 미칠 수 있는 문제를 사전에 파악합니다.
b. AWS 직원이 입력한 문제 티켓
c. 연중무휴 24시간 기술 지원 핫라인으로 걸려온 전화

이벤트가 인시던트 범주에 해당하면, 대기 중인 관련 지원 엔지니어가 AWS 이벤트 관리 도구 시스템을 사용하여 조치를 시작하고 관련 프로그램 해결 담당자(예: 보안 팀)에게 연락합니다. 해결 담당자는 인시던트 분석을 수행하여 다른 해결 담당자가 추가로 개입해야 하는지를 결정하고 대략적인 근본 원인을 파악합니다.

2. 복구 단계 – 관련 해결 담당자는 오류 수정을 수행하여 인시던트를 해결합니다. 문제 해결, 오류 수정 및 손상된 구성 요소가 해결되면, 해결 책임자는 후속 문서화 작업 및 후속 조치와 관련한 다음 단계를 지정하고 해결 업무를 종료합니다.

3. 복원 단계 – 관련 해결 활동이 완료되면, 해결 책임자는 복구 단계가 완료되었음을 공표합니다. 인시던트의 사후 분석과 근본 원인 분석은 관련 팀에게 지정됩니다. 사후 분석의 결과는 관련 고위 경영진이 검토하며, 설계 변경과 같은 관련 작업은 COE(오류 수정) 문서에 기재되고 완료를 추적하게 됩니다.

위에 설명된 내부 커뮤니게이션 메커니즘에 추가로 AWS에서는 고객 기반 및 커뮤니티를 지원할 수 있도록 다양한 외부 커뮤니케이션 방법을 구현했습니다. 고객 지원 팀이 고객의 경험에 영향을 미치는 운영 문제를 전달받을 수 있도록 메커니즘이 마련되어 있습니다. 고객 지원 팀에서 제공 및 관리하는 "서비스 상태 대시보드"는 고객에게 광범위하게 영향을 미칠 수 있는 모든 문제를 알려줍니다.


AWS 인시던트 관리 프로그램은 SOC, PCI DSS, ISO 27001 및 FedRAMPsm 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.

고객이 자체 게스트 운영 체제, 소프트웨어, 애플리케이션 및 데이터에 대한 소유권 및 제어권을 유지하므로, 워크플로 문서화 콘텐츠(데이터)에 대한 책임은 AWS 고객에게 있습니다.

모범 사례      

모든 직원과 타사 작업자에 대해 배경 조회를 시행합니다.

     
       
AWS 구현      
AWS는 준거법에서 허용하는 범위 내에서 채용 전 적격 심사 관행의 하나로 직원의 직위와 AWS 시설에 대한 접근 권한에 따라 범죄 경력 조회를 시행합니다.

AWS 신원 조회 프로그램은 SOC, PCI DSS, ISO 27001 및 FedRAMPsm 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.
     
       
모범 사례      
모든 직원과 타사 작업자는 채용 시, 그리고 그 이후로 매년 콘텐츠 취급 및 보호에 대한 요건이 포함된 기밀 협약(예: 비밀 유지)에 서명해야 합니다.      
       
AWS 구현      
Amazon 법률 자문 팀이 Amazon NDA(비밀 유지 계약)를 관리하고 AWS 비즈니스 요구를 반영하기 위해 정기적으로 개정합니다.

AWS의 NDA(비밀 유지 계약) 사용은 ISO 27001 및 FedRAMPsm 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.
     
       
모범 사례      
제한 구역에 대한 전자 액세스를 기록하고 검토하여 의심스러운 이벤트가 있는지 확인합니다.      
       
AWS 구현      

건물 주변과 진입점에서 비디오 감시, 침입 탐지 시스템 및 기타 전자 수단을 활용하여 전문 보안 직원이 물리적인 액세스를 통제합니다.
정문, 하역장, 지붕의 문/출입구 등을 비롯해 AWS 데이터 센터로 통하는 모든 출입구는 문이 강제로 열리거나 열린 채로 있는 경우, AWS 중앙 물리적 보안 모니터링에서 경보를 울리고 경보를 생성하는 침입 탐지 디바이스로 보안됩니다.

AWS 데이터 센터에서는 전자 메커니즘에 추가 조치로 훈련된 보안 경비원을 연중무휴 24시간 빌딩 내부 및 외부에 배치합니다. 모든 경보는 보안 경비원이 조사하고 모든 인시던트에 대해 근본 원인을 문서화합니다. SLA 시간 내에 대응이 이루어지지 않는 경우, 모든 경보는 자동 에스컬레이션되도록 설정됩니다.

서버 위치에 접근할 수 있는 물리적 액세스 지점은 AWS 데이터 센터 물리적 보안 정책에 정의된 대로 CCTV(폐쇄 회로 TV 카메라)로 녹화됩니다. 법률 또는 계약 의무 조항에서 30일로 제한하지 않는 한, 이미지는 90일간 보관됩니다.

AWS 물리적 보안 메커니즘은 SOC, PCI DSS, ISO 27001 및 FedRAMPsm 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.

     
       
모범 사례      

물리적 자산(예: 고객 자산 및 새로 생성된 자산)을 상세하게 추적할 수 있는 콘텐츠 자산 관리 시스템을 구현하십시오.

     
       
AWS 구현      
콘텐츠 자산 관리는 AWS 고객이 소유하고, 구현하며, 운영합니다. 물리적 자산의 인벤토리 추적을 구현할 책임은 고객에게 있습니다.

AWS 데이터 센터 환경의 경우, 데이터 센터에서 발송하고 배송받는 서버, 랙, 네트워크 디바이스, 하드 드라이브 및 시스템 하드웨어 구성 요소를 비롯한(이에 국한되지 않음) 모든 새로운 정보 시스템 구성 요소는 데이터 센터 관리자에게 알려야 하며 사전 승인을 받아야 합니다. 각 AWS 데이터 센터의 하역장으로 배송되는 물품은 AWS 정직원이 패키지의 손상이나 변조를 검사하고 서명합니다. 수송품이 도착하면, AWS 자산 관리 시스템 및 디바이스 인벤토리 추적 시스템으로 물품을 스캔하고 캡처합니다.

물품을 받으면, 데이터 센터 공간에 설치되기 전까지 데이터 센터 내의 장비 창고에 보관됩니다. 이 창고에 액세스하려면 명찰을 판독기에 대고 PIN도 입력해야 합니다. 물품은 데이터 센터를 떠나기 전에 스캔, 추적 및 무결 처리되어야 데이터 센터에서 내보내도록 승인을 받을 수 있습니다.        

AWS 자산 관리 프로세스 및 절차는 PCI DSS, ISO 27001 및 FedRAMPsm 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.
     
       
모범 사례      
디지털 콘텐츠를 처리하거나 보관하는 시스템(데스크톱/서버)에 대한 인터넷 액세스를 금지합니다.      
       
AWS 구현      
규칙 세트, 액세스 통제 목록(ACL) 및 구성을 적용하는 경계 보안 디바이스는 네트워크 패브릭 간의 정보 흐름을 강제 적용합니다. 이러한 디바이스는 모두 거부 모드로 구성되므로, 승인된 방화벽이 연결을 허용하도록 설정되어야 합니다. AWS 네트워크 방화벽 관리에 대한 자세한 내용은 DS-2.0을 참조하십시오.

AWS 자산에는 내제된 이메일 기능이 없으며 포트 25는 사용되지 않습니다. 고객(예: 스튜디오, 처리 시설 등)은 시스템을 사용하여 이메일 기능을 호스팅할 수 있지만, 이 경우 이메일 진입점과 출구점에 적절한 수준의 스팸 및 맬웨어 탐지 기능을 적용하고 새로운 버전이 출시되면 스팸과 맬웨어 정의를 업데이트할 책임은 고객에게 있습니다.

Amazon 자산(예: 노트북)은 이메일 필터링과 맬웨어 탐지 기능이 포함된 백신 소프트웨어와 함께 구성됩니다.

AWS 네트워크 방화벽 관리 및 Amazon 백신 프로그램은 SOC, PCI DSS, ISO 27001 및 FedRAMP sm에 대한 AWS의 지속적인 규정 준수의 일부로서 독립적인 외부 감사자가 검토합니다.
     
       
blank
blank
MPAA AWS 클라우드
AWS MPAA
MPAA 규정 준수

 

문의하기