NIST에 대한 정보를 받고 싶습니다.
보안을 고려한 설계

NIST(National Institute of Standards and Technology) 800-53 보안 제어는 연방 보안 시스템에 일반적으로 적용 가능합니다. 이것은 보안 카테고리, 시스템의 영향 수준(낮음, 중간, 높음)과 위험 판단을 바탕으로 정보와 정보 시스템의 기밀성, 완전성 및 가용성을 충분히 보호할 수 있도록 정식 평가 및 승인 절차를 통과해야 하는 시스템을 말합니다.

NIST(National Institute of Standards and Technology) CSF(Cybersecurity Framework)는 분야나 규모와 관계없이 모든 기업이 사용할 수 있는 권장 기준으로서 전 세계적으로 정부와 업계의 지지를 받아왔습니다. Gartner에 따르면 미국 기업의 약 30%가 CSF를 사용하고 있으며 2020년에는 50%에 이를 것으로 예상됩니다. 2016년부터 연방 기관 FISMA(Federal Information Security Modernization Act) 지표가 CSF를 중심으로 구성되었고 이제 정부 기관은 보안 행정 명령에 따라 CSF를 구현해야 합니다.


AWS의 NIST 호환 클라우드 인프라 서비스는 NIST 800-53 버전 4 제어 및 FedRAMP 요구 사항을 바탕으로 실시한 타사 테스트를 통해 검증되었습니다. AWS는 AWS GovCloud(US) 리전과 AWS US East/West 리전 모두에 대해 다수의 공식 대리인으로부터 FedRAMP ATO(Authorizations to Operate)를 받았습니다. 자세한 내용은 다음 링크를 참조하십시오.

•   AWS East/West 리전의 공식 대리인 전체 목록을 확인하고 싶다면  여기를 방문하십시오.

•   AWS GovCloud의 공식 대리인 전체 목록을 확인하고 싶다면  여기를 방문하십시오.

•   상위 기준의 AWS GovCloud JAB P-ATO를 확인하고 싶다면  여기를 방문하십시오.

AWS FedRAMP 프로그램에 대해 자세히 알고 싶다면 FedRAMP 웹페이지를 방문하십시오.

AWS에서만 상속받은 제어도 있지만 대부분의 제어는 AWS 고객과 AWS 간의 상속을 공유합니다. NDA에 따라 AWS는 적용 가능한 NIST 800-5 버전 4 저/중/고 제어 기준에 따라 작성한 NIST 800-53 버전 4를 바탕으로 하는 AWS FedRAMP SSP 템플릿을 제공합니다. 제어 책임은 다음과 같습니다.

• 공동 책임: AWS 고객은 고객 소프트웨어 구성요소의 보안과 구성을 제공하며, AWS는 자체 인프라의 보안을 제공합니다.

• 고객 전용 책임: 게스트 운영 체제, 배포된 애플리케이션, 네트워킹 자원(방화벽 등) 선택은 전적으로 고객의 책임입니다. 구체적으로 말하면 AWS 고객은 클라우드 "내의" 보안을 구성하고 관리할 전적인 책임을 집니다.

• AWS 전용 책임: AWS는 네트워크, 데이터 스토리지, 시스템 리소스, 데이터 센터, 물리적 보안, 안정성, 하드웨어 및 소프트웨어 지원 등의 클라우드 인프라를 관리합니다. AWS 시스템을 기반으로 구축한 애플리케이션은 AWS가 제공하는 기능과 구성 가능 옵션을 상속합니다. AWS는 클라우드 "자체의" 보안을 구성하고 관리할 전적인 책임을 집니다.

보안 승인을 위해 (NIST 800-53 버전 4 저/중/고 제어 기준을 바탕으로 한) FedRAMP 요구사항은 AWS가 AWS 전용 및 공동 제어를 완전히 이행하고, AWS 고객이 고객 전용 및 공동 제어를 완전히 이행할 때만 준수됩니다. FedRAMP가 승인한 3PAO(타사 평가 조직)는 AWS의 제어 책임 이행 여부를 평가하고 승인합니다. AWS 고객이 책임지는 공유 제어 부분과, AWS 고객이 AWS 인프라를 바탕으로 실행하는 애플리케이션 관련 제어는 NIST 800-37과 고객 전용 보안 승인 정책 및 절차에 따라 AWS 고객이 각각 별도로 평가하고 승인해야 합니다.

AWS FedRAMP 호환 시스템은 권한을 부여받고, FedRAMP 보안 제어(NIST SP 800-53)를 처리하고, 안전한 FedRAMP 리포지토리에 등록한 보안 패키지에 필요한 FedRAMP 템플릿을 이용하고, 승인받은 독립 타사(3PAO) 평가자의 평가를 받으며, FedRAMP의 지속적인 모니터링 요구 사항을 준수하고 있습니다.

AWS 공동 책임 모델에 따라 AWS는 클라우드 자체의 보안을 관리하며, 고객은 클라우드 내부의 보안을 책임집니다. 고객의 공동 책임 이행을 지원하고자 AWS Quick Start(AWS CloudFormation 제공)는 클릭 한 번으로 AWS의 주요 기술을 자동으로 배포합니다. 모든 Quick Start는 PCI DSS 및 NIST 800-53 같은 공통 보안 표준 및 프레임워크 호환을 구현하는 AWS 상의 워크로드 배포에 필요한 AWS 컴퓨팅, 네트워크, 스토리지 및 기타 서비스를 시작, 구성, 실행합니다.

Quick Start는 체계적으로 실행할 수 있는 포괄적인 규정 모음을 바탕으로 보안 기준의 효율화, 자동화와 실행을 구현합니다. 예를 들어 AWS 클라우드의 NIST 기반 보증 프레임워크용 표준화 아키텍처 Quick Start는 AWS CloudFormation 템플릿을 포함합니다. 이러한 템플릿은 AWS Service Catalog에 통합되어 NIST 800-53(버전 4)과 NIST 800-171 범위에 속하는 표준화된 기준 아키텍처 워크로드 구축을 자동화할 수 있습니다. 또한 Quick Start에는 보안 제어 아키텍처 결정, 기능 및 기준 구성을 보여주는 보안 제어 참조도 포함되어 있습니다. 이상의 요소는 고객이 속한 조직의 AWS 클라우드 보안 및 규정 준수 목표에 적합한 방식으로 AWS를 준수하려는 고객의 노력에 도움이 될 것입니다.

공공 및 상업 부문의 조직 모두 이 백서를 사용하여 NIST CSF에 대한 AWS 환경을 평가하고 자사가 구현하고 운영하는 보안 조치(클라우드에서의 보안이라고 함)를 개선할 수 있습니다. AWS에서는 NIST CSF를 준수하는 데 도움이 되도록 AWS 클라우드 제품과 관련 고객 및 AWS의 책임에 대한 상세한 설명을 제공합니다. 이 백서는 AWS 클라우드 제품이 NIST CSF 위험 관리 사례에 적합함(클라우드의 보안이라고 함)을 증명하는 타사 감사자 편지를 제공하므로 조직은 AWS에서 데이터를 적절하게 보호할 수 있습니다.

연방 및 주 기관부터 규제 대상과 대기업에 이르기까지 모든 조직이 이 백서를 NIST CSF의 위험 관리 성과를 거두기 위한 AWS 솔루션 구현 안내서로 사용할 수 있습니다.


600x400_NIST_Logo

 

AWS에 문의