NIST(National Institute of Standards and Technology)

개요

NIST(National Institute of Standards and Technology) 800-53 보안 제어는 미연방 보안 시스템에 일반적으로 적용 가능합니다. 연방 정보 시스템은 정보 및 정보 시스템의 기밀성, 무결성 및 가용성이 충분히 보호되고 있음을 보장하기 위해 공식 평가 및 인증 절차를 통과해야 합니다.

NIST CSF(Cybersecurity Framework)는 분야나 규모와 관계없이 모든 기업이 사용할 수 있는 권장 기준으로서 전 세계적으로 정부와 업계의 지지를 받고 있습니다. Gartner에 따르면 2015년에 미국 기업의 약 30%가 CSF를 사용하였고 2020년에는 50%에 이를 것이라고 합니다. 2016년부터 연방 기관 FISMA(Federal Information Security Modernization Act) 지표가 CSF를 중심으로 구성되었고 이제 정부 기관은 사이버 보안 행정 명령에 따라 CSF를 구현해야 합니다.

  • 예. AWS 클라우드 인프라 및 서비스는 NIST 800-53 개정안 4 제어 항목 및 추가적인 FedRAMP 요구 사항에 대해 수행된 타사 테스트를 통해 검증을 받았습니다. AWS는 AWS GovCloud(US) 리전과 AWS US 동부/서부 리전 모두에 대해 다수의 승인 기관으로부터 FedRAMP 운영 권한(ATO)을 받았습니다. 자세한 내용은 AWS FedRAMP 규정 준수 웹 페이지 또는 다음 FedRAMP 마켓플레이스 웹 페이지를 참조하십시오.

  • 일부 제어 항목은 AWS에서 상속되지만 제어 항목 대부분은 AWS와 고객 간에 상속을 공유합니다. 제어 책임은 다음과 같습니다.

    • 공동 책임: 고객은 자사 소프트웨어 구성 요소의 보안과 구성을 제공하며, AWS는 자체 인프라의 보안을 제공합니다.
    • 고객 전용 책임: 게스트 운영 체제, 배포된 애플리케이션, 네트워킹 리소스 선택(방화벽 등)은 전적으로 고객의 책임입니다. 구체적으로 말하면, 고객은 클라우드 내부에서의 보안을 구성하고 관리할 전적인 책임을 집니다.
    • AWS 전용 책임: AWS는 네트워크, 데이터 스토리지, 시스템 리소스, 데이터 센터, 물리적 보안, 안정성, 하드웨어 및 소프트웨어 지원 등의 클라우드 인프라를 관리합니다. AWS 시스템을 기반으로 구축된 애플리케이션은 AWS가 제공하는 기능과 구성 가능 옵션을 상속합니다. AWS는 클라우드 자체의 보안을 구성하고 관리할 전적인 책임을 집니다.

    보안 승인을 위해서는 AWS가 AWS 전용 및 공동 제어를 완전히 이행하고, AWS 고객이 고객 전용 및 공동 제어를 완전히 이행할 때만 FedRAMP 요구사항(NIST 800-53 버전 4 낮음/중간/높음 제어 기준 기반)이 준수됩니다. FedRAMP 공인 타사 평가 기관(3PAO)이 AWS의 제어 책임 구현을 평가하고 승인했습니다. 고객이 책임지는 공동 제어 항목 부분과 AWS 인프라 위에 구현하는 애플리케이션과 관련된 제어 항목은 NIST 800-37과 고객 전용 보안 승인 정책 및 절차에 따라 고객이 별도로 평가하고 승인해야 합니다.

  • AWS FedRAMP 준수 시스템은 인증을 받았고, FedRAMP 보안 제어 항목(NIST SP 800-53)을 지원하며, 안전한 FedRAMP 리포지토리에 게시된 보안 패키지에 필요한 FedRAMP 템플릿을 사용하고, 공인 독립 타사 평가 기관(3PAO)의 평가를 받았고, FedRAMP의 지속적인 모니터링 요구 사항을 준수합니다.

    AWS 공동 책임 모델에 따라, AWS는 클라우드 자체의 보안을 관리하며 고객은 클라우드 내부에서의 보안을 책임집니다. 공동 책임을 이행할 수 있도록 AWS는 Landing Zone Accelerator on AWS 솔루션(AWS CloudFormation 기반)을 개발했습니다. Landing Zone Accelerator on AWS 솔루션은 AWS 모범 사례와 NIST 기반의 프레임워크를 포함한 다수의 글로벌 규정 준수 프레임워크를 준수하도록 설계된 클라우드 기반을 배포합니다. 엄격한 규제를 받는 워크로드가 있고 복잡한 규정을 준수해야 하는 고객은 이 솔루션을 통해 다중 계정 환경에 대한 관리 및 거버넌스를 개선할 수 있습니다. 다른 AWS 서비스와 함께 사용할 경우 35개 이상의 AWS 서비스에 걸쳐 포괄적인 로우 코드 솔루션을 제공합니다. AWS 기반 Landing Zone Accelerator 솔루션은 클라우드 규정 준수 프로그램에 대한 준비를 가속화하는 안전하고 탄력적이고 확장 가능하며 완벽하게 자동화된 클라우드 기반을 신속하게 배포하는 데 도움이 됩니다. 참고: 이 솔루션 자체로 규정을 준수할 수 있는 것은 아닙니다. 이 솔루션은 추가적인 보완 솔루션을 통합할 수 있는 기반 인프라를 제공합니다.

  • 공공 및 상업 부문의 조직 모두 NIST Cybersecurity Framework(CSF) 백서를 사용하여 NIST CSF와 비교하여 AWS 환경을 평가하고, 조직에서 구현하고 운영하는 보안 조치(공동 책임 모델에서 고객이 담당하는 부분으로 클라우드 내부에서의 보안이라고도 함)를 개선할 수 있습니다. 고객이 NIST CSF를 준수하는 데 도움이 되도록 AWS에서는 AWS 클라우드 서비스와 관련 고객 및 AWS 책임에 대한 상세한 설명을 제공합니다. 이 백서는 AWS 클라우드 서비스가 NIST CSF 위험 관리 사례에 적합함(공동 책임 모델에서 AWS가 담당하는 부분으로 클라우드 자체의 보안이라고도 함)을 증명하는 외부 감사자 편지를 제공하므로 조직은 AWS 전반에서 데이터를 적절하게 보호할 수 있습니다.

    연방 및 주 기관부터 규제 대상과 대기업에 이르기까지 모든 조직이 이 백서를 NIST CSF에서 위험 관리 성과를 실현할 수 있도록 AWS 솔루션을 구현하는 안내서로 사용할 수 있습니다.

NIST 리소스

NIST 사이버 보안 프레임워크(CSF)
CSF 준수를 위한 AWS 서비스 및 고객 책임 매트릭스[다운로드]
NIST 사이버 보안 프레임워크 파트너
AWS의 연방 및 DoD 워크로드를 위한 Cloud Audit Academy
AWS Quick Start 도구로 AWS GovCloud(미국)에서 NIST 규정 준수 자동화(동영상)
질문이 있으신가요? AWS 영업 담당자와 연결
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »