NIST(National Institute of Standards and Technology)

개요

NIST(National Institute of Standards and Technology) 800-53 보안 제어는 미연방 보안 시스템에 일반적으로 적용 가능합니다. 연방 정보 시스템은 정보 및 정보 시스템의 기밀성, 무결성 및 가용성이 충분히 보호되고 있음을 보장하기 위해 공식 평가 및 인증 절차를 통과해야 합니다.

NIST CSF(Cybersecurity Framework)는 분야나 규모와 관계없이 모든 기업이 사용할 수 있는 권장 기준으로서 전 세계적으로 정부와 업계의 지지를 받고 있습니다. Gartner에 따르면 2015년에 미국 기업의 약 30%가 CSF를 사용하였고 2020년에는 50%에 이를 것이라고 합니다. 2016년부터 연방 기관 FISMA(Federal Information Security Modernization Act) 지표가 CSF를 중심으로 구성되었고 이제 정부 기관은 사이버 보안 행정 명령에 따라 CSF를 구현해야 합니다.

• AWS는 NIST 800-53 프레임워크를 준수합니까?

  예. AWS 클라우드 인프라 및 서비스는 NIST 800-53 개정안 4 제어 항목 및 추가적인 FedRAMP 요구 사항에 대해 수행된 타사 테스트를 통해 검증을 받았습니다. AWS는 AWS GovCloud(US) 리전과 AWS US 동부/서부 리전 모두에 대해 다수의 승인 기관으로부터 FedRAMP 운영 권한(ATO)을 받았습니다. 자세한 내용은 AWS FedRAMP 규정 준수 웹 페이지 또는 다음 FedRAMP 마켓플레이스 웹 페이지를 참조하십시오.
  

  • AWS 동부/서부 리전의 승인 기관 전체 목록

  • AWS GovCloud(US)의 승인 기관 전체 목록

  • AWS GovCloud JAB P-ATO(High Baseline)

• AWS 시스템의 NIST 프레임워크 준수와 관련하여 고객의 책임은 무엇입니까?

  일부 제어 항목은 AWS에서 상속되지만 제어 항목 대부분은 AWS와 고객 간에 상속을 공유합니다. 제어 책임은 다음과 같습니다.

  • 공동 책임: 고객은 자사 소프트웨어 구성 요소의 보안과 구성을 제공하며, AWS는 자체 인프라의 보안을 제공합니다.
  • 고객 전용 책임: 게스트 운영 체제, 배포된 애플리케이션, 네트워킹 리소스 선택(방화벽 등)은 전적으로 고객의 책임입니다. 구체적으로 말하면, 고객은 클라우드 내부에서의 보안을 구성하고 관리할 전적인 책임을 집니다.
  • AWS 전용 책임: AWS는 네트워크, 데이터 스토리지, 시스템 리소스, 데이터 센터, 물리적 보안, 안정성, 하드웨어 및 소프트웨어 지원 등의 클라우드 인프라를 관리합니다. AWS 시스템을 기반으로 구축된 애플리케이션은 AWS가 제공하는 기능과 구성 가능 옵션을 상속합니다. AWS는 클라우드 자체의 보안을 구성하고 관리할 전적인 책임을 집니다.

  보안 승인을 위해서는 AWS가 AWS 전용 및 공동 제어를 완전히 이행하고, AWS 고객이 고객 전용 및 공동 제어를 완전히 이행할 때만 FedRAMP 요구사항(NIST 800-53 버전 4 낮음/중간/높음 제어 기준 기반)이 준수됩니다. FedRAMP 공인 타사 평가 기관(3PAO)이 AWS의 제어 책임 구현을 평가하고 승인했습니다. 고객이 책임지는 공동 제어 항목 부분과 AWS 인프라 위에 구현하는 애플리케이션과 관련된 제어 항목은 NIST 800-37과 고객 전용 보안 승인 정책 및 절차에 따라 고객이 별도로 평가하고 승인해야 합니다.
  

• NIST 프레임워크 준수를 실현하는 데 AWS가 어떤 도움을 줄 수 있습니까?

  AWS FedRAMP 준수 시스템은 인증을 받았고, FedRAMP 보안 제어 항목(NIST SP 800-53)을 지원하며, 안전한 FedRAMP 리포지토리에 게시된 보안 패키지에 필요한 FedRAMP 템플릿을 사용하고, 공인 독립 타사 평가 기관(3PAO)의 평가를 받았고, FedRAMP의 지속적인 모니터링 요구 사항을 준수합니다.

  AWS 공동 책임 모델에 따라, AWS는 클라우드 자체의 보안을 관리하며 고객은 클라우드 내부에서의 보안을 책임집니다. 고객의 공동 책임 구현을 지원하기 위해 AWS에서는 클릭 한 번으로 AWS 클라우드에서 중요한 기술 배포를 자동화하는 Quick Start 솔루션(AWS CloudFormation에서 제공)을 만들었습니다. 각 Quick Start는 NIST 800-53과 같은 보안 표준 및 프레임워크의 규정 준수를 지원하는 워크로드를 AWS에 배포하는 데 필요한 AWS 컴퓨팅, 네트워크, 스토리지 및 기타 서비스를 시작하고 구성하고 실행합니다.

  AWS Quick Start는 체계적으로 실행할 수 있는 포괄적인 규칙 세트를 통해 보안 기준을 간소화, 자동화 및 구현합니다. 예를 들어 AWS 클라우드의 NIST 기반 보증 프레임워크용 표준화 아키텍처 Quick Start는 AWS CloudFormation 템플릿을 포함합니다. 이러한 템플릿은 AWS Service Catalog에 통합되어 NIST 800-53 수정 버전 4와 NIST 800-171 범위에 속하는 표준화된 기준 아키텍처 워크로드 구축을 자동화할 수 있습니다. 또한 이 Quick Start에는 보안 제어 항목을 아키텍처 결정, 기능 및 기준 구성에 매핑하는 보안 제어 참조도 포함되어 있습니다. Quick Starts는 고객 조직의 AWS 클라우드 보안 및 규정 준수 목표에 적합한 방식으로 AWS에서 규정 준수를 구현하려는 고객의 노력에 도움이 될 수 있습니다.
  

• NIST CSF를 사용하려면 어떻게 해야 합니까?

  공공 및 상업 부문의 조직 모두 NIST Cybersecurity Framework(CSF) 백서를 사용하여 NIST CSF와 비교하여 AWS 환경을 평가하고, 조직에서 구현하고 운영하는 보안 조치(공동 책임 모델에서 고객이 담당하는 부분으로 클라우드 내부에서의 보안이라고도 함)를 개선할 수 있습니다. 고객이 NIST CSF를 준수하는 데 도움이 되도록 AWS에서는 AWS 클라우드 서비스와 관련 고객 및 AWS 책임에 대한 상세한 설명을 제공합니다. 이 백서는 AWS 클라우드 서비스가 NIST CSF 위험 관리 사례에 적합함(공동 책임 모델에서 AWS가 담당하는 부분으로 클라우드 자체의 보안이라고도 함)을 증명하는 외부 감사자 편지를 제공하므로 조직은 AWS 전반에서 데이터를 적절하게 보호할 수 있습니다.

  연방 및 주 기관부터 규제 대상과 대기업에 이르기까지 모든 조직이 이 백서를 NIST CSF에서 위험 관리 성과를 실현할 수 있도록 AWS 솔루션을 구현하는 안내서로 사용할 수 있습니다.
  

NIST 리소스