보안을 고려한 설계에 대한 정보를 받고 싶습니다.
보안을 고려한 설계

보안을 고려한 설계(SbD)는 AWS 계정 설계를 체계화하고, 보안 제어를 자동화하며, 감사를 간소화하는 보안 보증 접근 방식입니다. 소급적으로 보안 감사에 의존하는 대신 SbD는 AWS IT 관리 프로세스 전체에 구축된 보안 제어 기능을 제공합니다. 보안을 고려한 설계 CloudFormation 템플릿을 사용하면 클라우드의 보안과 규정 준수가 좀 더 효율적이며 포괄적이 될 수 있습니다.

SbD는 여러 산업, 표준 및 보안 범주에 걸쳐 규모에 따라 보안 및 규정 준수에 대한 4단계 접근 방식을 포함합니다. AWS SbD는 고객이 권한, 로깅, 신뢰 관계, 암호화 적용, 승인된 머신 이미지 사용 지시 등 모든 것을 AWS 고객 환경 내에서 설계할 수 있도록 함으로써 모든 보안 단계에 대한 보안 및 규정 준수 기능을 설계할 때 사용할 수 있습니다. SbD를 사용하면 고객이 AWS 계정의 프런트 엔드 구조를 자동화할 수 있으므로 보안 및 규정 준수를 AWS 계정에 안정적으로 코딩하고 규정을 준수하지 않는 IT 제어는 과거의 일로 만들 수 있습니다.


SbD는 AWS에서 실행되는 AWS 고객 인프라, 운영 체제, 서비스 및 애플리케이션에 대한 제어 책임, 보안 기준의 자동화, 보안 구성 및 제어 기능의 고객 감사를 간략하게 설명합니다. 이러한 표준화되고, 자동화되고, 규범적이며, 반복 가능한 설계는 여러 산업 및 워크로드 전체에서 일반 사용 사례, 보안 표준 및 감사 요구 사항에 대해 배포할 수 있습니다.

AWS는 다음 4단계 접근 방식을 따라 보안과 규정 준수를 AWS 계정에 구축할 것을 권장합니다.

1단계 – 요구 사항 이해. 정책을 간략히 서술한 후, AWS에서 상속받은 제어 기능을 기록합니다. 그런 다음 AWS 환경에서 고객이 소유하고 운영하는 제어 기능을 기록하고 AWS IT 환경 내에서 적용하고자 하는 보안 규칙을 결정합니다.

2단계 – 요구 사항과 구현에 적합한 "안전한 환경"을 구축. 암호화 요구 사항(S3 객체에 서버 측 암호화 적용), 리소스에 대한 권한(특정 환경에 어떤 역할이 적용되는지), 어떤 컴퓨팅 이미지가 승인되는지(고객이 승인한 서버의 강화된 이미지에 따라), 어떤 종류의 로깅이 활성화되어야 하는지(해당하는 리소스에 CloudTrail 사용을 강제 적용) 등을 비롯하여 필요한 구성을 AWS 구성 값의 형태로 정의합니다. AWS에서 다양한 구성 옵션 집합(상시 릴리스되는 새로운 서비스 포함)을 제공하므로, 제공되는 템플릿을 사용하여 보안 제어에 부합하도록 환경을 설정할 수 있습니다. 이러한 보안 템플릿(AWS CloudFormation 템플릿 형태)에서는 시스템 방식으로 적용할 수 있는 좀 더 포괄적인 규칙 집합을 제공합니다. AWS는 여러 보안 프레임워크를 준수하는 보안 규칙을 제공하도록 템플릿을 개발했습니다. 자세한 내용은 "Introduction to Security by Design" 백서를 참조하십시오.

AWS 숙련된 아키텍트, AWS 전문 서비스 및 파트너 IT 혁신 리더의 도움을 받아 이러한 "안전한 환경"을 구축할 수도 있습니다. 이러한 팀은 고객의 직원 및 감사 팀과 함께 협력하여 타사 감사에 따라 고품질의 안전한 고객 환경을 구현하도록 지원합니다.

3단계 – 템플릿 사용을 강제 적용. 서비스 카탈로그를 활성화하고 카탈로그의 템플릿 사용을 강제 적용합니다. 생성 중인 새로운 환경에 "안전한 환경"의 사용을 강제 적용하는 단계로서, "안전한 환경" 보안 규칙을 따르지 않는 환경을 만들지 못하게 차단합니다. 이를 통해 감사에 대비한 준비로 나머지 고객 계정의 보안 제어 구성을 효과적으로 운영할 수 있습니다.

4단계 – 검증 활동 수행. 서비스 카탈로그와 "안전한 환경" 템플릿을 통해 AWS를 배포하면 감사받을 준비가 완료된 환경을 만드는 데 도움이 됩니다. 템플릿에서 정의한 규칙은 감사 안내서로 사용될 수 있습니다. AWS Config를 사용하면 어떤 환경이든 현재 상태를 캡처할 수 있으므로, 이를 "안전한 환경" 규칙과 비교할 수 있습니다. 이를 통해 안전한 "읽기 액세스" 권한과 더불어 증거 수집에 대한 감사 자동화를 가능하게 하는 고유한 스크립트를 통해 감사에 증거 수집 기능을 제공합니다. 고객은 기존의 수동 관리 제어체계로부터, 설계 및 범위 지정이 제대로 된다면, 제어가 언제나 100% 작동하는(기존 감사방식은 샘플링 방식이나 특정 시점 검토 방식을 사용하는 것과 비교하면) 기술적으로 진보된 수준의 제어환경으로 전환할 수 있습니다.

이러한 기술적 감사는 감사 인력이 AWS 클라우드가 제공하는 고유한 감사 자동화 기능을 확실히 이해하도록 제공하는 고객 감사자에 대한 지원 및 교육과 같은 사전 감사 지침에 포함될 수 있습니다.

AWS 보안
AWS 클라우드 보안을 고려한 설계

AWS의 SbD 결과

SbD 접근 방식의 목적은 다음을 달성하는 것입니다.

• 해당 기능을 변경할 권한이 없는 사용자가 재정의할 수 없는 강제 실행 기능을 생성.
• 제어 기능의 안정적인 운영 확립.
• 지속적인 실시간 감사 가능.
• 거버넌스 정책의 기술적 스크립팅.

그 결과는 고객 환경의 보안 보장, 거버넌스, 보안 및 규정 준수 기능을 사용할 수 있는 자동화된 환경입니다. 고객은 이전에 정책, 표준 및 규정으로 작성된 항목을 이제 안정적으로 구현할 수 있습니다. 또한, 고객은 강제 적용 가능한 보안 및 규정 준수를 생성할 수 있고 이에 따라 AWS 고객 환경을 위한 기능적이고 안정적인 거버넌스 모델을 생성됩니다.


백서

Security by Design 백서에서 개념을 숙지하십시오.

"Auditing your AWS Architecture"에서 자습형 교육을 수강합니다. 이를 통해 감사자와 보안 제어 기능 소유자가 사용할 수 있는 구성 옵션을 중심으로 AWS의 기능과 인터페이스를 익힐 수 있습니다.

제공되는 관련 추가 리소스를 숙지합니다.
a. Amazon Web Services: 보안 프로세스의 개요
b. Introduction to Auditing the Use of AWS 백서
c. Federal Financial Institutions Examination Council(FFIEC) – Audit Guide
d. SEC – Cybersecurity Initiative Audit Guide
e. CJIS Security Policy Audit Guide

 

보안을 고려한 설계 리소스

 

AWS에 문의