보안을 고려한 설계
개요
AWS에서 보안, 규정 준수 및 거버넌스를 자동화
보안을 고려한 설계(SbD)는 AWS 계정 설계를 체계화하고, 보안 제어를 자동화하며, 감사를 간소화하는 보안 보증 접근 방식입니다. 소급적으로 보안 감사에 의존하는 대신 SbD는 AWS IT 관리 프로세스 전체에 구축된 보안 제어 기능을 제공합니다. AWS CloudFormation의 SbD 템플릿을 사용하면 클라우드의 보안과 규정 준수가 좀 더 효율적이며 포괄적이 될 수 있습니다.
SbD는 여러 산업, 표준 및 보안 범주에 걸친 대규모 보안 및 규정 준수에 대한 접근 방식입니다. 모든 보안 단계에서 보안 및 규정 준수 기능을 설계할 때 AWS SbD를 사용하면 권한, 로깅, 신뢰 관계, 암호화 적용, 승인된 머신 이미지 사용 지시 등 모든 것을 AWS 고객 환경 내에서 설계할 수 있습니다. SbD를 사용하면 AWS 계정의 프런트 엔드 구조를 자동화할 수 있으므로 보안 및 규정 준수를 AWS 계정에 안정적으로 코딩하고 규정을 준수하지 않는 IT 제어란 과거에만 존재하던 것으로 만들 수 있습니다.
보안을 고려한 설계 접근 방식
SbD는 AWS에서 실행되는 AWS 고객 인프라, 운영 체제, 서비스 및 애플리케이션에 대한 제어 책임, 보안 기준의 자동화, 보안 구성, 제어 항목의 고객 감사를 간략하게 설명합니다. 이러한 표준화되고, 자동화되고, 규범적이며, 반복 가능한 설계는 여러 산업과 워크로드 전체에 걸쳐 일반 사용 사례, 보안 표준 및 감사 요구 사항에 맞춰 배포될 수 있습니다.
AWS는 다음 4단계 접근 방식을 따라 보안과 규정 준수를 고객의 AWS 계정에 구축할 것을 권장합니다.
1단계 – 요구 사항 이해. 정책을 간략히 서술한 후, AWS로부터 상속받은 제어 항목을 기록합니다. 그런 다음 AWS 환경에서 고객이 소유하고 운영하는 제어 항목을 기록하고 AWS IT 환경 내에서 적용하고자 하는 보안 규칙을 결정합니다.
2단계 – 요구 사항과 구현에 맞춰 안전한 환경을 구축. 암호화 요구 사항(예: S3 객체에 대한 서버 측 암호화 강제), 리소스에 대한 권한(특정 환경에 어떤 역할이 적용되는지), 어떤 컴퓨팅 이미지가 승인되는지(고객이 승인한 서버의 강화된 이미지를 기반으로), 어떤 종류의 로깅이 활성화되어야 하는지(해당하는 리소스에 CloudTrail 사용을 강제 적용) 등을 비롯하여 필요한 구성을 AWS 구성 값의 형태로 정의합니다. AWS에서는 상시 릴리스되는 새로운 서비스를 포함하여 다양한 구성 옵션 세트를 제공하며, 보안 제어 항목에 맞춰 환경을 설정할 수 있도록 템플릿을 제공합니다. 이러한 보안 템플릿(AWS CloudFormation 템플릿 형태)은 시스템 방식으로 적용할 수 있는 좀 더 포괄적인 규칙 세트를 제공합니다. AWS는 여러 보안 프레임워크를 준수하는 보안 규칙을 제공하도록 템플릿을 개발했습니다. 자세한 내용은 보안을 고려한 설계 소개 백서를 참조하십시오.
추가로 AWS 숙련된 아키텍트, AWS 전문 서비스 및 AWS 파트너 솔루션의 도움을 받아 이러한 안전한 환경을 구축할 수도 있습니다. 이러한 팀은 직원 및 감사 팀과 함께 협력하여 타사 감사를 지원하는 고품질의 안전한 고객 환경을 구현하도록 도울 수 있습니다.
3단계 – 템플릿 사용을 강제 적용. AWS Service Catalog를 사용하면 카탈로그의 템플릿을 사용하도록 강제할 수 있습니다. 생성되는 모든 새로운 환경에서 안전한 환경을 사용하도록 보장하고, 안전한 환경을 위한 보안 규칙을 준수하지 않는 환경을 생성하지 못하도록 방지하는 단계입니다. 카탈로그의 템플릿을 사용하도록 강제하면 제어 항목의 나머지 보안 구성이 감사에 맞춰 준비됩니다.
4단계 – 검증 활동 수행. Service Catalog와 안전한 환경 템플릿을 통해 AWS를 배포하면 감사 준비가 완료된 환경을 만드는 데 도움이 됩니다. 템플릿에 정의하는 규칙은 감사 안내서로 사용될 수 있습니다. AWS Config를 사용하면 어떤 환경이든 현재 상태를 캡처할 수 있으므로, 이를 안전한 환경 규칙과 비교할 수 있습니다. 고유한 스크립트와 함께 안전한 읽기 액세스 권한을 사용하면 증거 수집에 대한 감사 자동화를 지원할 수 있습니다. 기존의 수동 관리 제어를 기술적으로 강제된 제어로 전환할 수 있습니다. 그러면 이러한 제어가 제대로 설계되고 범위가 지정되는 경우 어느 시점에서든 완벽하게 작동한다는 보장을 제공할 수 있습니다. 이는 기존의 감사 샘플링 방법이나 특정 시점 검토로는 불가능한 일입니다.
이러한 기술적 감사는 감사 인력이 AWS 클라우드가 제공하는 고유한 감사 자동화 기능을 확실히 이해할 수 있도록 고객 감사자에 대한 지원 및 교육과 같은 사전 감사 지침에 따라 개선될 수 있습니다.
보안을 고려한 설계의 영향
SbD 접근 방식을 통해 다음을 달성할 수 있습니다.
- 해당 기능을 변경할 권한이 없는 사용자가 재정의할 수 없는 강제 실행 기능을 생성.
- 제어 기능의 안정적인 운영 확립.
- 지속적인 실시간 감사 가능.
- 거버넌스 정책의 기술적 스크립팅.
그 결과로 고객은 환경의 보안, 보장, 거버넌스 및 규정 준수 기능을 지원하는 자동화된 환경을 확보할 수 있습니다. 이전에 정책, 표준 및 규정으로만 작성된 항목을 이제 안정적으로 구현할 수 있습니다. 또한, 강제 적용 가능한 보안 및 규정 준수를 생성할 수 있고 이에 따라 고객의 AWS 환경을 위한 안정적이고 제대로 작동하는 거버넌스 모델을 생성합니다.
