AWS 규정 준수 솔루션 안내서


AWS에서 규정 준수 책임을 이행하는 데 필요한 자주 사용하는 리소스 및 프로세스 리포지토리입니다.

AWS 규정 준수 솔루션 안내서입니다! AWS에서 규정 준수 책임을 이행하는 데 필요한 자주 사용하는 리소스 및 프로세스 리포지토리를 안내하기 위해 작성한 안내서입니다.

AWS는 보안을 가장 중요하게 생각합니다. 현재 AWS는 대규모 엔터프라이즈 및 정부 조직부터 스타트업과 비영리 조직까지, 세계적으로 수백만의 고객을 보호하고 있습니다. 이런 관계를 통해 모든 산업의 고객이 AWS 클라우드에서 규정 준수를 달성하는 방법을 빨리 이해할 수 있도록 하는 동급 최고의 리소스를 개발했습니다. AWS 고객은 외부 보증 프레임워크의 인증을 받은 보안 정책, 아키텍처 및 운영 프로세스의 모범 사례를 포함하여 경험의 모든 이점을 전달합니다.

AWS는 다음을 수행하여 고객과 관련된 보안 및 제어 환경을 전달합니다.

  • 아래에 나열된 산업 인증 및 독립적인 타사 증명
  • AWS 보안 및 제어 사례에 대한 백서 및 웹 콘텐츠 정보
  • NDA에 의거하여 AWS 고객에게 직접 제공되는 인증서, 보고서 및 다른 설명서

규정 준수 솔루션


AWS 규정 준수 보고서에 액세스하는 모범 사례는 AWS Artifact를 통해 콘솔을 사용하는 것입니다. AWS Artifact를 통해 고객은 온디맨드 셀프 서비스 형태로 최신 AWS 규정 준수 보고서에 액세스할 수 있습니다. 새 보고서가 AWS에서 릴리스되면 즉시 AWS Artifact에서 다운로드할 수 있게 됩니다. 온디맨드 액세스 외에 AWS Artifact를 사용하는 3가지 이점은 다음과 같습니다.

  1. 신용 카드를 입력하도록 요구하지 않습니다. 계정 생성 또는 AWS Artifact 포털 사용에 비용이 들지 않습니다.
  2. IAD를 통해 다른 사용자의 계정을 설정하는 기능을 제공합니다.
  3. 편리한 사용자 클릭 NDA를 가능하게 합니다.

모든 타사 증명, 인증, 서비스 조직 제어(SOC) 보고서 및 관련된 다른 규정 준수 보고서에는 NDA가 필요합니다. 예외는 AWS ISO 27001 인증 및 AWS SOC 3 보고서로, 이는 공개적으로 제공됩니다.

AWS 계정을 가지고 있으며 AWS Artifact를 활용하기 시작할 준비가 된 경우 아래 리소스를 사용하여 콘솔에서 이 기능을 익힐 수 있습니다. 아직 AWS 계정이 없다면 이 단계에 따라 계정을 생성할 수 있습니다.

AWS Artifact 웹사이트 - 이 웹사이트에서는 콘솔에 로그인하고 보고서를 다운로드하는 방법에 대한 단계별 지침이 나온 빠른 시작 안내서를 통해 Artifact에 대한 기본적인 정보를 확인할 수 있을 뿐 아니라 AWS Artifact FAQ 페이지를 통해 자주 묻는 질문 전체 목록도 볼 수 있습니다.

다음은 질문이 발생하는 가장 일반적인 몇 가지 시나리오입니다.

보안 질문서를 작성하여 AWS 보안 및 규정 준수 상황을 기록하는 데 지원이 필요한 경우에 대비하여 AWS는 보안 및 규정 준수 질문을 클라우드 및 AWS 비즈니스 모델의 컨텍스트에서 적절하게 해결하는 리소스를 제공하도록 고안한 권장 접근 방식이 있습니다. 이 절차는 타사 감사자의 검증을 거친 일관된 답변을 모든 고객에게 제공합니다.

AWS Artifact는 모든 규정 준수 보고서를 담고 있으므로 처음 방문할 위치입니다. AWS는 연간 몇 번에 걸쳐 타사 감사자의 감사를 거치며, 이 감사의 대부분을 국제 보안 표준(예: ISO 27001, PCI, SOC)에 의거하여 실시합니다. 받은 모든 보안 질문서의 질문에 이 보고서를 사용하여 답변할 수 있습니다.

이외에도, 온라인으로 제공되며 가장 일반적인 질문의 답변을 제공하는 몇 가지 유형의 리소스가 있습니다. 질문서로 가장 자주 사용되는 문서 2가지는 다음과 같습니다.

공동 평가 이니셔티브 질문서 – Cloud Security Alliance(CSA)는 클라우드 컴퓨팅 내에서 보안 보증을 제공하는 모범 사례를 사용하도록 증진하는 것을 임무로 하는 비영리 조직입니다. CSA 공동 평가 이니셔티브 질문서는 클라우드 소비자 및/또는 감사자가 클라우드 공급업체에게 요청할 것으로 CSA가 예상하는 일련의 질문을 제공합니다. 제공되는 일련의 보안, 제어 및 프로세스 질문을 클라우드 공급업체 선택 및 보안 평가를 포함한 폭넓은 용도로 사용할 수 있습니다. 이 문서에는 CSA 질문서에 대한 AWS 답변이 포함되어 있습니다.

위험 및 규정 준수 백서 - AWS 고객이 기존의 제어 프레임워크에 AWS를 통합하여 IT 환경을 지원할 수 있는 정보를 제공하기 위한 문서입니다. AWS 제어 항목을 평가하는 기본 방식이 포함되어 있으며 고객이 규제 환경을 통합할 수 있도록 지원하는 정보가 제공됩니다. 또한 일반적인 클라우드 컴퓨팅 규정 준수 질문에 대한 AWS 관련 정보를 다룹니다. 모든 AWS 자격증, 프로그램, 보고서 및 타사 증명에 대한 자세한 설명이 있습니다. CSA 질문서는 이 문서의 부록에 포함되어 있습니다.

질문에 답변하는 데 여전히 도움이 필요한 경우 AWS 영업 계정 관리자에게 문의하십시오. 적절한 리소스를 안내 받을 수 있습니다.

보안 질문서 예

제어 질문 대답 AWS 참조 문서
암호화 제공된 서비스가 암호화를 지원합니까?

예. AWS에서는 고객이 거의 모든 서비스에 S3, EBS, SimpleDB, EC2 등을 포함한 고유 암호화 메커니즘을 사용할 수 있습니다. VPC에 대한 IPSec 터널도 암호화됩니다. Amazon S3에서는 고객을 위한 옵션으로 서버 측 암호화도 제공합니다. 고객은 타사 암호화 기술도 사용할 수 있습니다.

AWS 보안 백서
물리적 및 환경 제어

물리적 및 환경 제어를 지정 클라우드 공급업체가 운영합니까?

예. 이에 대해서는 SOC 1 Type II 보고서에서 구체적으로 설명합니다. 뿐만 아니라 ISO 27001 및 FedRAMPsm 같이 AWS가 지원하는 다른 인증에서도 모범 사례 물리적 및 환경 제어가 필요합니다.

FedRAMP 패키지, ISO 27001 보고서, SOC 1
인사 관리 교육/의식

테넌트 데이터에 대한 액세스 권한을 가진 모든 사람에게 클라우드 관련 액세스 및 데이터 관리 문제(예: 멀티테넌시, 국적, 클라우드 제공 모델, 업무/영향/이해 충돌 분리)에 대한 공식적인 역할 기반 보안 인식 교육 프로그램이 제공됩니까?

예. ISO 27001 표준에 따라 모든 AWS 직원은 완료 승인이 요구되는 정기적인 정보 보안 교육을 이수합니다. 규정 준수 감사는 직원들이 수립된 정책을 이해하고 따르는지 검증하기 위해 정기적으로 실시됩니다.

SOC, PCI DSS, ISO 27001 및 FedRAMP 규정 준수 보고서를 참조하십시오.

다음은 HIPAA BAA에서 발견되는 가장 일반적인 문제 중 일부입니다. HIPAA FAQ, BAA 교육용 동영상, 백서 등의 전체 목록을 포함하여 더 많은 BAA 관련 리소스에 액세스하려면 기본 AWS HIPAA 규정 준수 페이지를 방문하십시오.

Q: 제가 기존에 가지고 있는 BAA의 인쇄본을 얻을 수 있습니까?

A: Artifact에 있는 BAA 버전과 인쇄본은 다르지 않습니다. 또한 Artifact를 사용할 때는 항상 조건에 동의하기 전과 후에 BAA 사본을 다운로드할 수 있습니다. 기존 오프라인 BAA를 가지고 있는 경우 영업 담당자에게 문의하여 사본을 구할 수 있습니다.

Q: 기존 BAA에 계정이 추가되었음을 확인하는 Exhibit A가 필요하거나 특정 계정이 BAA에 포함된다는 근거가 필요합니다.

A: AWS는 기존 BAA에 추가 계정이 포함된 후에 업데이트된 Exhibit A를 발행하지 않습니다. 귀하는 Artifact를 사용하여 새 계정을 콘솔 내에서 셀프 서비스로 즉시 지정할 수 있습니다. BAA가 Artifact에서 수락된 후에 귀하는 계정 ID로 콘솔에 로그인하여 상태가 활성임을 확인할 수 있습니다. 새 계정을 추가하려면 셀프 서비스로 수행할 수 있습니다.  포함 상태를 확인하고 감사자 또는 규제 기관과 BAA를 공유하려면 pdf를 다운로드할 수 있습니다. 뿐만 아니라, 상태도 포함의 근거가 됩니다.

Q: BAA를 체결할 수 없거나 NDA 확인란을 선택할 수 없습니다.

A: 이 문제는 권한 오류에서 발생합니다. 귀하의 AWS 계정과 관련한 IAM 요청을 처리하는 개인이나 팀이 권한을 조정하여 이 문제를 해결할 수 있습니다. IAM 계정 설정에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

더 많은 AWS 규정 준수 리소스


header-icon_apn-partner-programs-orange

범위 내 서비스 페이지에는 현재 범위에 속하는 서비스 및 진행 중인 서비스에 대해 자세히 나와 있습니다. 특정 서비스의 구체적인 요구 사항에 대해 AWS 영업 계정 관리자 및 SA에게 문의할 수도 있습니다.

header-icon_apn-partner-programs-orange

AWS 보안 블로그는 AWS 보안 프로그램의 최신 업데이트를 모두 추적할 수 있는 훌륭한 방법입니다.

header-icon_apn-partner-programs-orange

AWS의 현재 고객 경험에 대한 자세히 알아보려면 모든 업계 고객의 사례 연구를 보여 주는 고객 추천사 페이지를 방문하십시오.

header-icon_apn-partner-programs-orange

특정 규정 준수 체계에 대해 자세한 정보가 필요한 경우 다음 페이지의 FAQ를 참조하십시오.

header-icon_apn-partner-programs-orange

AWS 감사자 학습 과정은 내부 작업이 어떻게 AWS 플랫폼을 사용하여 규정 준수를 증명할 수 있는지를 배우고 싶어하는 감사, 규정 준수 및 법률 업무를 담당하는 분들을 위해 특별히 고안된 리소스입니다.

compliance-contactus-icon
질문이 있으십니까? AWS 영업 담당자와 연결
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »