ZS, AWS 보안 서비스를 사용하여 상시 가동 보안에 대한 모범 사례 제공

ZS Associates(ZS)는 복잡하고 까다로운 보안 요구 사항을 가진 다양한 글로벌 고객층을 위해 가시성을 높이고 보안 상태 관리를 단순화하고자 했습니다. 많은 고객이 국가 및 산업에 따라 달라지는 규정 준수 표준을 충족해야 합니다. ZS는 Amazon Web Services(AWS)를 이용하여 개별 고객에 대해 고유한 클라우드 솔루션 아키텍처를 구축해 왔기 때문에 간단하게 확장할 수 있고 이미 사용 중인 수백 개의 AWS 서비스와 함께 잘 작동할 수 있는 복제 가능한 보안 솔루션을 찾고 있었습니다. ZS는 AWS를 이용하여 시간이 많이 걸리는 수동 보안 절차를 자동화하고 고객을 위한 클라우드 아키텍처 롤아웃을 용이하게 하는 확장 가능하고 포괄적인 보안 환경을 구축했습니다.

1983년 창립 이래 ZS는 소프트웨어를 사용하여 고객 문제를 해결해 왔습니다. 지난 수년간 ZS는 분석, 인공 지능 및 기계 학습 기능으로 혁신적인 제품을 구축하여 서비스형 소프트웨어 형태로 제공했습니다. ZS는 AWS에 구축되고 다양한 관리형 AWS 서비스로 보강되는 자체 독점 플랫폼인 ZAIDYN을 사용하여 고객 솔루션을 구축하는 경우가 많습니다. ZS에는 고객을 위한 ZS 솔루션의 일부인 자체 클라우드 혁신 센터(CCoE)가 있는데, 이는 250개 이상의 AWS 계정을 구축, 유지 관리 및 설계하는 일을 전담하는 부서입니다. ZS가 ‘스포크 AWS 계정’이라고 부르는 각 고객을 위해 다양한 AWS 서비스가 함께 작동하며, ZS는 관련 로그, 지표 및 이벤트를 중앙 집중화하여 이 모든 것을 모니터링할 수 있습니다.

이러한 로그, 지표 및 이벤트는 테라바이트 규모의 원시 정보를 생성하며, ZS는 업계 최고의 확장성, 데이터 가용성, 보안 및 성능을 제공하는 객체 스토리지 서비스인 Amazon Simple Storage Service(S3)를 사용하여 이 정보를 1년 이상 저장합니다. CCoE는 이 정보를 필터링하는 방법을 만들어 수백 기가바이트의 데이터를 중간 구성 요소를 통해 중앙 집중식 관찰성 플랫폼으로 전송했습니다. (다이어그램 1 AWS 관찰성 플랫폼 참조 아키텍처 참조) ZS의 Cloud Services Director인 Rujuswami Gandhi는 “로그를 살펴보면서 최고의 인사이트을 얻을 수 있도록 다양한 데이터 티어를 생성하는 회사별 실사 프로세스를 마련해야 합니다”라고 말합니다. 

보안은 이러한 정보 흐름에서 중요한 부분입니다. ZS는 미국 국립표준기술원(NIST)의 사이버 보안 프레임워크(식별, 보호, 탐지 및 대응, 복구)를 중심으로 강력한 보안 환경을 구축했습니다. ZS는 제3자 보안 감사를 준비하는 데 도움이 되는 내부 이니셔티브인 거버넌스를 추가했습니다. Gandhi는 “고객을 위해 따르는 고유한 테넌시 아키텍처와 함께 사용하고 있는 다양한 AWS 서비스에서 보안은 매우 중요한 요소입니다. 고객의 정보 보안 기대치가 높기 때문입니다. 고객은 우리가 AWS 서비스를 성숙한 방식으로 사용하고 있을 뿐만 아니라 업계 표준 프레임워크에도 부합한다는 확신을 가질 수 있습니다.”라고 말합니다. ZS가 구축한 보안 환경에 대한 자세한 내용은 다이어그램 2 ‘ZS AWS 클라우드 신뢰 환경 - 보안 렌즈’를 참조하세요.

예를 들어, ZS는 탐지 및 대응 원칙의 일환으로 수많은 타사 솔루션으로 보강된 AWS의 8개 서비스를 이용합니다. ZS는 보안 모범 사례 검사를 수행하고, 경고를 집계하고, 자동 수정을 지원하는 클라우드 보안 상태 관리 서비스인 AWS Security Hub를 사용하여 거의 실시간으로 중앙 집중식 가시성을 확보합니다. 또한 ZS는 SOC 2, ISO/IEC 27001, HITRUST와 같이 ZS 고객이 필요로 하는 많은 보안 프레임워크에 대한 매핑 기능을 통해 기본적인 규정 준수 관리를 단순화했습니다. EU의 일반 데이터 보호 규정과 다중 계층 보호 체계로 알려진 중국의 거버넌스 프레임워크 등과 같이 보안 표준이 전 세계적으로 다르기 때문에 AWS Security Hub를 사용하면서 ZS의 글로벌 확장이 촉진되었습니다. “AWS Security Hub를 사용하면 사전 구축된 패키지 규칙 세트 중에서 선택하기만 하면 자동으로 배포되어 개선 작업이 진행됨에 따라 규정 준수 인사이트와 추세를 제공합니다.”라고 Gandhi는 말합니다. “AWS Security Hub를 관리하는 것은 수고롭지 않습니다.”

ZS가 위협을 탐지하고 대응하기 위해 사용하는 또 다른 서비스는 Amazon Inspector입니다. 이는 소프트웨어 취약성 및 의도하지 않은 네트워크 노출에 대해 AWS 워크로드를 지속적으로 스캔하는 자동화된 취약성 관리 서비스입니다. ZS는 즉각적인 위협을 막기 위해 Amazon GuardDuty를 사용하는데, 이는 AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 조사 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스입니다. Gandhi는 “인시던트 대응 팀이 신속하게 보안 인시던트를 인지하지 못했다면 보안 인시던트가 발생했을 수도 있었지만, Amazon GuardDuty를 사용하면서 훌륭한 인사이트를 얻을 수 있었습니다.”라고 말합니다. 또한 ZS는 규정 준수를 입증하기 위해 AWS 인프라 전반의 계정 활동을 모니터링하고 기록하는 AWS CloudTrail을 사용합니다. 이렇게 하면 가시성이 향상되어 감사 절차가 간소화됩니다.

ZS는 NIST 프레임워크의 보호 원칙에 부합하는 환경의 일부로 전체 AWS에서 세분화된 액세스 제어를 제공하는 AWS Identity and Access Management(AWS IAM)를 사용합니다. ZS의 Cloud Architect인 Beeling Chang은 “AWS를 사용하지 않고 이러한 문제를 해결하려고 했다면 매우 복잡했을 것입니다.”라고 말합니다.

CCoE의 전체 워크로드는 고객이 AWS 모범 사례를 기반으로 안전한 다중 계정 AWS 환경을 보다 신속하게 구축할 수 있도록 지원하는 솔루션인 AWS Landing Zone의 개념을 기반으로 구축되었습니다. AWS Landing Zone은 안전하고 확장 가능한 워크로드를 실행하도록 설정을 자동화하여 시간을 절약하는 데 도움이 됩니다. ZS는 AWS 솔루션의 자동화된 상시 가동 규정 준수 모드를 사용하면 보안 모범 사례 준수를 수동으로 확인하는 데 소요되었던 업무 시간을 매달 약 1,000시간 절감할 수 있다고 추정합니다. 또한 ZS는 AWS의 스택형 보안 및 기타 서비스를 사용하여 신규 고객을 3배 빠르게 온보딩하고 있습니다.

ZS의 CCoE 팀은 클라우드 아키텍트가 다양한 애플리케이션 및 워크로드를 위한 안전하고, 성능과 복원력이 뛰어나고 효율적인 인프라를 구축할 수 있도록 지원하는 AWS Well-Architected Framework 전반의 개선을 목표로 보안에 계속 집중하고 있습니다.

또한 ZS는 AWS 솔루션에 집중하도록 전환한 이후 혁신적인 분석 및 기계 학습 기능을 활용하여 민첩성을 향상하는 동시에 우수한 인재를 유치하고 직원의 역량을 강화했습니다. 직원들은 이러한 첨단 기술을 이용하여 고객과 협력하여 복잡한 문제를 해결합니다. Gandhi는 “AWS를 이용하면 중앙 집중식 가시성을 확보할 수 있습니다. 상시 가동되며 항상 라이브 상태입니다. 우리의 사고 방식이 완전히 바뀌고 있습니다.”라고 말합니다.