CIS 벤치마크란 무엇인가요?

CIS 벤치마크와 같은 도구는 25개 이상의 공급업체 제품을 배포하기 위해 보안 전문가와 분야별 전문가가 개발한 보안 모범 사례를 개괄적으로 설명하기 때문에 중요합니다. 이러한 모범 사례는 새로운 제품 또는 서비스의 배포 계획을 수립하거나 기존 배포가 안전한지 확인하기 위한 좋은 출발점이 됩니다.

CIS 벤치마크를 구현할 때, 다음과 같은 단계를 수행하여 일반 리스크와 새롭게 등장하는 리스크로부터 레거시 시스템을 보다 효과적으로 보호할 수 있습니다. 

• 사용되지 않는 포트 비활성화
• 불필요한 앱 권한 제거
• 관리 권한 제한

또한 IT 시스템과 애플리케이션은 불필요한 서비스를 사용하지 않도록 설정할 때 더 나은 성능을 발휘합니다. 

CIS 벤치마크 예

예를 들어 관리자는 단계별 CIS AWS Foundations 벤치마크 지침에 따라 AWS Identity and Access Management (IAM)에 대한 강력한 암호 정책을 설정할 수 있습니다. 암호 정책 시행, 다중 인증(MFA) 사용, 루트 비활성화, 90일마다 액세스 키 교체 보장, 기타 전략은 서로 뚜렷이 구분되면서도 연관되어 있는, AWS 계정의 보안 향상을 위한 ID 지침입니다.

CIS 벤치마크를 도입하면 다음과 같은 몇 가지 사이버 보안 관련 이점을 얻을 수 있습니다.

전문가 사이버 보안 지침

CIS 벤치마크는 전문가의 검증을 통해 입증된 보안 구성 프레임워크를 조직에 제공합니다. 기업은 보안의 위험을 초래하는 시행착오 시나리오를 피하면서 다양한 IT 및 사이버 보안 커뮤니티의 전문 지식을 활용할 수 있습니다.

세계적으로 인정받는 보안 표준

CIS 벤치마크는 전 세계의 정부, 기업, 연구 및 학술 기관 모두가 인정하고 수용하는 유일한 모범 사례 가이드입니다. 합의 기반 의사 결정 모델을 기반으로 하는, 글로벌하고 다양한 커뮤니티 덕분에 CIS 벤치마크는 리전별 법률 및 보안 표준보다 훨씬 폭넓은 적용 범위와 수용 범위를 자랑합니다. 

비용 효율적인 위협 예방

CIS 벤치마크 문서는 누구나 무료로 다운로드하여 구현할 수 있습니다. 기업이 모든 종류의 IT 시스템에 대한 최신 단계별 지침을 무료로 얻을 수 있습니다. IT 거버넌스를 실현하고 예방 가능한 사이버 위협으로 인한 재정적 피해와 평판의 손상을 방지할 수 있습니다.

규제 준수

CIS 벤치마크는 다음과 같은 주요 보안 및 데이터 프라이버시 프레임워크에 부합합니다.

• 미국 국립 표준 기술 연구소(NIST) 사이버 보안 프레임워크 
• Health Insurance Portability and Accountability Act(HIPAA)
• Payment Card Industry Data Security Standard(PCI DSS)

CIS 벤치마크를 구현하는 것은 규제가 심한 업종에서 비즈니스를 운영하는 조직의 규정 준수 실현을 위한 중요한 조치입니다. 잘못 구성된 IT 시스템으로 인한 규정 준수 실패 문제를 방지할 수 있습니다.

조직이 고유한 보안 목표를 달성할 수 있도록 CIS는 각 CIS 벤치마크 지침에 프로필 레벨을 할당합니다. 각 CIS 프로필에는 서로 다른 레벨의 보안을 제공하는 권장 사항이 포함되어 있습니다. 조직은 보안 및 규정 준수 요구 사항에 따라 프로필을 선택할 수 있습니다. 

레벨 1 프로필

레벨 1 프로필의 구성 권장 사항은 IT 시스템을 구성하기 위한 기본 보안 권장 사항입니다. 이러한 권장 사항은 따르기 쉽고 비즈니스 기능이나 가동 시간에 영향을 미치지 않습니다. 이 권장 사항은 IT 시스템의 진입점 수를 줄여 사이버 보안 위험을 최소화합니다.

레벨 2 프로필

레벨 2 프로필 구성 권장 사항은 보안이 최우선인 매우 민감한 데이터에 가장 적합합니다. 이 권장 사항을 구현하려면 최소한의 운영 중단으로 포괄적인 보안을 실현하기 위한 실무 전문 지식과 사전 계획이 필요합니다. 레벨 2 프로필 권장 사항을 구현하면 규정 준수 실현에도 도움이 됩니다. 

STIG 프로필

Security Technical Implementation Guide(STIG)는 Defense Information Systems Agency(DISA)가 제시하는 일련의 구성 기준입니다. 이 보안 표준은 미 국방부에서 게시하고 유지 관리합니다. STIG는 미국 정부의 요건을 충족할 수 있도록 특별히 작성되었습니다. 

CIS 벤치마크에서는 조직이 STIG를 준수하는 데 도움이 되도록 고안된 레벨 3 STIG 프로필도 명시합니다. STIG 프로필에는 STIG별 레벨 1 및 레벨 2 프로필 권장 사항이 포함되어 있으며, 다른 두 프로필에서는 다루지 않지만 DISA의 STIG에서 요구하는 권장 사항을 더 많이 제시합니다. 

CIS STIG 벤치마크에 따라 시스템을 구성하면 IT 환경이 CIS와 STIG를 모두 준수하게 됩니다.

각 CIS 벤치마크에는 권장 사항에 대한 설명, 권장 사항의 이유 및 시스템 관리자가 권장 사항을 올바르게 구현하기 위해 따를 수 있는 지침이 포함되어 있습니다. 각 벤치마크는 대상 IT 시스템의 각 영역을 다루기 때문에 수백 페이지에 이를 수 있습니다.  

CIS 벤치마크를 구현하고 모든 버전 릴리스를 관리하는 작업은 수동으로 수행하기에 너무 복잡합니다. 이러한 이유로 많은 조직이 자동화된 도구를 사용하여 CIS 규정 준수를 모니터링합니다. 또한 CIS는 IT 시스템을 검사하고 CIS 규정 준수 보고서를 생성하는 데 사용할 수 있는 무료 프리미엄 도구도 제공합니다. 이러한 도구는 기존 구성이 CIS 벤치마크 권장 사항을 충족하지 못할 경우 시스템 관리자에게 경고합니다.

CIS는 AWS 독립 소프트웨어 개발 판매 회사(ISV) 파트너이며 AWS는 CIS 보안 벤치마크 회원사입니다. CIS 벤치마크에는 AWS 클라우드 서비스 및 계정 수준 설정의 하위 집합에 대한 보안 구성 지침이 포함되어 있습니다. 

예를 들어 CIS는 다음과 같은 CIS 벤치마크의 AWS에 대한 모범 사례 구성 설정을 간략히 설명합니다.

• CIS AWS Foundations 벤치마크
• CIS Amazon Linux 2 벤치마크
• CIS Amazon Elastic Kubernetes Service(EKS) 벤치마크 
• AWS 최종 사용자 컴퓨팅 벤치마크

또한 AWS Marketplace에서 CIS 강화 Amazon Elastic Compute Cloud(EC2) 이미지에 액세스하여 Amazon EC2 이미지가 CIS 벤치마크를 충족한다는 것을 확인할 수 있습니다.

마찬가지로, AWS 배포가 CIS AWS Foundations 벤치마크 표준에 설정된 권장 사항을 충족하는지 확인하는 검사를 자동화할 수 있습니다. AWS Security Hub는 14개의 AWS 서비스에 걸쳐 43개의 컨트롤과 32개의 Payment Card Industry Data Security Standard(PCI DSS) 요구 사항으로 구성된 CIS AWS Foundations Benchmark 표준을 지원합니다. 활성화되는 즉시, AWS Security Hub가 각 컨트롤 및 컨트롤과 연결된 각 관련 리소스에 대해 지속적인 자동 보안 검사를 실행하기 시작합니다.

지금 무료 AWS 계정을 생성하여 클라우드 인프라의 CIS 규정 준수를 보장하고 AWS 사용을 시작하세요.