클라우드 규정 준수 프레임워크

과거 상거래가 주로 지역 내에서 이루어지던 시절 데이터 보안이 어렵다고 생각했던 이들에게, 이제 새로운 차원의 복잡성이 찾아왔습니다. 오늘날 기업들은 모바일화되었으며, 클라우드 스토리지를 통해 어디서나 데이터를 보관합니다. AWS, Azure Cloud, Google Cloud Platform은 세 가지 주요 가장 흔한 인프라(IAAS) 제공업체입니다. 그러나 한 가지는 변하지 않았습니다: 사람들은 여전히 기업이 자신의 데이터를 보호하기를 원합니다. 실패는 선택지가 아니며, 오늘날의 엄격한 기준을 위반하면 심각한 처벌과, 아마도 가장 중요한 것은 고객 신뢰의 상실을 초래합니다. 이는 어떤 기업도 감당할 수 없는 일입니다.

본 글에서는 클라우드 컴플라이언스 프레임워크의 핵심, 그 중요성, 구성 요소 및 일반적인 프레임워크에 대해 심층적으로 살펴보겠습니다.

클라우드 컴플라이언스란 무엇인가요?

클라우드 규정 준수란 클라우드에 저장된 데이터가 안전하고 사생활이 보호되며 확립된 사이버 보안 지침을 준수하도록 보장하기 위해 관리 기관이 수립한 규칙 및 규정을 의미합니다. 이러한 규정은 의료 분야(HIPAA 요건 적용)나 전자상거래(PCI DSS 표준 준수)처럼 민감한 데이터를 관리하는 산업에 주로 적용됩니다.

클라우드 규정 준수가 중요한 이유는 무엇일까요?

2022년까지 모든 기업 데이터의 60% 이상이 클라우드에 저장될 것입니다. 이는 2015년 대비 두 배에 달하는 클라우드 저장 용량입니다.

이렇게 많은 데이터가 클라우드에 저장됨에 따라 각 조직은 해당 데이터의 보안을 보장하는 데 주력해야 합니다.

클라우드 요구 사항을 따르지 않을 경우 비용이 많이 드는 데이터 침해가 발생할 수 있습니다. 클라우드 규정 준수는 견고한 보안 태세를 유지하면서 클라우드 컴퓨팅의 비용 효율성, 데이터 백업 및 복구, 확장성을 활용하는 데 도움이 될 수 있습니다.

예를 들어, 의료 부문의 HIPAA 법률은 특정 유형의 환자 건강 데이터에 대해 엄격한 보안 방법 및 지침을 의무화하고 있습니다. 또 다른 예로는 지난 수십 년간 은행 부문의 변화에 따라 제정된 금융 개인정보 보호 관련 새로운 법률이 있습니다.

본질적으로 클라우드 고객은 내부 보안을 평가하는 것과 동일한 방식으로 공급업체가 채택한 보안 관행을 평가해야 합니다. 클라우드 공급업체가 제공하는 서비스가 고객의 기준을 충족하는지 평가해야 합니다. 이를 수행하는 방법은 다양합니다. 기업은 때때로 서비스 제공업체가 규정 준수를 인증할 수 있는지 여부만을 기준으로 선택하고 다른 결정은 내리지 않을 수 있습니다. 고객은 법적 요구사항 및 업계 표준을 준수하는지 확인하기 위해 클라우드 공급자의 보안에 적극적으로 접근해야 할 수도 있습니다.

클라우드 컴플라이언스 프레임워크란 무엇인가?

클라우드 컴플라이언스 프레임워크는 클라우드 자원을 보호하기 위한 표준 및 권장 절차를 모은 것입니다. 일부는 특정 산업 분야(방위 산업이나 의료 산업 등)에 특화된 반면, 일부 프레임워크는 광범위하여 일반적인 사용을 목적으로 합니다.

예시:

• 지불 카드 산업 데이터 보안 표준(PCI DSS): 이 클라우드 컴플라이언스 프레임워크의 주요 목적은 신용카드 거래를 보호하는 것입니다. 카드 소지자 데이터의 전달 및 보관 방식을 통제합니다.
• 건강보험 이동성 및 책임법(HIPAA): HIPAA는 미국 의료 분야를 규율하는 법률로, 환자 데이터와 기업이 이를 보관 및 활용하는 방식을 다룹니다. 이 클라우드 컴플라이언스 프레임워크는 또한 환자 PII가 공개된 경우 기업이 취해야 할 조치를 명시합니다.
• SOC 2: 이 클라우드 컴플라이언스 프레임워크는 보안, 가용성, 처리 무결성, 기밀성 또는 개인 정보 보호와 관련하여 조직의 정보 시스템을 평가합니다.
• ISO 27001 클라우드 규정 준수 프레임워크를 통해 기업은 신뢰할 수 있고 안전한 정보 보안 관리를 할 수 있습니다.
• 미국 국립표준기술원(NIST)은 정부 기관을 위한 정보 시스템 개발 및 보호를 위한 표준과 지침을 제공합니다. NIST 사이버 보안 프레임워크, NIST 800-53, NIST 800-171은 NIST 표준 준수 여부를 평가하는 데 활용할 수 있는 세 가지 클라우드 준수 프레임워크입니다.
• GDPR (일반 데이터 보호 규정)은 개인 데이터를 보호하는 가장 잘 알려져 있고 중요한 유럽 클라우드 규정 준수 프레임워크입니다.

클라우드 규정 준수 프레임워크의 구성 요소

클라우드 규정 준수 프레임워크의 주요 구성 요소는 다음과 같습니다.

거버넌스

이러한 사전 설정된 필터는 잠재적으로 유해한 공개 노출로부터 귀하의 개인 정보를 보호합니다. 클라우드 거버넌스의 핵심 구성 요소는 다음과 같습니다.

조직은 자산 관리의 일환으로 모든 클라우드 서비스와 데이터를 목록화한 다음, 취약점을 방지하기 위해 모든 구성을 정의해야 합니다. 클라우드 구조, 소유권 및 책임의 특성화는 클라우드 전략 및 설계의 일부이며, 클라우드 보안을 통합하는 것입니다. 재무 통제에는 클라우드 서비스 구매 승인 절차와 비용 효율성과 클라우드 사용 간의 균형 조정이 포함됩니다.

변경 관리

클라우드의 두 가지 주요 장점인 속도와 유연성으로 인해 변경 관리는 더욱 어려워집니다. 클라우드에서 문제가 되는 잘못된 구성은 종종 부적절한 변경 관리로 인해 발생합니다. 조직은 자동화를 활용하여 설정에 문제가 없는지 지속적으로 점검하고 원활한 변경 절차를 보장할 수 있습니다.

클라우드 환경에서 ID 및 접근 관리(IAM) (IAM) 제어는 여러 차례 변경을 거치는 경우가 많습니다. 클라우드 환경에 대한 IAM 모범 사례는 다음과 같습니다.

• 루트 계정은 위험하고 통제되지 않은 접근을 허용할 수 있으므로 항상 모니터링하십시오. 접근을 위해 다단계 인증(MFA)를 구현하고, 최소한 필터와 경보를 통해 이를 모니터링하십시오. 가능하다면 해당 계정을 비활성화하십시오.
• 조직의 요구사항과 최소 권한 원칙에 따라 접근 권한을 부여하기 위해 역할 기반 접근 및 그룹 수준 권한을 사용하십시오.
• 효율적인 자격 증명 및 키 관리 규칙을 수립하고, 휴면 계정을 비활성화하고 제도화하십시오.

지속적인 모니터링

클라우드의 복잡성과 분산된 특성으로 인해 모든 활동을 모니터링하고 기록하는 것이 매우 중요합니다. 규정 준수 검증의 기초는 이벤트의 누가, 무엇을, 언제, 어디서, 어떻게에 대한 정보로, 이를 통해 기업은 감사 준비 상태를 유지할 수 있습니다. 클라우드 환경에서 데이터를 추적하고 기록할 때 다음 사항을 수행해야 합니다:

• 모든 클라우드 리소스에 대한 로깅을 켜는 것을 잊지 마십시오.
• 로그는 암호화해야 하며, 공개적으로 접근 가능한 저장소에 보관해서는 안 됩니다.
• 메트릭, 경보 및 활동 기록을 설정하십시오.
• 취약점 관리

보고

보고는 최근 및 과거의 규정 준수 증거를 제공합니다. 이러한 보고서를 규정 준수 기록으로 간주하십시오. 감사 시 유용할 것입니다. 규정 준수가 의문시될 경우, 사건 발생 전후의 모든 활동에 대한 상세한 타임라인이 중요한 증거가 될 수 있습니다. 이러한 기록을 보관해야 하는 기간은 특정 규정에 따라 다릅니다. 일부 규정은 한두 달만 요구하는 반면, 다른 규정은 훨씬 더 긴 기간을 요구합니다. 현장 시스템 장애나 자연 재해 발생 시 팀은 모든 문서를 안전하고 별도의 장소에 보관해야 합니다.

일반적인 클라우드 규정 준수 프레임워크

이러한 클라우드 규정 준수 프레임워크는 클라우드 규정 준수에 대한 요구 사항에 특별히 적용됩니다. 클라우드 공급업체와 고객은 이러한 프레임워크의 세부 사항을 이해해야 합니다.

클라우드 보안 연합(Cloud Security Alliance) 제어 매트릭스는 보안 공급업체의 출발점 역할을 하는 기본적인 보안 제어 모음으로, 보안 제어 설정을 강화하고 감사를 용이하게 합니다. 이 방법론은 또한 잠재적 고객이 가능한 클라우드 공급자의 위험 프로필을 평가하는 데 도움이 됩니다.

연방 기관과 협력하려는 조직은 클라우드와 관련된 FedRAMP 데이터 보안 요구 사항을 준수해야 합니다. FedRAMP의 목표는 연방 정부가 사용하는 모든 클라우드 설치 환경이 최소한의 데이터 및 애플리케이션 보안을 보장하도록 하는 것입니다.

사베인스-옥슬리법(SOX)은 상장 기업이 재무 정보를 공개하는 방식을 규제하여 소비자를 사기나 보고 오류로부터 보호하기 위한 규정입니다. SOX 표준은 보안에 특화된 것은 아니지만, 데이터 무결성을 지원하기 때문에 다양한 IT 보안 조치를 다룹니다.

보안 중심 프레임워크

다음과 같은 보안 관련 법률은 행동에 대한 기준을 설정하여 민감한 데이터를 취급하는 조직에 도움이 될 수 있습니다. 이러한 프레임워크는 보안 사고를 방지하기 위한 프로세스와 구조를 제공합니다.

국제표준화기구(ISO) 27001은 정보 보안 관리 시스템에 대한 요구 사항으로, 귀사가 업계 모범 사례를 따르고 고객 데이터 보호에 전념하고 있음을 입증합니다.

NIST 사이버 보안 프레임워크: 이 기본 정책 및 절차 벤치마크는 기업이 온라인 위협을 얼마나 잘 관리하고 대응할 수 있는지 평가합니다. 이 프레임워크는 위험 식별 및 관리에 도움을 주며 보안 전문가들을 위한 모범 사례 매뉴얼 역할을 합니다.

우수한 아키텍처를 갖춘 클라우드 프레임워크

운영 효율성, 보안, 비용 대비 가치 요소를 포괄하는 이 프레임워크들은 클라우드 아키텍트들의 모범 사례 기준으로 간주될 수 있습니다.

아마존 웹 서비스(AWS)에서 개발한 이 프레임워크는 아키텍트들이 아마존 클라우드에서 워크로드와 애플리케이션을 설계하는 데 도움을 줍니다. 클라우드 환경 분석을 위한 질문 모음에 기반한 이 프레임워크 덕분에 고객들은 아키텍처 평가를 위한 신뢰할 수 있는 자원을 이용할 수 있습니다. 아마존 아키텍트의 5가지 지침 원칙은 운영 효율성, 보안, 신뢰성, 성능 효율성, 비용 최적화입니다.

Google Cloud 아키텍처 프레임워크는 Google 클라우드 솔루션 개발 및 개선의 기반 역할을 합니다. 운영의 우수성, 보안 및 규정 준수, 신뢰성, 성능 비용 최적화라는 네 가지 기본 원칙이 이 프레임워크의 핵심이며, 아키텍트를 위한 로드맵 역할을 합니다.

결론

차이점에도 불구하고 보안과 규정 준수는 서로 관련되어 있으며 많은 공통점을 가지고 있습니다. 이러한 중복은 위험한 방어 공백으로 이어질 수 있습니다. 클라우드 규정 준수 프레임워크를 사용하면 보안을 강화하는 데 도움이 됩니다. 조직은 SentinelOne이 제공하는 것과 같은 혁신적이고 지속적인 규정 준수 솔루션을 사용하여 보안 및 규정 준수 위험 완화 전략 간의 중복을 감지하고 관리함으로써 더 안전한 환경을 구축할 수 있습니다.

클라우드 규정 준수 프레임워크 FAQ