보안 규정 준수

AWS 보안 규정 준수에 대한 소개를 시작하겠습니다. 고객이 클라우드 환경에서 보안과 규정 준수를 꾸준히 이어 나가는 데 AWS가 어떻게 도움이 될까요? Amazon에서는 보안 및 규정 준수 프로그램의 성과를 주로 단 하나의 기준으로만 평가합니다. 바로 고객의 성공 여부죠. 여러분은 AWS의 규정 준수 활동을 마음껏 활용하고 AWS가 제시하는 비용 절감 및 보안 관련 혜택을 규모에 맞게 즐기면서 보안과 규제 준수를 강력한 수준으로 유지하실 수 있습니다. 이 모듈에서는 AWS의 규정 준수 접근법, 위험 및 보증 프로그램을 알아보고 AWS가 어떻게 여러분의 비즈니스를 안전히 보호하면서 규정 준수 문제에서 시장을 계속 선도하시도록 도울 수 있을지 살펴볼 것입니다. 공동 보안 책임 모델에서 소개된 바와 같이, AWS와 고객은 제휴를 통해 인프라를 보호합니다. AWS는 IT 환경 제어 기능을 공유하는데, 그에 따라 두 당사자 모두에게 환경 관리 책임이 주어지죠. 이렇게 한데 공유된 책임에서 AWS 측 책임으로는 안전성이 뛰어나고 원활히 통제되는 플랫폼에서 중요 서비스를 제공하는 동시에 고객이 이용할 만한 다양한 보안 기능을 마련하는 일을 꼽을 수 있습니다. 한편 고객에게는 안전하고 잘 통제된 방식으로 자사의 IT 환경을 비즈니스 목적에 맞게 구성할 책임이 있습니다. 고객이 자사의 이용 현황이나 구성을 AWS에 알리지 않더라도 AWS는 각각의 비즈니스 니즈와 관련해 마련된 보안 및 제어 환경을 고객에게 알립니다. 그 방법으로는 산업 인증과 독립 외부 기관의 증명서 취득, 백서와 웹 사이트 콘텐츠를 통한 보안 및 제어 관행 정보 공개, 그리고 인증서와 보고서, 기타 여러 자료를 필요하다면 비밀 유지 계약, 즉 NDA에 따라 고객에게 직접 제공하는 방법이 있습니다. AWS는 외부의 인증 기관, 그리고 독립된 감사 담당자와의 협업 하에 AWS의 정책, 프로세스와 제어 기능에 관한 정보를 고객에게 제공합니다. AWS의 규정 준수 관행은 외부 기관과 독립된 감사 담당자의 평가를 거치며, 그 결과에 따라 인증서나 감사 보고서, 규정 준수 증명서가 발급됩니다. 고객에게는 규정 준수 관련법과 규정을 따를 책임이 주어집니다. 하지만 AWS는 때때로 고객의 규정 준수를 지원하기 위한 기능과 인에이블러, 법적 계약을 제시합니다. AWS는 기존에 공개된 특정 업계나 기능 부문의 보안/규정 준수 요건으로 규정 준수의 조율과 프레임워크를 보완합니다. 규정 준수 플레이북, 매핑 문서 및 백서와 같은 보안 기능 및 인에이블러를 제공합니다. AWS는 다양한 감사 과정을 성공적으로 마치면서 기술업계를 포함한 다양한 산업 분야와 공공 부문에 적용되는 엄격한 규제적, 법적 요건에 부합한다는 점을 증명했습니다. AWS에 발급된 증명서를 통해 고객사와 그 개별 고객의 필요 충족과 만족도 제고, 보안 증진에 최선을 다한다는 점도 증명되었습니다. 잠시 시간을 내어 AWS가 발급받은 인증서를 살펴보시죠. AWS는 위험 및 규정 준수 프로그램에 관한 정보를 제공하며, 따라서 고객은 AWS의 제어 기능을 자사의 거버넌스 프레임워크로 통합할 수 있습니다. 고객은 이러한 정보를 활용해 AWS를 통한 완전 제어 및 거버넌스 프레임워크를 해당 프레임워크에서 중요한 부분으로서 문서화할 수 있습니다. 고객은 AWS 플랫폼의 제어 기능과 유연성에 힘입어 여러 업계별 표준에 부합하는 솔루션을 배포할 수 있습니다. AWS의 규정 준수 접근법에 포함된 세 가지 구성 요소는 위험 관리, 제어 환경, 정보 보안입니다. AWS 경영진은 위험 관리의 초석이 되는 전략적 비즈니스 계획과 프로세스를 세워 두었습니다. 이 비즈니스 계획은 연 2회의 재평가를 거치면서 위험 식별과 완화의 청사진으로 기능합니다. 위험 관리 프로세스를 진행하자면 경영진이 담당 분야의 위험을 식별하고 적절히 조처해 해당 위험을 해결해야 합니다. AWS 제어 환경은 내외부의 다양한 위험 평가를 받을 수도 있습니다. AWS 규정 준수 및 보안 팀에서는 여러 관리 기구의 가이드라인을 토대로 정보 보안 프레임워크와 관련 정책을 마련했습니다. AWS는 보안 정책을 유지하고, 사내 보안 교육을 실시하며, 애플리케이션의 보안을 검토합니다. 이 검토 작업에서는 데이터의 기밀성, 무결성, 가용성, 그리고 정보 보안 정책 준수 현황을 평가합니다. 이제 AWS 위험 관리가 실제로 어떻게 진행되는지 살펴보시죠. AWS의 보안 기능은 인터넷에 연결된 모든 서비스 엔드포인트의 취약점을 정기적으로 스캔합니다. 유의할 점은 해당 스캔 작업이 고객의 EC2 인스턴스 인터페이스에서는 진행되지 않는다는 것입니다. AWS 보안 기능에서는 식별된 취약점을 해결하기에 적합한 당사자에게 알림을 보냅니다. 그에 더하여 독립된 보안업체에서도 외부 취약점 위협 평가를 정기적으로 실시합니다. 평가로 확인된 문제와 권장 사항은 카테고리별로 분류되어 AWS 최고 경영진에게 보고됩니다. 우리가 알아야 할 중요한 사실은 이러한 스캔 작업의 목적이 기본적인 AWS 인프라의 건전성과 성공 가능성을 보호하는 데 있을 뿐, 각 고객의 규정 준수 요건 충족에 필요한 고객 취약점 스캔을 대신하지는 않는다는 것입니다. 고객은 스캔 작업이 고객의 인스턴스로 한정되고 AWS의 이용 목적 제한 방침에 위배되지 않는다면 자사 클라우드 인프라의 스캔 권한을 요청할 수 있습니다. AWS가 관리하는 포괄적 제어 환경에서는 안전한 AWS 서비스 제공을 위해 마련된 정책과 프로세스, 제어 활동을 한데 아우르고 있습니다. 집단적 제어 환경에서 AWS 제어 프레임워크의 운영 효율성을 뒷받침할 환경을 수립하고 유지하는 데 필요한 인적 요소, 프로세스와 기술이 한데 어울리죠. AWS는 최상위 산업 기관들의 확인을 거친 여러 클라우드별 제어 기능을 제어 프레임워크로 통합했고, 고객마다 제어 환경을 관리하는 데 유용할 선도적 관행을 적극적으로 모니터링 및 확인하고 있습니다. AWS가 실시한 공식 정보 보안 프로그램은 고객 시스템과 데이터의 기밀성, 무결성, 가용성을 보호할 목적으로 고안되었습니다. 고객은 AWS 웹 사이트에서 보안 백서를 확인해 AWS가 자사의 데이터 보호에 어떻게 유용할지 자세히 알아볼 수 있습니다. AWS 고객은 IT의 배포 현황과 관계없이 전체 IT 제어 환경에 대한 거버넌스를 적절한 수준으로 유지해야 합니다. 고객의 강력한 규정 준수 및 거버넌스 접근법이 어떤 양상을 띠는지 함께 보시죠. 먼저, 고객은 AWS와 그 외의 관련 소스에서 이용 가능한 정보를 검토해 IT 환경을 최대한 파악하고 모든 규정 준수 요건을 문서화합니다. 그 후에 고객은 회사의 규정 준수 요건에 부합하도록 제어 목표를 설계하고 추진합니다. 그다음에는 외부 기관 소유의 제어 기능을 확인하고 문서화하며, 마지막으로는 제어 목표가 전부 달성되는지, 모든 주요 제어 기능의 설계와 운용이 효과적인지 확인합니다. 고객은 규정 준수 및 거버넌스 프로세스에서 AWS와의 협업으로 규정 준수 요건을 고려한 설계 작업을 실현할 수 있습니다. 이제 AWS의 규정 준수 프로그램이 여러분의 비즈니스에 어떤 도움을 드릴 수 있을지 요약하면서 마무리하겠습니다. AWS의 클라우드 인프라를 토대로 시스템이 구축되면 규정 준수 책임을 공유할 수 있습니다. 고객은 저희가 마련한 프로그램으로 AWS의 강력한 제어 기능을 파악해 클라우드에서 데이터를 안전히 보호할 수 있습니다. AWS의 규정 준수 인에이블러는 감사에 적합한 서비스 기능, 보안 규정과 표준을 하나로 묶어 고객이 기존의 프로그램을 토대로 발전할 수 있도록 돕습니다. 그에 따라 고객은 AWS 보안 제어 환경에서 구성과 운영 작업을 추진할 수 있게 됩니다. 자세히 알아보려면 aws.amazon.com/compliance를 방문하십시오.