안티패턴 제어
클라우드 채택의 거버넌스 단계에서 안티패턴이 발생할 수 있습니다. 공유 책임 및 기존 프레임워크에서 보안 전략을 빌드하여 이러한 안티패턴을 방지하는 방법을 이해합니다.
안티패턴: 공유된 책임에 대한 오해
클라우드를 채택할 때 다양한 서비스 모델과 관련하여 사용자의 책임이 어디에서 끝나고 클라우드 공급자의 책임이 시작되는지가 항상 명확한 것은 아닙니다. 서비스 모델을 사용하는 작업 항목에 대한 프로세스와 사례를 빌드하려면 클라우드 기술과 지식이 필요합니다.
예: 클라우드 공급자가 업데이트를 관리한다고 가정해보겠습니다.
회사의 HR(인사) 부서 구성원은 IaaS(Infrastructure as a Service)를 사용하여 클라우드에서 여러 Windows 서버를 설정합니다. 온사이트 IT는 일반적으로 업데이트 설치를 처리하기 때문에 클라우드 공급자가 업데이트를 관리한다고 가정합니다. HR 부서는 Azure가 기본적으로 OS(운영 체제) 업데이트를 배포하고 설치하지 않는다는 사실을 인식하지 못하기 때문에 업데이트를 구성하지 않습니다. 결과적으로 서버는 규정을 준수하지 않으며 보안 위험이 있습니다.
원하는 결과: 준비 계획 수립
클라우드에서의 공동 책임을 이해합니다. 준비 계획을 수립하고 만듭니다. 준비 계획은 학습 및 전문성 개발을 위한 지속적인 추진력을 만들 수 있습니다.
안티패턴: 기본 제공 솔루션이 보안을 제공한다고 가정
기업은 보안을 클라우드 서비스에 내재된 기능으로 보는 경향이 있습니다. 이 가정은 종종 정확하지만 대부분의 환경은 보안 요구 사항과 다를 수 있는 규정 준수 프레임워크 요구 사항을 준수해야 합니다. Azure는 기본 보안을 제공하며 Azure Portal은 클라우드용 Microsoft Defender 통해 고급 보안을 제공할 수 있습니다. 구독을 만들 때 규정 준수 및 보안 표준을 적용하도록 솔루션을 사용자 지정해야 합니다.
예: 클라우드 보안 무시
회사는 클라우드에서 새로운 애플리케이션을 개발합니다. 많은 PaaS(Platform as a Service) 서비스와 디버깅 목적으로 일부 IaaS 구성 요소를 기반으로 하는 아키텍처를 선택합니다. 애플리케이션을 프로덕션에 출시한 후 회사는 점프 서버 중 하나가 손상되어 알 수 없는 IP 주소로 데이터를 추출하고 있음을 깨달았습니다. 회사는 문제가 점프 서버의 공용 IP 주소와 추측하기 쉬운 암호라는 것을 발견했습니다. 회사가 클라우드 보안에 더 집중했다면 이러한 상황을 피할 수 있었을 것입니다.
원하는 결과: 클라우드 보안 전략 정의
적절한 클라우드 보안 전략을 정의합니다. 자세한 내용은 CISO 클라우드 준비 가이드를 참조하세요. 이 가이드는 CISO(최고 정보 보안 책임자)를 참조하세요. CISO 클라우드 준비 가이드에서는 보안 플랫폼 리소스, 개인 정보 및 제어, 규정 준수 및 투명성과 같은 항목에 대해 설명합니다.
Azure Security Benchmark에서 보안 클라우드 워크로드에 대해 읽어보세요. 대부분의 보안 위험 및 측정값을 해결하는 미국 국립표준기술원의 NIST SP800-53과 함께 Center for Internet Security의 CIS Controls v7.1을 기반으로 합니다.
클라우드용 Microsoft Defender를 사용하여 위험을 식별하고 모범 사례를 적용하며 회사의 보안 태세를 개선합니다.
Azure Policy 및 Azure Policy를 코드 솔루션으로 사용하여 회사별 자동화된 규정 준수 및 보안 요구 사항을 구현하거나 지원합니다.
안티패턴: 사용자 지정 규정 준수 또는 거버넌스 프레임워크 사용
업계 표준을 기반으로 하지 않는 사용자 지정 규정 준수 및 거버넌스 프레임워크를 도입하면 클라우드 채택 시간이 크게 늘어나게 됩니다. 사용자 지정 프레임워크에서 클라우드 설정으로의 변환은 복잡할 수 있기 때문입니다. 이러한 복잡성은 사용자 지정 조치 및 요구 사항을 구현 가능한 보안 제어로 변환하는 데 필요한 노력을 증가시킬 수 있습니다. 회사는 일반적으로 유사한 보안 및 규정 준수 요구 사항 집합을 준수해야 합니다. 결과적으로 대부분의 사용자 지정 규정 준수 및 보안 프레임워크는 현재 규정 준수 프레임워크와 약간만 다릅니다. 추가 보안 요구 사항이 있는 회사는 새로운 프레임워크 빌드를 고려할 수 있습니다.
예: 사용자 지정 보안 프레임워크 사용
회사의 CISO는 IT 보안 직원에게 클라우드 보안 전략 및 프레임워크를 제시하는 작업을 할당합니다. IT 보안 부서는 업계 표준을 기반으로 빌드하는 대신 현재 온-프레미스 보안 정책을 기반으로 하는 새로운 프레임워크를 만듭니다. 클라우드 보안 정책을 완료한 후 AppOps 및 DevOps 팀은 클라우드 보안 정책을 구현하는 데 어려움을 겪습니다.
Azure는 회사의 자체 프레임워크와 다른 보다 포괄적인 보안 및 규정 준수 구조를 제공합니다. CISO 팀은 Azure 컨트롤이 자체 규정 준수 및 보안 규칙과 호환되지 않는다고 생각합니다. 표준화된 제어를 기반으로 한 프레임워크였다면 이런 결론에 이르지 못했을 것입니다.
원하는 결과: 기존 프레임워크에 의존
사용자 지정 회사 규정 준수 프레임워크를 설정하거나 도입하기 전에 CIS Controls 버전 7.1 또는 NIST SP 800-53과 같은 기존 프레임워크를 사용하거나 빌드합니다. 기존 프레임워크는 클라우드 보안 설정으로의 전환을 더 쉽고 측정 가능하게 만듭니다. 프레임워크 구현에 대한 자세한 내용은 Azure 랜딩 존 구현 옵션을 참조 하세요.