개념 및 용어에 대한 이해 AWS Audit Manager

시작하는 데 도움이 되도록 이 페이지에서는 AWS Audit Manager의 몇 가지 핵심 개념을 정의합니다.

A

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

평가

Audit Manager 평가를 사용하여 감사와 관련된 증거를 자동으로 수집할 수 있습니다.

평가는 감사와 관련된 제어 체계를 그룹화한 프레임워크를 기반으로 합니다. 표준 프레임워크 또는 사용자 지정 프레임워크에서 평가를 생성할 수 있습니다. 표준 프레임워크에는 특정 규정 준수 표준 또는 규정을 지원하는 사전 구축된 컨트롤 세트가 포함되어 있습니다. 반면, 사용자 지정 프레임워크에는 특정 감사 요구 사항에 따라 사용자 지정하고 그룹화할 수 있는 제어 기능이 포함되어 있습니다. 프레임워크를 출발점으로 사용하여 감사 범위에 포함하려는 항목을 지정하는 평가를 만들 수 있습니다. AWS 계정

평가를 생성하면 Audit Manager는 프레임워크에 정의된 제어 기능을 AWS 계정 기반으로 해당 조직의 리소스를 자동으로 평가하기 시작합니다. 그런 다음 관련 증거를 수집하여 감사자 친화적인 형식으로 변환합니다. 이를 수행한 이후, 평가 내 제어에 증거를 첨부합니다. 감사 시기가 되면 사용자 또는 사용자가 선택한 대리인이 수집한 증거를 검토한 다음 평가 보고서에 추가할 수 있습니다. 이 평가 보고서는 제어가 의도한 대로 작동하고 있음을 입증하는 데 도움이 됩니다.

증거 수집은 평가를 생성할 때 시작되는 지속적인 프로세스입니다. 귀하는 평가 상태를 비활성으로 변경하여 증거 수집을 중지할 수 있습니다. 또는 제어 수준에서 증거 수집을 중지할 수 있습니다. 평가 내의 특정 제어 상태를 비활성으로 변경하여 이 작업을 수행할 수 있습니다.

평가 생성 및 관리 방법에 대한 지침은 에서 평가 관리 AWS Audit Manager 섹션을 참조하세요.

평가 보고서

평가 보고서는 Audit Manager 평가를 통해 생성된 최종 문서입니다. 이 보고서에는 감사를 위해 수집된 관련 증거가 요약되어 있습니다. 이 보고서는 관련 증거 폴더로 연결됩니다. 귀하의 평가에 지정된 제어 항목에 따라 폴더의 이름과 구성이 지정됩니다. 각 평가에 대해 귀하는 Audit Manager가 수집하는 증거를 검토하고 평가 보고서에 포함할 증거를 결정할 수 있습니다.

평가 보고서에 대한 보다 상세한 내용은 평가 보고서 섹션을 참조하세요. 평가 보고서를 생성하는 방법을 알아보려면 에서 평가 보고서 준비하기 AWS Audit Manager 섹션을 참조하세요.

평가 보고서 대상

평가 보고서 대상은 Audit Manager가 평가 보고서를 저장하는 기본 S3 버킷입니다. 자세한 내용은 기본 평가 보고서 대상 구성 섹션을 참조하세요.

감사

감사는 조직의 자산, 운영 또는 비즈니스 무결성을 독립적으로 검사하는 것입니다. 정보 기술 (IT) 감사는 특히 조직의 정보 시스템 내에 있는 제어를 검사합니다. IT 감사의 목표는 정보 시스템이 자산을 보호하고, 효과적으로 운영되며, 데이터 무결성을 유지하는지 확인하는 것입니다. 이러한 모든 사항은 규정 준수 표준 또는 규정에서 요구하는 규제 요구 사항을 충족하는 데 중요합니다.

감사 소유자

감사 소유자라는 용어는 상황에 따라 두 가지 다른 의미를 갖습니다.

Audit Manager의 맥락에서 감사 소유자는 평가 및 관련 리소스를 관리하는 사용자 또는 역할입니다. 이 Audit Manager 인격체의 책임에는 평가 작성, 증거 검토 및 평가 보고서 생성이 포함됩니다. Audit Manager는 협업 서비스이며, 다른 이해 관계자가 평가에 참여하면 감사 소유자가 혜택을 누릴 수 있습니다. 예를 들어 평가에 다른 감사 소유자를 추가하여 관리 작업을 공유할 수 있습니다. 또는 감사 담당자로서 제어를 위해 수집된 증거를 해석하는 데 도움이 필요한 경우 해당 분야에 대한 주제 전문 지식을 갖춘 이해 관계자에게 제어 세트를 위임할 수 있습니다. 이러한 사람을 대리인 인격체라고 합니다.

비즈니스 측면에서 감사 소유자는 회사의 감사 준비 노력을 조정 및 감독하고 감사자에게 증거를 제시하는 사람입니다. 일반적으로 이들은 규정 준수 책임자 또는 GDPR 데이터 보호 책임자와 같은 GRC(거버넌스, 위험 및 규정 준수) 전문가입니다. GRC 전문가는 감사 준비를 관리할 수 있는 전문 지식과 권한을 보유하고 있습니다. 보다 구체적으로 말하자면, 이들은 규정 준수 요구 사항을 이해하고 보고 데이터를 분석, 해석 및 준비할 수 있습니다. 그러나 다른 비즈니스 역할도 감사 소유자인 Audit Manager 인격체를 맡을 수 있습니다. GRC 전문가만이 이 역할을 맡는 것이 아닙니다. 예를 들어, 아래 나열한 팀 중 한 곳의 기술 전문가가 Audit Manager 평가를 설정하고 관리하도록 선택할 수 있습니다.

• SecOps

• IT/ DevOps

• 보안 운영 센터/사고 대응팀

• 클라우드 자산을 소유, 개발, 개선 및 배포하고 조직의 클라우드 인프라를 이해하는 유사한 팀

Audit Manager 평가에서 누구를 감사 소유자로 선택하여 지정할 것인지는 귀하의 조직에 따라 크게 달라집니다. 또한 보안 운영 구조 및 감사 세부 사항에 따라서도 달라집니다. Audit Manager에서는 동일한 개인이 한 평가에서는 감사 소유자 인격체를, 다른 평가에서는 대리인 인격체를 떠맡을 수 있습니다.

Audit Manager로 이용할 사람을 어떻게 선택하든 감사 소유자/대리인 인격체를 사용하고 각 사용자에게 특정 IAM 정책을 부여함으로써 귀하의 조직 전체에 걸쳐 업무 분리를 관리할 수 있습니다. Audit Manager는 이 2단계 접근 방식을 통해 귀하가 개별 평가의 모든 세부 사항을 완벽하게 제어할 수 있도록 합니다. 자세한 정보는 사용자 페르소나에 대한 권장 정책은 다음과 같습니다. AWS Audit Manager을 참조하세요.

AWS 매니지드 소스

AWS 관리 소스는 사용자를 위해 AWS 유지되는 증거 출처입니다.

각 AWS 관리 원본은 특정 공통 컨트롤 또는 핵심 컨트롤에 매핑되는 미리 정의된 데이터 원본 그룹입니다. 공통 컨트롤을 증거 소스로 사용하면 해당 공통 제어를 지원하는 모든 핵심 컨트롤에 대한 증거를 자동으로 수집하게 됩니다. 개별 핵심 통제를 증거 자료로 사용할 수도 있습니다.

AWS 관리 원본이 업데이트될 때마다 해당 AWS 관리 소스를 사용하는 모든 사용자 지정 컨트롤에 동일한 업데이트가 자동으로 적용됩니다. 즉, 사용자 지정 컨트롤은 해당 증거 소스의 최신 정의를 기준으로 증거를 수집합니다. 이를 통해 클라우드 규정 준수 환경이 변화하더라도 지속적으로 규정을 준수할 수 있습니다.

참조:customer managed source,evidence source.

C

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

Changelog

평가의 각 컨트롤에 대해 Audit Manager는 해당 컨트롤에 대한 사용자 활동을 추적합니다. 그런 다음 특정 제어와 관련된 활동의 감사 기록을 검토할 수 있습니다. 변경 로그에 캡처되는 사용자 활동에 대한 자세한 내용은 을 참조하십시오. Changelog 탭

클라우드 규정 준수

클라우드 규정 준수는 클라우드 제공 시스템이 클라우드 고객이 직면한 표준을 준수해야 한다는 일반 원칙입니다.

공통 제어

control 섹션을 참조하십시오.

규정 준수 규정

규정 준수 규정은 일반적으로 행위를 규제하기 위해 기관에서 규정하는 법률, 규칙 또는 기타 명령입니다. 한 가지 예는 GDPR입니다.

규정 준수 표준

규정 준수 표준은 확립된 규정, 사양 또는 법률에 따라 조직을 유지하기 위한 조직의 프로세스를 자세히 설명하는 일련의 구조화된 지침입니다. PCI DSS 및 HIPAA를 예로 들 수 있습니다.

제어

제어는 정보 시스템 또는 조직을 위해 규정된 보호 장치 또는 대응책입니다. 통제는 정보의 기밀성, 무결성 및 가용성을 보호하고 정의된 일련의 요구 사항을 충족하도록 설계되었습니다. 이를 통해 리소스가 의도한 대로 운영되고, 데이터가 신뢰할 수 있으며, 조직이 관련 법률 및 규정을 준수하고 있음을 확인할 수 있습니다.

Audit Manager에서 제어는 공급업체 위험 평가 설문지의 질문을 나타낼 수도 있습니다. 이 경우 제어는 조직의 보안 및 규정 준수 태세에 대한 정보를 묻는 특정 질문입니다.

제어는 Audit Manager 평가에서 활성화될 때 지속적으로 증거를 수집합니다. 모든 제어에 증거를 수동으로 추가할 수도 있습니다. 각 증거는 통제 요구 사항 준수를 입증하는 데 도움이 되는 기록입니다.

Audit Manager는 다음과 같은 유형의 제어를 제공합니다.

제어 유형	설명
공통 제어	공통 제어는 규제 목표를 달성하는 데 도움이 되는 조치라고 생각할 수 있습니다. 공통 제어 항목은 특정 규정 준수 표준에만 국한되지 않으므로 중복되는 다양한 규정 준수 의무를 뒷받침할 수 있는 증거를 수집하는 데 도움이 됩니다. 예를 들어 데이터 분류 및 처리라는 통제 목표가 있다고 가정해 보겠습니다. 이 목표를 달성하기 위해 액세스 제어라는 공통 제어를 구현하여 리소스에 대한 무단 액세스를 모니터링하고 탐지할 수 있습니다. 자동화된 공통 제어는 사용자를 대신하여 증거를 수집합니다. 하나 이상의 관련 핵심 제어 항목이 그룹화되어 있습니다. 그런 다음 각 핵심 컨트롤은 사전 정의된 AWS 데이터 소스 그룹에서 관련 증거를 자동으로 수집합니다. AWS 이러한 기본 데이터 소스를 대신 관리하고, 규정 및 표준이 변경되고 새로운 데이터 소스가 식별될 때마다 업데이트합니다. 수동 공통 제어를 위해서는 직접 증거를 업로드해야 합니다. 이는 일반적으로 물리적 기록이나 AWS 환경 외부에서 발생하는 이벤트에 대한 세부 정보를 제공해야 하기 때문입니다. 이러한 이유로 수동 공통 제어의 요구 사항을 뒷받침하는 증거를 제시할 수 있는 AWS 데이터 소스가 없는 경우가 많습니다. 공통 컨트롤은 편집할 수 없습니다. 하지만 사용자 지정 컨트롤을 만들 때 모든 공통 컨트롤을 증거 소스로 사용할 수 있습니다.
코어 컨트롤	이는 사용자 환경에 대한 규범적 지침입니다. AWS 핵심 컨트롤은 공통 컨트롤의 요구 사항을 충족하는 데 도움이 되는 조치라고 생각할 수 있습니다. 예를 들어 액세스 제어라는 공통 제어를 사용하여 리소스에 대한 무단 액세스를 모니터링한다고 가정해 보겠습니다. 이 공통 제어를 지원하기 위해 S3 버킷의 퍼블릭 읽기 액세스 차단이라는 핵심 제어를 사용할 수 있습니다. 핵심 제어 항목은 특정 규정 준수 표준에만 국한되지 않으므로 중복되는 다양한 규정 준수 의무를 뒷받침할 수 있는 증거를 수집합니다. 각 핵심 제어 항목은 하나 이상의 데이터 소스를 사용하여 특정 항목에 대한 증거를 수집합니다. AWS 서비스 AWS 이러한 기본 데이터 원본을 대신 관리하고, 규정 및 표준이 변경되고 새로운 데이터 원본이 식별될 때마다 업데이트합니다. 핵심 컨트롤은 편집할 수 없습니다. 하지만 사용자 지정 컨트롤을 만들 때 모든 핵심 컨트롤을 증거 소스로 사용할 수 있습니다.
표준 컨트롤	이는 Audit Manager에서 제공하는 사전 빌드된 컨트롤입니다. 표준 제어를 사용하여 특정 규정 준수 표준에 대한 감사 준비를 지원할 수 있습니다. 각 표준 제어는 Audit framework Manager의 특정 표준과 관련이 있으며 해당 프레임워크의 규정 준수를 입증하는 데 사용할 수 있는 증거를 수집합니다. 표준 컨트롤은 AWS 관리하는 기본 데이터 소스에서 증거를 수집합니다. 이러한 데이터 소스는 규정 및 표준이 변경되고 새로운 데이터 소스가 식별될 때마다 자동으로 업데이트됩니다. 표준 컨트롤은 편집할 수 없습니다. 하지만 모든 표준 컨트롤의 편집 가능한 사본을 만들 수 있습니다.
사용자 지정 컨트롤	이는 특정 규정 준수 요구 사항을 충족하기 위해 Audit Manager에서 생성하는 제어 기능입니다. 사용자 지정 컨트롤을 처음부터 만들거나 기존 표준 컨트롤의 편집 가능한 사본을 만들 수 있습니다. 사용자 지정 컨트롤을 만들 때 Audit Manager가 증거를 수집하는 위치를 결정하는 특정 evidence source 컨트롤을 정의할 수 있습니다. 사용자 지정 제어를 만든 후 해당 제어를 편집하거나 사용자 지정 프레임워크에 추가할 수 있습니다. 모든 사용자 지정 컨트롤의 편집 가능한 사본을 만들 수도 있습니다.

제어 도메인

제어 도메인은 특정 규정 준수 표준과 관련이 없는 제어 범주로 생각할 수 있습니다. 제어 도메인의 예로는 데이터 보호가 있습니다.

컨트롤은 단순한 조직적 목적을 위해 도메인별로 그룹화되는 경우가 많습니다. 각 도메인에는 여러 목표가 있습니다.

제어 도메인 그룹화는 Audit Manager 대시보드의 가장 강력한 기능 중 하나입니다. Audit Manager는 평가에서 규정을 준수하지 않는 증거가 있는 제어 항목을 강조 표시하고 제어 도메인별로 그룹화합니다. 이를 통해 귀하는 감사를 준비하면서 특정 주제 영역에 대응 노력을 집중할 수 있습니다.

규제 목표

통제 목표는 그 기반이 되는 공통 통제 수단의 목표를 설명합니다. 각 목표에는 여러 개의 공통 통제가 있을 수 있습니다. 이러한 공통 제어가 성공적으로 구현되면 목표를 달성하는 데 도움이 될 것입니다.

각 통제 목표는 통제 영역에 속합니다. 예를 들어 데이터 보호 제어 도메인에는 데이터 분류 및 처리라는 제어 목표가 있을 수 있습니다. 이러한 규제 목표를 지원하기 위해 액세스 제어라는 공통 제어를 사용하여 리소스에 대한 무단 액세스를 모니터링하고 탐지할 수 있습니다.

핵심 제어

control 섹션을 참조하십시오.

커스텀 컨트롤

control 섹션을 참조하십시오.

고객 관리 소스

고객 관리 소스는 사용자가 정의하는 증거 출처입니다.

Audit Manager에서 사용자 지정 컨트롤을 만들 때 이 옵션을 사용하여 고유한 개별 데이터 원본을 만들 수 있습니다. 이를 통해 비즈니스별 리소스 (예: 사용자 지정 AWS Config 규칙) 에서 자동화된 증거를 유연하게 수집할 수 있습니다. 사용자 지정 컨트롤에 수동 증거를 추가하려는 경우에도 이 옵션을 사용할 수 있습니다.

고객 관리형 소스를 사용할 때는 생성한 모든 데이터 원본을 유지 관리할 책임이 있습니다.

참조:AWS managed source,evidence source.

D

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

데이터 소스

Audit Manager는 데이터 소스를 사용하여 통제에 대한 증거를 수집합니다. 데이터 소스에는 다음과 같은 속성이 있습니다.

• 데이터 소스 유형은 Audit Manager가 증거를 수집하는 데이터 소스 유형을 정의합니다.

  • 자동 증거의 경우 유형은, AWS Security HubAWS Config AWS CloudTrail, 또는 AWS API 호출일 수 있습니다.

  • 직접 증거를 업로드하는 경우 유형은 수동입니다.

  • Audit Manager API는 데이터 소스 유형을 소스 유형이라고 합니다.

• 데이터 소스 매핑은 특정 데이터 소스 유형에 대한 증거가 수집되는 위치를 정확히 찾아내는 키워드입니다.

  • 예를 들어 CloudTrail 이벤트 이름이나 AWS Config 규칙 이름일 수 있습니다.

  • Audit Manager API는 데이터 소스 매핑을 소스 키워드라고 합니다.

• 데이터 소스 이름은 데이터 소스 유형과 매핑의 쌍에 레이블을 지정합니다.

  • 표준 제어의 경우 Audit Manager는 기본 이름을 제공합니다.

  • 사용자 지정 컨트롤의 경우 고유한 이름을 제공할 수 있습니다.

  • Audit Manager API는 데이터 소스 이름을 sourceName이라고 합니다.

단일 제어에 여러 데이터 소스 유형과 여러 매핑이 있을 수 있습니다. 예를 들어 하나의 컨트롤이 여러 데이터 원본 유형 (예: Security Hub) 에서 증거를 수집할 수 있습니다. AWS Config 또 다른 컨트롤은 여러 AWS Config 규칙을 매핑으로 사용하는 유일한 데이터 원본 유형을 가질 AWS Config 수 있습니다.

다음 표에는 자동화된 데이터 소스 유형이 나열되어 있으며 일부 해당 매핑의 예가 나와 있습니다.

데이터 소스 유형	설명	매핑 예제
AWS Security Hub	이 데이터 소스 유형을 사용하여 리소스 보안 상태의 스냅샷을 캡처할 수 있습니다. Audit Manager는 Security Hub 제어의 이름을 매핑 키워드로 사용하고 해당 보안 검사의 결과를 Security Hub에서 직접 보고합니다.	EC2.1
AWS Config	이 데이터 소스 유형을 사용하여 리소스 보안 상태의 스냅샷을 캡처할 수 있습니다. Audit Manager는 AWS Config 규칙 이름을 매핑 키워드로 사용하고 해당 규칙 검사 결과를 에서 직접 AWS Config보고합니다.	SNS_ENCRYPTED_KMS
AWS CloudTrail	이 데이터 소스 유형을 사용하면 감사에 필요한 특정 사용자 활동을 추적할 수 있습니다. Audit Manager는 CloudTrail 이벤트 이름을 매핑 키워드로 사용하고 CloudTrail 로그에서 관련 사용자 활동을 수집합니다.	CreateAccessKey
AWS API 호출	이 데이터 소스 유형을 사용하면 특정 항목에 대한 API 호출을 통해 리소스 구성의 스냅샷을 찍을 수 AWS 서비스있습니다. Audit Manager는 API 직접 호출 이름을 매핑 키워드로 사용하고 API 응답을 수집합니다.	kms_ListKeys

위임

대리인은 권한이 제한된 AWS Audit Manager 사용자입니다. 대리인은 일반적으로 전문적인 비즈니스 또는 기술 전문 지식을 갖추고 있습니다. 예를 들어, 이러한 전문 지식은 데이터 보존 정책, 교육 계획, 네트워크 인프라 또는 ID 관리 등에 관한 것일 수 있습니다. 대리인은 감사 담당자가 수집된 증거를 검토하여 자신의 전문 분야에 적용되는 규제 항목을 검토할 수 있도록 지원합니다. 대리인은 제어 세트 및 관련 증거를 검토하고, 의견을 추가하고, 추가 증거를 업로드하고, 검토를 위해 할당한 각 규제 항목의 상태를 업데이트할 수 있습니다.

감사 소유자는 전체 평가가 아닌 특정 제어 세트를 대리인에게 할당합니다. 따라서 대리인은 평가에 대한 제한된 액세스 권한을 가집니다. 제어 세트를 위임하는 방법에 대한 지침은 주재 대표단 AWS Audit Manager 섹션을 참조하세요.

E

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

증거

증거는 제어 요건 준수를 입증하는 데 필요한 정보가 들어 있는 기록입니다. 증거의 예로는 사용자가 호출한 변경 활동, 시스템 구성 스냅샷 등이 있습니다.

Audit Manager에는 자동 증거와 수동 증거의 두 가지 주요 유형이 있습니다.

증거 유형	설명
자동 증거	이는 Audit Manager가 자동으로 수집하는 증거입니다. 여기에는 다음과 같은 세 가지 범주의 자동 증명이 포함됩니다. 규정 준수 검사 — 규정 준수 검사 결과는 AWS Security Hub AWS Config, 또는 둘 다에서 캡처됩니다. 규정 준수 검사의 예로는 PCI DSS 제어에 대한 Security Hub의 보안 검사 결과, HIPAA 제어에 대한 AWS Config 규칙 평가 등이 있습니다. 자세한 내용은 AWS Config 규칙 에서 지원합니다. AWS Audit Manager 및 AWS Security Hub 에서 지원하는 컨트롤 AWS Audit Manager 섹션을 참조하세요. 사용자 활동 — 리소스 구성을 변경하는 사용자 활동은 해당 활동이 발생하는 즉시 CloudTrail 로그에서 캡처됩니다. 사용자 활동의 예로는 라우팅 테이블 업데이트, Amazon RDS 인스턴스 백업 설정 변경, S3 버킷 암호화 정책 변경 등이 있습니다. 자세한 정보는 AWS CloudTrail 에서 지원하는 이벤트 이름 AWS Audit Manager을 참조하세요. 구성 데이터 - 리소스 구성의 스냅샷은 일별, 주별 또는 월별로 AWS 서비스 로부터 직접 캡처됩니다. 구성 스냅샷의 예로는 VPC 라우팅 테이블의 경로 목록, Amazon RDS 인스턴스 백업 설정, S3 버킷 암호화 정책 등이 있습니다. 자세한 정보는 AWS 에서 지원하는 API 호출 AWS Audit Manager을 참조하세요.
수동 증거	이는 귀하가 직접 Audit Manager에 추가한 증거입니다. 다음과 같은 세 가지 방법으로 증거를 추가할 수 있습니다. Amazon S3에서 파일 가져오기 브라우저에서 파일 업로드 위험 평가 질문에 대한 텍스트 응답 입력 자세한 정보는 수동 증거 추가 AWS Audit Manager을 참조하세요.

평가를 생성하면 자동 증거 수집이 시작됩니다. 이는 진행 중인 프로세스이며, Audit Manager는 증거 유형 및 기본 데이터 소스에 따라 다양한 빈도로 증거를 수집합니다. 자세한 정보는 증거 AWS Audit Manager 수집 방법 이해을 참조하세요.

평가에서 증거를 검토하는 방법에 대한 지침은 증거 검토: AWS Audit Manager 섹션을 참조하세요.

증거 출처

증거 출처는 통제 기관이 증거를 수집하는 위치를 정의합니다. 개별 데이터 원본일 수도 있고 공통 통제 또는 핵심 통제에 매핑되는 사전 정의된 데이터 원본 그룹일 수도 있습니다.

사용자 지정 컨트롤을 만들면 AWS 관리되는 원본, 고객 관리 원본 또는 둘 다에서 증거를 수집할 수 있습니다.

작은 정보

AWS 관리형 소스를 사용하는 것이 좋습니다. AWS 관리 원본이 업데이트될 때마다 해당 소스를 사용하는 모든 사용자 지정 컨트롤에 동일한 업데이트가 자동으로 적용됩니다. 즉, 사용자 지정 컨트롤은 항상 해당 증거 소스의 최신 정의를 기준으로 증거를 수집합니다. 이를 통해 클라우드 규정 준수 환경이 변화하더라도 지속적으로 규정을 준수할 수 있습니다.

참조:AWS managed source,customer managed source.

증거 수집 방법

제어가 증거를 수집할 수 있는 두 가지 방법이 있습니다.

증거 수집 방법	설명
자동	자동 제어는 AWS 데이터 소스에서 증거를 자동으로 수집합니다. 이 자동화된 증거는 제어 기능의 전체 또는 부분 준수를 입증하는 데 도움이 될 수 있습니다.
매뉴얼	수동 제어를 위해서는 통제 규정 준수를 입증할 수 있는 증거를 직접 업로드해야 합니다.

참고

모든 자동 제어에 수동 증거를 첨부할 수 있습니다. 대부분의 경우 제어 기능의 완전한 준수를 입증하려면 자동 증거의 조합과 수동 증거의 조합이 필요합니다. Audit Manager는 유용하고 관련성이 높은 자동 증거를 제공할 수 있지만 일부 자동 증거는 부분적인 규정 준수만 입증할 수 있습니다. 이 경우 Audit Manager에서 제공하는 자동 증거를 귀하 자신의 증거로 보완할 수 있습니다.

예:

• 라는 컨트롤이 AWS 제너레이티브 AI 모범 사례 프레임워크 v2 들어 Error analysis 있습니다. 이 제어를 사용하려면 모델 사용에서 부정확성이 감지되는 시점을 식별해야 합니다. 또한 귀하는 철저한 오류 분석을 수행하여 근본 원인을 파악하고 수정 조치를 취해야 합니다.

• 이러한 제어를 지원하기 위해 Audit Manager는 평가가 실행되는 AWS 계정 위치에 대해 CloudWatch 경보가 활성화되어 있는지 보여주는 자동 증거를 수집합니다. 이 증거를 사용하여 경고 및 확인이 올바르게 구성되었음을 증명함으로써 제어 기능의 부분적 준수를 입증할 수 있습니다.

• 완전한 규정 준수를 입증하기 위해 자동 증거를 수동 증거로 보완할 수 있습니다. 예를 들어 오류 분석 프로세스, 에스컬레이션 및 보고 임계값, 근본 원인 분석 결과를 보여주는 정책 또는 절차를 업로드할 수 있습니다. 이 수동 증거를 사용하여 기존의 확립된 정책이 시행되고 있으며 시정 조치가 취해졌음을 입증할 수 있습니다.

자세한 예는 혼합 데이터 소스를 사용한 제어를 참조하세요.

내보내기 대상

내보내기 대상은 증거 찾기에서 귀하가 내보낸 파일을 Audit Manager가 저장하는 기본 S3 버킷입니다. 자세한 정보는 증거 찾기를 위한 기본 내보내기 목적지 설정을 참조하세요.

F

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

프레임워크

Audit Manager 프레임워크는 특정 표준 또는 위험 관리 원칙에 대한 평가를 구조화하고 자동화합니다. 이러한 프레임워크에는 사전 구축되거나 고객이 정의한 제어 항목이 포함되며, 이를 통해 AWS 리소스를 이러한 제어 요건에 맞게 조정할 수 있습니다.

Audit Manager에는 두 가지 유형의 프레임워크가 있습니다.

프레임워크 유형	설명
표준 프레임워크	이는 다양한 규정 준수 표준 및 규정의 AWS 모범 사례를 기반으로 하는 사전 구축된 프레임워크입니다. 표준 프레임워크를 사용하여 PCI DSS 또는 HIPAA와 같은 특정 규정 준수 표준 또는 규정에 대한 감사 준비를 지원할 수 있습니다.
맞춤형 프레임워크	이는 Audit Manager 사용자로 정의하는 사용자 정의된 프레임워크입니다. 사용자 지정 프레임워크를 사용하여 특정 GRC 요구 사항에 따라 감사 준비를 지원할 수 있습니다.

프레임워크 생성 설치 및 관리 방법에 대한 지침은 프레임워크 라이브러리를 사용하여 프레임워크 관리 AWS Audit Manager 섹션을 참조하세요.

참고

AWS Audit Manager 특정 규정 준수 표준 및 규정의 준수 여부를 확인하는 데 필요한 증거를 수집하는 데 도움이 됩니다. 하지만, 규정 준수 자체를 평가하지는 않습니다. AWS Audit Manager 따라서 수집된 증거에는 감사에 필요한 AWS 사용에 대한 모든 정보가 포함되어 있지 않을 수 있습니다. AWS Audit Manager 법률 고문이나 규정 준수 전문가를 대신할 수는 없습니다.

프레임워크 공유

이 에서 사용자 지정 프레임워크 공유 AWS Audit Manager 기능을 사용하면 여러 AWS 계정 지역 간에 사용자 지정 프레임워크를 빠르게 공유할 수 있습니다. 사용자 지정 프레임워크를 공유하려면 공유 요청을 생성합니다. 그러면 수신자는 120일 이내에 요청을 수락하거나 거부해야 합니다. 승인하면 Audit Manager는 공유된 사용자 지정 프레임워크를 해당 프레임워크 라이브러리에 복제합니다. Audit Manager는 사용자 지정 프레임워크를 복제하는 것 외에도 해당 프레임워크에 포함된 모든 사용자 지정 제어 집합 및 제어를 복제합니다. 이러한 사용자 지정 제어는 수신자의 제어 라이브러리에 추가됩니다. Audit Manager는 표준 프레임워크 또는 컨트롤을 복제하지 않습니다. 이러한 리소스는 기본적으로 각 계정 및 지역에서 이미 사용 가능하기 때문입니다.

R

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

리소스

리소스는 감사를 통해 평가되는 물리적 또는 정보 자산입니다. AWS 리소스의 예로는 Amazon EC2 인스턴스, Amazon RDS 인스턴스, Amazon S3 버킷, Amazon VPC 서브넷 등이 있습니다.

리소스 평가

자원 평가는 개별 자원을 평가하는 프로세스입니다. 이 평가는 제어 요구 사항을 기반으로 합니다. 평가가 활성화되어 있는 동안 Audit Manager는 평가 범위 내의 각 개별 자원에 대해 자원 평가를 실행합니다. 리소스 평가는 다음과 같은 과업 세트를 실행합니다.

1. 리소스 구성, 이벤트 로그, 조사 결과를 포함한 증거를 수집합니다.

2. 증거를 변환하여 제어 시스템에 매핑합니다.

3. 증거의 계보를 저장 및 추적하여 무결성을 확보합니다.

리소스 규정 준수

리소스 규정 준수란 규정 준수 확인 증거를 수집할 때 평가된 리소스의 평가 상태를 말합니다.

Audit Manager는 Security Hub를 데이터 소스 유형으로 사용하는 AWS Config 제어 기능에 대한 규정 준수 검사 증거를 수집합니다. 이 증거 수집 과정에서 여러 리소스가 평가될 수 있습니다. 따라서 단일 규정 준수 검사 증거에는 하나 이상의 리소스가 포함될 수 있습니다.

증거 찾기의 리소스 규정 준수 필터를 사용하여 리소스 수준에서 규정 준수 상태를 탐색할 수 있습니다. 검색이 완료되면 검색 쿼리와 일치하는 리소스를 미리 볼 수 있습니다.

증거 찾기에서 리소스 규정 준수에 사용할 수 있는 값은 세 가지입니다.

값	설명
규정 미준수	규정 준수 확인 문제가 있는 리소스를 가리킵니다. 이는 Security Hub가 리소스에 대한 실패 결과를 보고하거나 비준수 결과를 AWS Config 보고하는 경우에 발생합니다.
규정 준수	규정 준수 확인 문제가 없는 리소스를 말합니다. 이는 Security Hub가 리소스에 대한 합격 결과를 보고하거나 규정 준수 결과를 AWS Config 보고하는 경우에 발생합니다.
결정적이지 않음	이는 규정 준수 검사를 사용할 수 없거나 적용할 수 없는 리소스를 말합니다. 이는 AWS Config 또는 Security Hub가 기본 데이터 원본 유형이지만 해당 서비스가 활성화되지 않은 경우 발생합니다. 이는 기본 데이터 원본 유형이 규정 준수 검사 (예: 수동 증거, AWS API 호출 등 CloudTrail) 를 지원하지 않는 경우에도 발생합니다.

S

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

서비스 범위 내 서비스

Audit AWS 서비스 Manager는 평가 범위에 포함되는 항목을 관리합니다. 이전 평가가 있는 경우 과거에 서비스 범위를 수동으로 지정했을 수 있습니다. 2024년 6월 4일 이후에는 범위 내에서 서비스를 수동으로 지정하거나 편집할 수 없습니다.

범위 내 서비스는 평가에서 증거를 수집하는 서비스입니다. AWS 서비스 서비스가 평가 범위에 포함되면 Audit Manager는 해당 서비스의 리소스를 평가합니다. 리소스의 예로서는 다음과 같은 항목들이 있습니다.

• Amazon EC2 인스턴스

• S3 버킷

• IAM 사용자 또는 역할

• DynamoDB 테이블

• Amazon Virtual Private Cloud(VPC), 보안 그룹 또는 네트워크 액세스 제어 목록(ACL) 테이블과 같은 네트워크 구성 요소

예를 들어 Amazon S3가 범위 내 서비스인 경우 Audit Manager는 S3 버킷에 대한 증거를 수집할 수 있습니다. 수집되는 정확한 증거는 컨트롤에 data source 의해 결정됩니다. 예를 들어 데이터 원본 유형이 이고 AWS Config데이터 원본 매핑이 AWS Config 규칙 (예:s3-bucket-public-write-prohibited) 인 경우 Audit Manager는 해당 규칙 평가 결과를 증거로 수집합니다.

참고

서비스 범위는 데이터 원본 유형과는 다르며, 데이터 원본 유형도 다를 수 있다는 점에 유의하세요. AWS 서비스 자세한 내용은 이 서비스 범위와 데이터 소스 유형의 차이는 무엇인가요? 가이드의 문제 해결 섹션을 참조하십시오.

표준 제어

control 섹션을 참조하십시오.