보안 검색 및 조정 - AWS 권장 가이드
몰입의 날 워크숍검색 워크숍

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 검색 및 조정

마이그레이션 프로젝트를 동원할 때 보안 및 규정 준수 워크스트림의 첫 번째 도메인은 보안 검색 및 조정입니다. 이 도메인은 조직이 다음 목표를 달성할 수 있도록 돕기 위한 것입니다.

  • 보안 서비스, 기능 및 규정 준수 준수에 대한 AWS 보안 및 규정 준수 워크스트림 교육

  • 보안 및 규정 준수 요구 사항과 현재 사례를 알아봅니다. 인프라 및 운영 관점에서 다음과 같은 요구 사항을 고려합니다.

    • 대상 종료 상태에 대한 보안 문제 및 동인

    • 클라우드 보안 팀 기술

    • 보안 위험 및 규정 준수 정책, 구성, 제어 및 가드레일

    • 보안 위험 선호도 및 기준

    • 기존 및 잠재적 보안 도구

몰입의 날 워크숍

이러한 목표에 맞추려면 보안 및 규정 준수 몰입의 날을 사용합니다. 몰입의 날은 다음과 같은 다양한 보안 관련 주제를 다루는 워크숍입니다.

몰입의 날 워크숍은 보안 팀을 위한 지식 기준을 설정하는 데 도움이 됩니다. 보안 서비스, AWS 보안 및 규정 준수 모범 사례에 대해 교육합니다. AWS 솔루션 아키텍트, AWS 전문 서비스 및 AWS 파트너는 이러한 대화형 워크숍을 수행하는 데 도움이 될 수 있습니다. 표준 프레젠테이션 데크, AWS 랩 및 화이트보드 활동을 사용하여 팀을 준비하는 데 도움이 됩니다.

검색 워크숍

몰입의 날 워크숍이 끝나면 여러 심층 보안 및 규정 준수 검색 워크숍을 수행합니다. 이를 통해 팀은 인프라, 애플리케이션 및 운영의 현재 보안, 위험 및 규정 준수(SRC) 요구 사항을 발견할 수 있습니다. 사람, 프로세스, 기술 등의 관점을 통해 이러한 요구 사항을 분석합니다. 다음은 각 관점에 대한 검색 영역입니다.

인력 관점

  • 조직 구조 - 현재 보안 및 규정 준수 워크스트림 구조와 책임을 이해합니다.

  • 기능 및 기술 - 클라우드 보안 및 규정 준수 기능에 AWS 서비스 대한 실질적인 지식과 기술 보유. 여기에는 검색, 계획, 구현 및 운영이 포함됩니다.

  • 책임, 책임, 상담, 정보 제공(RACI) 매트릭스 - 조직 내 현재 보안 및 규정 준수 활동에 대한 역할과 책임을 정의합니다.

  • 문화 - 현재 보안 및 규정 준수 문화를 이해합니다. 빌드, 설계, 구현 및 운영 단계의 일환으로 보안 및 규정 준수를 우선시합니다. 클라우드 보안 및 규정 준수 문화에 개발 보안 운영(DevSecOps)을 도입합니다.

프로세스 관점

  • 관행 - 현재 보안 및 규정 준수 프로세스를 정의하고 문서화하여 구축, 설계, 구현 및 운영합니다. 프로세스에는 다음이 포함됩니다.

    • 자격 증명 액세스 및 관리

    • 인시던트 탐지 제어 및 대응

    • 인프라 및 네트워크 보안

    • 데이터 보호

    • 규정 준수

    • 비즈니스 연속성 및 복구

  • 구현 설명서 - 보안 및 규정 준수 정책, 제어 구성, 도구 설명서 및 아키텍처 설명서를 문서화합니다. 이러한 문서는 인프라, 네트워크, 애플리케이션, 데이터베이스 및 배포 영역의 보안 및 규정 준수를 다루는 데 필요합니다.

  • 위험 설명서 - 위험 선호도 및 임계값을 설명하는 정보 보안 위험 설명서를 생성합니다.

  • 검증 - 내부 및 외부 보안 검증 및 감사 요구 사항을 생성합니다.

  • 런북 - 보안 및 규정 준수를 위한 현재 표준 구현 및 거버넌스 프로세스를 다루는 운영 런북을 개발합니다.

기술 관점

  • 서비스 및 도구 - 도구를 사용하여 보안 및 규정 준수 태세를 검증하고 현재 IT 환경을 적용하고 관리합니다. 다음 범주에 대한 도구를 설정합니다.

    • 자격 증명 액세스 및 관리

    • 인시던트 탐지 제어 및 대응

    • 인프라 및 네트워크 보안

    • 데이터 보호

    • 규정 준수

    • 비즈니스 연속성 및 복구

AWS 보안 검색 워크숍에서는 표준화된 데이터 수집 템플릿과 설문지를 사용하여 데이터를 수집합니다. 데이터 명확성 부족 또는 더 이상 사용되지 않는 데이터로 인해 정보를 제공할 수 없는 시나리오에서는 마이그레이션 검색 도구를 사용하여 애플리케이션 및 인프라 수준 보안 정보를 수집할 수 있습니다. 사용할 수 있는 검색 도구 목록은 AWS 권장 가이드의 검색, 계획 및 권장 마이그레이션 도구를 참조하세요. 이 목록은 각 도구의 검색 기능 및 사용에 대한 세부 정보를 제공합니다. 또한 IT 환경 요구 사항 및 제약 조건을 충족하는 최상의 도구를 선택하는 데 도움이 되는 도구를 비교합니다.

초기 보안 평가 중에 위협 모델링을 시작하는 것이 좋습니다. 이를 통해 가능한 위협과 기존 조치를 식별할 수 있습니다. 보안, 규정 준수 및 위험에 대한 사전 정의되고 문서화된 요구 사항이 있을 수도 있습니다. 자세한 내용은 빌더를 위한 위협 모델링 워크숍(AWS 훈련) 및 위협 모델링에 접근하는 방법(AWS 블로그 게시물)을 참조하세요. 이 접근 방식은의 배포, 구현 및 거버넌스에 대한 보안 및 규정 준수 전략을 재고하는 데 도움이 됩니다 AWS 클라우드.