기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
보안 구현, 통합 및 검증
보안, 위험 및 규정 준수 요구 사항을 매핑한 후 다음 도메인은 보안 구현, 통합 및 검증입니다. 식별된 요구 사항에 따라 적절한 보안 제어 및 조치를 선택하여 위험을 효과적으로 완화합니다. 여기에는 암호화, 액세스 제어, 침입 탐지 시스템 또는 방화벽이 포함될 수 있습니다. 침입 탐지 및 방지 시스템, 엔드포인트 보호 및 자격 증명 관리와 같은 보안 솔루션을 기존 IT 인프라에 통합하여 포괄적인 보안 범위를 제공합니다. 취약성 검사, 침투 테스트 및 코드 검토를 포함한 정기적인 보안 평가를 수행하여 보안 제어의 효과를 검증하고 약점 또는 격차를 식별합니다. 보안 구현, 통합 및 검증에 중점을 두면 조직은 보안 태세를 강화하고, 보안 위반 가능성을 줄이고, 규제 요구 사항 및 업계 표준 준수를 입증할 수 있습니다.
구현
먼저 현재 보안, 위험 및 규정 준수 임계값 또는 선호도에 대한 설명서를 업데이트합니다. 이를 통해 클라우드에서 계획된 보안 및 규정 준수 요구 사항, 제어, 정책 및 도구를 구현할 수 있습니다. 이 단계는 검색 워크숍 중에 식별되었을 기존 위험 등록 및 선호도가 정의된 경우에만 필요합니다.
다음으로 클라우드에서 계획된 보안 및 규정 준수 요구 사항, 제어, 정책 및 도구를 구현합니다. 인프라, AWS 서비스운영 체제, 애플리케이션 또는 데이터베이스 순서로 구현하는 것이 좋습니다. 다음 표의 정보를 사용하여 필요한 모든 보안 및 규정 준수 영역을 해결했는지 확인합니다.
영역 |
보안 및 규정 준수 요구 사항 |
인프라 |
|
AWS 서비스 |
|
운영 체제 |
|
애플리케이션 또는 데이터베이스 |
|
통합
보안 구현에는 종종 다음과의 통합이 필요합니다.
-
네트워킹 - 내부 및 외부의 네트워킹 AWS 클라우드
-
하이브리드 IT 환경 - 온프레미스 AWS 클라우드, 퍼블릭 클라우드, 프라이빗 클라우드, 코로케이션 등 이외의 IT 환경
-
외부 소프트웨어 또는 서비스 - 독립 소프트웨어 공급업체(ISVs)에서 관리하며 환경에서 호스팅되지 않는 소프트웨어 및 서비스입니다.
-
클라우드 운영 모델 서비스 - DevSecOps 기능을 제공하는 AWS 클라우드 운영 모델 서비스입니다.
마이그레이션 프로젝트의 평가 단계에서 검색 도구, 기존 설명서 또는 애플리케이션 인터뷰 워크숍을 사용하여 이러한 보안 통합 지점을 식별하고 확인합니다. 에서 워크로드를 설계하고 구현할 때 매핑 워크숍 중에 정의한 보안 및 규정 준수 정책 및 프로세스에 따라 이러한 통합을 AWS 클라우드설정합니다.
검증
구현 및 통합 후 다음 활동은 구현을 검증하는 것입니다. 설정이 보안 및 규정 준수 AWS 모범 사례에 부합하는지 확인합니다. 다음 두 가지 적용 영역에서 보안을 검증하는 것이 좋습니다.
-
워크로드별 취약성 평가 및 침투 테스트 - 에서 실행되는 워크로드의 운영 체제, 애플리케이션, 데이터베이스 또는 네트워크 보안을 검증합니다 AWS 서비스. 이러한 검증을 수행하려면 기존 도구와 테스트 스크립트를 사용합니다. 이러한 평가를 수행할 때는 AWS 침투 테스트 고객 지원 정책을
준수하는 것이 중요합니다. -
AWS 보안 모범 사례 검증 - AWS 구현이 AWS Well Architected Framework 및 인터넷 보안 센터(CIS)와 같은 기타 선택된 벤치마크를 준수하는지 확인합니다. 이 검증을 위해 , AWS Trusted Advisor Prowler
(GitHub), AWS Service Screener (GitHub) 또는 AWS 셀프 서비스 보안 평가 (GitHub)와 같은 도구와 서비스를 사용할 수 있습니다.
모든 보안 및 규정 준수 조사 결과를 문서화하고 보안 팀 및 리더에게 전달하는 것이 중요합니다. 보고 템플릿을 표준화하고 사용하여 각 보안 이해관계자와의 커뮤니케이션을 촉진합니다. 조사 결과 수정 중에 발생한 모든 예외를 문서화하고 각 보안 이해관계자가 승인하는지 확인합니다.
