SEC11-BP01 애플리케이션 보안 교육 - AWS Well-Architected Framework
구현 가이드 리소스

SEC11-BP01 애플리케이션 보안 교육

애플리케이션의 안전한 개발 및 운영을 위해 조직 내 빌더에게 일반적인 사례를 교육합니다. 보안 중점 개발 관행을 도입하면 보안 검토 단계에서만 탐지되는 문제의 발생 가능성을 줄이는 데 도움이 됩니다.

원하는 결과: 소프트웨어는 보안을 염두에 두어 설계되고 구축되어야 합니다. 조직의 빌더가 위협 모델로 시작하는 보안 개발 관행에 대해 교육을 받으면 제작되는 소프트웨어의 전반적인 품질과 보안이 향상됩니다. 이 접근 방식은 보안 검토 단계 이후에 재작업의 필요성을 덜어주어 소프트웨어나 기능 납품 시간을 줄일 수 있습니다.

이 모범 사례에서 보안 개발은 작성 중인 소프트웨어와 소프트웨어 개발 수명 주기(SDLC)를 지원하는 도구 또는 시스템을 의미합니다.

일반적인 안티 패턴:

  • 보안 검토가 끝날 때까지 기다린 다음 시스템의 보안 속성을 고려합니다.

  • 보안 팀에 모든 보안 결정을 맡깁니다.

  • SDLC에서 내린 결정이 조직의 전반적인 보안 기대치 또는 정책과 어떤 관련이 있는지를 전달하지 못합니다.

  • 보안 검토 프로세스에 너무 늦게 참여합니다.

이 모범 사례 확립의 이점:

  • 개발 주기 초기에 조직의 보안 요구 사항을 보다 효과적으로 이해합니다.

  • 잠재적인 보안 문제를 보다 신속하게 식별하고 해결하여 기능을 발 빠르게 제공할 수 있습니다.

  • 소프트웨어 및 시스템의 품질이 향상됩니다.

이 모범 사례를 따르지 않을 경우 노출 위험도: 중간

구현 가이드

조직의 빌더를 교육합니다. 위협 모델링 과정부터 시작하면 보안 교육의 굳건한 토대를 마련할 수 있습니다. 이상적으로는 빌더가 워크로드와 관련된 정보에 자체적으로 액세스할 수 있어야 합니다. 이러한 액세스를 통해 구축하는 시스템의 보안 속성에 대해 다른 팀에 문의할 필요 없이 정보에 기반한 의사 결정을 내릴 수 있습니다. 검토에 보안 팀을 참여시키는 프로세스가 명확하게 정의되어야 하며, 이를 간단하게 따를 수 있어야 합니다. 검토 프로세스의 단계는 보안 교육에 포함되어야 합니다. 알려진 구현 패턴 또는 템플릿을 사용할 수 있는 경우 찾기가 쉬워야 하며 전반적인 보안 요구 사항과 연결되어야 합니다. 직접 맞춤 구성할 필요성을 줄이려면 AWS CloudFormation, AWS Cloud Development Kit (AWS CDK) Constructs, Service Catalog 또는 기타 템플릿 도구 사용을 고려해 보세요.

구현 단계

  • 빌더를 대상으로 위협 모델링 과정을 교육하면 좋은 토대를 마련하고 보안을 대하는 방식을 교육할 수 있습니다.

  • AWS 교육 and Certification, 산업 또는 AWS 파트너 교육에 대한 액세스 권한을 제공합니다.

  • 보안 팀, 워크로드 팀 및 기타 이해 관계자 간의 책임 분담을 명확히 하는 조직의 보안 검토 프로세스를 교육합니다.

  • 가능한 경우 코드 예시 및 템플릿을 포함하여 보안 요구 사항을 충족하는 방법을 다루는 자습형 지침을 게시합니다.

  • 보안 검토 프로세스 및 교육을 받은 빌더 팀의 경험에 대해 정기적으로 피드백을 얻고, 피드백을 바탕으로 개선합니다.

  • 게임 데이 또는 버그 배쉬 캠페인을 사용하여 문제 수를 줄이고 빌더의 기술을 강화합니다.

리소스

관련 모범 사례:

관련 문서:

관련 동영상:

관련 예시:

관련 서비스: