SEC01-BP03 제어 목표 파악 및 검증 - AWS Well-Architected Framework
구현 가이드 리소스

SEC01-BP03 제어 목표 파악 및 검증

위협 모델에서 식별된 규정 준수 요구 사항 및 위험을 기준으로, 워크로드에 적용해야 하는 제어 목표와 제어 항목을 도출하고 검증합니다. 제어 목표 및 제어에 대한 지속적인 검증은 위험 완화의 효과를 측정하는 데 도움이 됩니다.

원하는 결과: 비즈니스의 보안 제어 목표가 잘 정의되고 규정 준수 요구 사항에 맞게 조정됩니다. 제어는 자동화와 정책을 통해 구현 및 시행되며 목표 달성의 효율성 측면이 지속적으로 평가됩니다. 특정 시점과 일정 기간 동안의 효과 증명을 감사자에게 쉽게 보고할 수 있습니다.

일반적인 안티 패턴:

  • 비즈니스와 관련하여 확실한 보안에 대한 규제 요구 사항, 시장 기대치 및 업계 표준을 제대로 이해하고 있지 않습니다.

  • 사이버 보안 프레임워크와 제어 목표가 비즈니스 요구 사항에 맞지 않습니다.

  • 제어 구현이 측정 가능한 방식으로 제어 목표와 밀접하게 일치하지 않습니다.

  • 자동화를 통해 제어의 효과를 보고하지 않습니다.

이 모범 사례를 따르지 않을 경우 노출 위험도: 높음

구현 가이드

보안 제어 목표의 기초를 형성할 수 있는 일반적인 사이버 보안 프레임워크가 많이 있습니다. 비즈니스에 대한 규제 요구 사항, 시장 기대치, 업계 표준을 고려하여 요구 사항을 가장 잘 지원하는 프레임워크를 결정하세요. 예로는 AICPA SOC 2, HITRUST, PCI-DSS, ISO 27001, NIST SP 800-53이 있습니다.

제어 목표를 파악한 경우, 사용하는 AWS 서비스가 해당 목표를 달성하는 데 어떤 도움이 되는지 이해해야 합니다. AWS Artifact를 사용하여 AWS에서 부담하는 책임 범위를 설명하는 문서와 보고서를 대상 프레임워크에 따라 찾고, 사용자의 책임 범위에 대한 지침을 찾아보세요. 다양한 프레임워크 제어 설명에 부합하는 서비스별 추가 지침은 AWS 고객 규정 준수 가이드를 참조하세요.

목표 달성을 위한 제어를 정의할 때 예방적 제어를 바탕으로 실행을 체계화하고 감지 제어를 사용하여 완화를 자동화하세요. 서비스 제어 정책(SCP)을 사용하여 AWS Organizations 전반에서 리소스 구성 및 작업이 규정을 준수하지 못하는 일이 없도록 방지할 수 있습니다. 규칙을 AWS Config에 구현하여 규정 미준수 리소스를 모니터링하고 보고한 다음, 해당 동작이 확실해지면 규칙을 실행 모델로 전환하세요. 사이버 보안 프레임워크에 맞게 사전 정의되고 관리되는 규칙 세트를 배포하려면 첫 번째 옵션으로 AWS Security Hub 표준의 사용을 평가하세요. AWS Foundational Security Best Practices(AWS FSBP) 표준과 CIS AWS Foundations Benchmark는 여러 표준 프레임워크에서 공유되는 많은 목표에 부합하는 제어 기능을 갖추고 있어 좋은 출발점이 될 수 있습니다. Security Hub에 본질적으로 원하는 제어 감지 기능이 없는 경우 AWS Config 규정 준수 팩을 사용하여 보완할 수 있습니다.

AWS 글로벌 보안 및 규정 준수 가속화(GSCA) 팀이 권장하는 APN 파트너 번들을 사용하여 보안 고문, 컨설팅 기관, 증거 수집 및 보고 시스템, 감사자 및 필요한 경우 기타 보완 서비스의 도움을 받을 수 있습니다.

구현 단계

  1. 일반적인 사이버 보안 프레임워크를 평가하고 선택한 목표에 맞게 제어 목표를 조정합니다.

  2. AWS Artifact를 사용하는 프레임워크에 대한 지침 및 책임 관련 문서를 얻습니다. 공동 책임 모델에서 AWS가 부담하는 규정 준수 부분과 사용자의 책임인 부분을 이해합니다.

  3. SCP, 리소스 정책, 역할 신뢰 정책 및 기타 가드레일을 사용하여 리소스 구성 및 작업이 규정을 준수하지 못하는 일이 없도록 합니다.

  4. 제어 목표에 맞는 Security Hub 표준 및 AWS Config 규정 준수 팩 배포를 평가합니다.

리소스

관련 모범 사례:

관련 문서:

관련 도구: