공동 책임 - 보안 요소

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

공동 책임

보안 및 규정 준수는 AWS 와 고객 간의 공동 책임입니다. 이 공유 모델은 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안까지 구성 요소를 AWS 운영, 관리 및 제어할 때 고객의 운영 부담을 줄이는 데 도움이 될 수 있습니다. 고객의 책임 및 관리 범위에는 AWS 가 제공하는 보안 그룹 방화벽의 구성과 게스트 운영 체제(업데이트 및 보안 패치 포함) 및 기타 관련 애플리케이션 소프트웨어가 포함됩니다. 사용하는 서비스, 서비스를 IT 환경에 통합하는 과정 및 준거법과 규제에 따라 책임 범위가 다르기 때문에 고객은 선택하고자 하는 서비스에 대해 신중해야 합니다. 또한 이러한 공동 책임은 본질적으로 유연성을 제공하며 배포를 허용하는 제어 권한을 고객에게 부여합니다. 다음 차트에서 볼 수 있듯이 이 책임의 차이를 일반적으로 클라우드 ‘자체’의 보안과 클라우드 ‘내부’의 보안이라고 합니다.

AWS 책임 “클라우드 보안” - 클라우드에서 제공되는 모든 서비스를 실행하는 인프라를 보호할 AWS 책임이 있습니다 AWS . 이 인프라는 AWS 클라우드 서비스를 실행하는 하드웨어, 소프트웨어, 네트워킹 및 시설로 구성됩니다.

고객 책임 “클라우드의 보안” - 고객 책임은 고객이 선택하는 AWS 클라우드 서비스에 의해 결정됩니다. 서비스에 따라 고객이 보안 책임의 일환으로서 수행해야 하는 구성 작업의 양이 달라집니다. 예를 들어 Amazon Elastic Compute Cloud(Amazon EC2)와 같은 서비스는 IaaS(Infrastructure as a Service)로 분류되므로 고객은 필요한 모든 보안 구성 및 관리 작업을 수행해야 합니다. Amazon EC2 인스턴스를 배포하는 고객은 게스트 운영 체제(업데이트 및 보안 패치 포함), 인스턴스에 고객이 설치한 모든 애플리케이션 소프트웨어 또는 유틸리티, 각 인스턴스에 AWS제공된 방화벽(보안 그룹이라고 함)의 구성을 관리할 책임이 있습니다. Amazon S3 및 Amazon DynamoDB와 같은 추상화된 서비스의 경우 인프라 계층, 운영 체제 및 플랫폼을 AWS 운영하며 고객은 엔드포인트에 액세스하여 데이터를 저장하고 검색합니다. 고객은 데이터(암호화 옵션 포함)를 관리하고, 자산을 분류하고, IAM 도구를 사용하여 적절한 권한을 적용할 책임이 있습니다.

Shared responsibility model diagram showing customer and AWS security roles in cloud services.

그림 1: AWS 공동 책임 모델.

이 고객/AWS 공동 책임 모델도 IT 제어로 확장됩니다. AWS 와 고객 간에 IT 환경을 운영할 책임이 공유되는 것과 마찬가지로 IT 제어의 관리, 운영 및 확인도 공유됩니다. AWS 는 이전에 고객이 관리했을 수 있는 AWS 환경에 배포된 물리적 인프라와 관련된 제어를 관리하여 운영 제어의 고객 부담을 완화하는 데 도움이 될 수 있습니다. 모든 고객이 에 다르게 배포되므로 AWS고객은 특정 IT 제어 관리를 로 전환하여 (새) 분산 제어 환경을 만들 수 AWS있습니다. 그런 다음 고객은 사용 가능한 AWS 제어 및 규정 준수 설명서를 사용하여 필요에 따라 제어 평가 및 확인 절차를 수행할 수 있습니다. 다음은 AWS, AWS 고객 또는 둘 다 관리하는 제어의 예입니다.

상속된 컨트롤 - 고객이 에서 완전히 상속하는 컨트롤입니다 AWS.

  • 물리적 및 환경 제어

공유 제어 - 별개의 컨텍스트 또는 관점에서 인프라 계층 및 고객 계층 모두에 적용되는 제어입니다. 공유 제어에서 는 인프라에 대한 요구 사항을 AWS 제공하며 고객은 AWS 서비스 사용 내에서 자체 제어 구현을 제공해야 합니다. 그러한 예는 다음과 같습니다.

  • 패치 관리 - 인프라 내에서 결함을 패치하고 수정할 AWS 책임이 있지만 고객은 게스트 운영 체제 및 애플리케이션을 패치할 책임이 있습니다.

  • 구성 관리 - 인프라 디바이스의 구성을 AWS 유지하지만 고객은 자체 게스트 운영 체제, 데이터베이스 및 애플리케이션을 구성할 책임이 있습니다.

  • 인식 및 교육 - AWS 직원을 AWS 교육하지만 고객은 자신의 직원을 교육해야 합니다.

고객별 - AWS 서비스 내에서 배포하는 애플리케이션에 따라 고객이 전적으로 책임을 져야 하는 제어입니다. 그러한 예는 다음과 같습니다.

  • 고객이 특정 보안 환경 내에서 데이터를 라우팅하거나 배치해야 하는 서비스 및 통신 보호 또는 영역 보안입니다.