AWS 위험 및 규정 준수 프로그램
AWS는 조직 전체에서 위험 및 규정 준수 프로그램을 통합했습니다. 이 프로그램은 서비스 설계 및 배포의 모든 단계에서 위험을 관리하고 조직의 위험 관련 활동을 지속적으로 개선 및 재평가하는 것을 목표로 합니다. AWS 통합 위험 및 규정 준수 프로그램의 구성 요소는 다음 섹션에서 자세히 설명합니다.
AWS 비즈니스 위험 관리
AWS는 AWS 사업부와 협력하여 AWS 이사회 및 AWS 고위 경영진에게 AWS 전반의 주요 위험에 대한 종합적 관점을 제공하는 비즈니스 위험 관리(BRM) 프로그램을 운영하고 있습니다. BRM 프로그램은 AWS 기능에 대한 독립적인 위험 감독입니다. 특히 BRM 프로그램은 다음 기능을 수행합니다.
-
주요 AWS 기능 영역에 대한 위험 평가 및 위험 모니터링을 수행
-
위험 식별 및 해결 추진
-
알려진 위험의 목록을 유지 관리
위험을 해결하기 위해 BRM 프로그램은 노력의 결과를 보고하고 필요한 경우 비즈니스 전반의 이사 및 부사장에게 에스컬레이션하여 비즈니스 의사 결정을 위한 정보를 제공합니다.
운영 및 비즈니스 관리
AWS는 주별, 월별, 분기별 회의 및 보고서를 조합하여 위험 관리 프로세스의 모든 구성 요소에 걸쳐 위험이 전달될 수 있도록 합니다. 또한 AWS는 에스컬레이션 프로세스를 구현하여 조직 전체에서 우선순위가 높은 위험에 대한 관리 가시성을 제공합니다. 이러한 노력을 종합하면 AWS 비즈니스 모델의 복잡성과 일관되게 위험을 관리할 수 있습니다.
또한 계단식 책임 구조를 통해 부사장(비즈니스 소유자)이 비즈니스 감독을 담당합니다. 이를 위해 AWS는 매주 회의를 개최하여 운영 지표를 검토하고 주요 추세 및 위험을 비즈니스에 영향을 미치기 전에 식별합니다.
경영진 및 선임 책임자는 AWS의 분위기 및 핵심 가치를 형성하는 데 있어서 중요한 역할을 합니다. 모든 직원은 회사의 기업 행동 및 윤리 강령을 제공받고 정기적으로 교육을 수료합니다. 준수성 감사는 직원들이 확립된 정책을 이해하고 따르도록 하기 위해 수행됩니다.
AWS 조직 구조는 비즈니스 운영을 계획, 실행 및 규제할 수 있는 프레임워크를 제공합니다. 조직 구조에는 적절한 인력 구성, 운영 효율성 및 업무 분담을 위해 역할과 책임이 포함됩니다. 또한 경영진에서는 주요 관계자를 위해 적절한 보고 라인을 구축했습니다. 기업의 고용 확인 프로세스에는 직원을 위한 법률 및 규정에서 허용하는 범위 내에서 직원의 직위와 AWS 시설에 대한 접근 권한에 상응하는 교육, 이전 채용 기록, 경우에 따라 배경 조회가 포함됩니다. 기업은 체계적인 온보딩 프로세스에 따라 직원이 Amazon 도구, 프로세스, 시스템, 정책 및 절차를 익힐 수 있도록 돕습니다.
제어 환경 및 자동화
AWS는 조직 전체의 위험을 관리하기 위한 기본 요소로 보안 제어를 구현합니다. AWS 제어 환경은 AWS 전반에 걸쳐 최소한의 보안 요구 사항을 구현하기 위한 기반을 제공하는 표준, 프로세스 및 구조로 구성됩니다.
AWS 제어 환경의 일부로 포함된 프로세스 및 표준은 자체적으로 적용되지만 AWS는 Amazon의 전체 제어 환경의 일부 측면도 활용합니다. 다음과 같은 도구가 활용됩니다.
-
모든 Amazon 비즈니스에서 사용되는 도구(예: 업무 분리를 관리하는 도구)
-
법률, 인사 관리, 재무와 같은 특정 Amazon 전체 비즈니스 기능
AWS가 Amazon의 전체 제어 환경을 활용하는 경우 이러한 메커니즘을 관리하는 표준 및 프로세스는 AWS 비즈니스에 맞게 조정됩니다. 따라서 AWS 제어 환경 내에서의 사용 및 적용에 대한 기대치는 전체 Amazon 환경에서의 사용 및 적용에 대한 기대치와 다를 수 있습니다. AWS 제어 환경은 궁극적으로 AWS 서비스 제품을 안전하게 제공하기 위한 토대의 역할을 합니다.
제어 자동화는 AWS가 AWS 제어 환경을 구성하는 일부 반복 프로세스에서 인적 개입을 줄이기 위한 방법입니다. 이는 효과적인 정보 보안 제어 구현 및 관련 위험 관리의 핵심입니다. 제어 자동화는 반복 프로세스를 수행하는 작업자의 결함 특성으로 인해 발생할 수 있는 프로세스 실행의 불일치 가능성을 사전에 최소화하려고 합니다. 제어 자동화를 통해 잠재적인 프로세스 편차가 제거됩니다. 이렇게 하면 제어가 설계된 대로 적용될 것이라는 보장이 높아집니다.
AWS의 보안 부서 전반에서 엔지니어링 팀은 가능한 한 높은 수준의 제어 자동화를 지원하도록 AWS 제어 환경을 엔지니어링할 책임이 있습니다. AWS에서 자동 제어의 예는 다음과 같습니다.
-
거버넌스 및 감독: 정책 버전 관리 및 승인
-
인사 관리: 자동화된 교육 제공, 신속한 직원 퇴사 처리
-
개발 및 구성 관리: 코드 배포 파이프라인, 코드 검사, 코드 백업, 통합 배포 테스트
-
자격 증명 및 액세스 관리: 자동화된 업무 분리, 액세스 검토, 권한 관리
-
모니터링 및 로깅: 자동화된 로그 수집 및 상관 관계 분석, 경보
-
물리적 보안: AWS 데이터 센터와 관련된 자동화된 프로세스(하드웨어 관리, 데이터 센터 보안 교육, 접근 경보, 물리적 접근 관리 등)
-
검사 및 패치 관리: 자동화된 취약성 검사, 패치 관리 및 배포
제어 평가 및 지속적 모니터링
AWS는 AWS 환경 내에서 위험을 더욱 줄이기 위해 서비스 배포 전후에 다양한 활동을 구현합니다. 이러한 활동은 각 AWS 서비스의 설계 및 개발 과정에서 보안 및 규정 준수 요구 사항을 통합한 다음 서비스가 프로덕션으로 이동(출시)된 후 안전하게 작동하는지 확인합니다.
위험 관리 및 규정 준수 활동에는 두 가지 출시 전 활동과 두 가지 출시 후 활동이 포함됩니다. 출시 전 활동은 다음과 같습니다.
-
AWS 애플리케이션 보안 위험 관리 검토를 통해 보안 위험이 식별되고 완화되었는지 검증
-
아키텍처 준비 상태 검토를 통해 고객이 규정 준수 체제를 준수할 수 있도록 지원
배포 시점에서 서비스는 AWS의 높은 보안 기준을 충족하기 위해 세부 보안 요구 사항에 대한 엄격한 평가를 거친 상태입니다. 출시 후 활동은 다음과 같습니다.
-
AWS 애플리케이션 보안의 지속적인 검토를 통해 서비스 보안 태세를 유지할 수 있도록 지원
-
지속적인 취약성 관리 검사
이러한 제어 평가 및 지속적 모니터링을 통해 규제 대상 고객은 AWS 서비스에서 규정 준수 솔루션을 자신 있게 구축할 수 있습니다. 다양한 규정 준수 프로그램 범위에 속하는 서비스의 목록은 AWS 범위 내 서비스
AWS 자격증, 프로그램, 보고서 및 외부 기관 증명
AWS는 제어 활동이 의도한 대로 운영되고 있음을 증명하기 위해 정기적으로 외부 독립 기관에 의한 감사를 거칩니다. 구체적으로 말하면, AWS는 지역 및 산업에 의존하는 다양한 글로벌 및 지역 보안 프레임워크에 대해 감사를 받습니다. AWS는 50개 이상의 다양한 감사 프로그램에 참여하고 있습니다.
이러한 감사 결과는 평가 기관에서 문서화하며 AWS Artifact
국가 또는 업계의 현지 규제 또는 계약 요구 사항에 따라 AWS는 고객 또는 정부 감사자에게 직접 감사를 받을 수도 있습니다. 이러한 감사는 AWS 제어 환경에 대한 추가 감독을 제공하여 고객이 AWS 서비스를 사용하여 자신 있고 규정을 준수하며 위험 기반 방식으로 운영할 수 있는 도구를 확보할 수 있도록 합니다.
AWS 자격증 프로그램, 보고서 및 외부 기관 증명에 대한 자세한 내용은 AWS 규정 준수 프로그램
Cloud Security Alliance
AWS는 자발적 Cloud Security Alliance(CSA) Security, Trust and Assurance Registry(STAR) 자체 평가에 참여하여 CSA에서 게시한 모범 사례를 준수함을 문서화했습니다. CSA
고객이 AWS의 CSA CAIQ 준수를 문서화하는 데 사용할 수 있는 리소스에는 두 가지가 있습니다. 첫 번째는 CSA CAIQ 백서
