공동 책임 - AWS 보안 인시던트 대응 가이드

공동 책임

보안 및 규정 준수는 AWS와 사용자 간의 공동 책임입니다. 이 공동 책임 모델을 통해 고객은 운영 부담을 덜 수 있습니다. AWS가 호스트 운영 체제 및 가상화 계층에서 서비스 운영 시설의 물리적 보안에 이르기까지 구성 요소를 운영, 관리, 제어하기 때문입니다.

고객은 게스트 운영 체제(업데이트 및 보안 패치 포함) 및 애플리케이션 소프트웨어를 관리하고, AWS에서 제공한 보안 제어 항목(예: 보안 그룹, 네트워크 액세스 제어 목록, 자격 증명 및 액세스 관리)을 구성할 책임이 있습니다. 선택한 서비스, 서비스를 IT 환경에 통합하는 과정, 준거법과 규제에 따라 책임 범위가 다르기 때문에 사용하고자 하는 서비스에 대해 신중히 검토해야 합니다. 그림 2는 Amazon Elastic Compute Cloud(Amazon EC2)와 같은 인프라 서비스에 적용되는 공동 책임 모델의 일반적인 형태를 보여 줍니다. 대부분의 책임은 클라우드 보안(AWS에서 관리)과 클라우드에서의 보안(고객이 관리)이라는 두 가지 범주로 나뉩니다. 사용하는 서비스에 따라 책임이 달라질 수 있습니다. Amazon S3 및 Amazon DynamoDB와 같은 추상화 서비스의 경우 AWS는 인프라 계층, 운영 체제, 플랫폼을 운영하고 고객은 데이터를 저장하고 검색하기 위해 엔드포인트에 액세스합니다. 고객은 데이터 관리(암호화 옵션 포함), 자산 분류, 적절한 허가를 부여하는 IAM 도구 사용에 책임이 있습니다.

그러나 운영 모델을 서비스 공급자에게 이전하는 컨테이너 및 기타 서비스가 추가됨에 따라 공동 책임 모델이 변경됩니다. IaaS 및 데이터 센터에서 벗어나 PaaS로 향하는 운영 모델의 왼쪽으로 이동하면 서비스 공급자의 책임이 커집니다. 고객은 클라우드에서의 책임이 적습니다. 그래프 왼쪽으로 이동하여 마이그레이션을 사용할 때 운영이 더 쉬워집니다. 다음 그림에서 클라우드에서의 운영과 작동의 차이를 유의하여 살펴보세요. 클라우드에서의 공동 책임이 변경됨에 따라 인시던트 대응 또는 포렌식 옵션도 변경됩니다. 고객은 인시던트 대응을 계획하는 동안 운영 모델에서 보유한 기능을 중심으로 계획하고 선택한 모델에서 발생할 수 있는 상호 작용이 발생하기 전에 이를 계획해야 합니다. 이러한 절충점을 계획 및 이해하고 이를 거버넌스 요구 사항과 일치시키는 것은 인시던트 대응의 중요한 단계입니다.

공동 책임 모델

그림 1: 공동 책임 모델

그림 2: AWS Fargate 유형의 공동 책임 모델을 사용하는 Amazon Elastic Container Service(Amazon ECS)

AWS와의 직접적인 관계 외에도 사용하는 책임 모델에서 책임이 있는 다른 단체가 있을 수 있습니다. 예를 들어 운영의 일부 측면을 담당하는 내부 조직 단위가 있을 수 있습니다. 또한 클라우드 기술의 일부를 개발, 관리 또는 운영하는 파트너나 기타 제3자가 있을 수 있습니다.

운영 모델에 맞는 적절한 인시던트 대응 및 포렌식 런북을 만드는 것은 매우 중요합니다. 성공 여부는 선택한 운영 모델에 대해 생성해야 하는 도구 유형 또는 구매해야 하는 도구에 대한 이해에 달려 있습니다. 조직에서 사용 가능한 도구를 더 잘 이해할수록 기업의 GRC(거버넌스 위험 및 규정 준수) 모델 요구 사항을 충족할 수 있도록 더 잘 준비할 수 있습니다.