감사 및 컴플라이언스에 익숙해지기 - 가능합니다
퍼블릭 클라우드에서 실행 중인 워크로드를 보호하고 컴플라이언스 표준을 충족하는 것은 대부분의 조직에서 타협할 수 없는 과제입니다. 그러나 필요한 가시성, 매핑 및 모니터링 기능을 통합하는 과정은 시간이 많이 걸리는 수동 프로세스일 때가 많습니다. 따라서 감사 및 컴플라이언스 작업은 보안 팀과 컴플라이언스 팀에 지연과 불안을 야기할 수 있습니다.
감사 및 컴플라이언스 요구 사항이 클라우드 인프라의 딜레마로 알려진 상황에서 감사 및 컴플라이언스를 '즐기는 것을 배운다'는 것은 공상처럼 들릴 수 있습니다. 이 블로그에서는 클라우드의 컴플라이언스 및 액세스 보안에 대한 도전 과제와 보안 전문가가 올바른 도구와 전략을 활용하여 감사를 쉽게 수행할 수 있는 방법을 살펴봅니다.
겉보기에는 간단해 보이지만 클라우드에서 컴플라이언스를 달성하려면 양식 몇 개를 작성하는 것만으로 끝나지 않습니다. 설명이 매우 구체적인 규제 표준과 모범 사례도 있지만 많은 경우에는 훨씬 더 추상적입니다. 표준이 추상적인 경우 방법을 설명하지 않고 특정 목표를 달성하도록 요구할 수 있습니다. 이러한 경우 표준을 충족하기 위해 어떤 방법 및 도구를 구현해야 하고 지속적인 컴플라이언스를 위해 어떤 조치를 취해야 할지는 불확실합니다.
일부 표준이 추상적인 이유 중 하나는 보안이 모든 사례에 통용되지 않기 때문입니다. 특히 클라우드 환경은 다차원적이고 동적이며 새로운 취약성이 끊임없이 등장하고 있습니다. 또한 업종, 회사 규모 및 지역에 따라 조직의 컴플라이언스 요구 사항이 다릅니다. 구체적인 컴플라이언스 설명을 아무리 길게 나열해도 가능한 모든 보안 시나리오를 다룰 수는 없습니다.
규정과 프레임워크의 복잡한 조합은 클라우드 환경에서 보안 컴플라이언스를 어렵게 만들 뿐입니다. 대부분의 조직에서는 다음과 같은 많은 팀과 도구가 조직의 클라우드 에코시스템 내에서 작동합니다.
- 클라우드 환경을 개발 및 유지 관리하는 인프라 팀
- 코드를 프로덕션에 푸시하는 개발자
- 새로운 서비스와 사용자 ID를 프로비저닝하는 ID 및 액세스 관리(IAM) 전문가
관련된 이해 관계자가 많기 때문에 보안 팀이 기본적인 컴플라이언스 세부 정보(어떤 리소스가 어떤 권한으로 실행되고 있는지 등)를 업계 벤치마크에 매핑하는 데 많은 시간이 소요됩니다. 설상가상으로 많은 조직에서 온프레미스 인프라와 함께 둘 이상의 클라우드 서비스 공급자(CSP)를 사용하므로 컴플라이언스 팀은 자산 인벤토리를 만드는 즉시 이미 오래된 정보가 될 가능성이 높은 자산 인벤토리를 사용하여 작업하면서 끝없는 이메일 스레드와 회의에 갇히게 됩니다.
컴플라이언스 팀이 가장 큰 영향을 받을 수 있지만, 개발 팀과 인프라 팀에게도 컴플라이언스는 결코 쉬운 일이 아닙니다. 두 팀은 클라우드 리소스에 대한 세분화된 통찰을 얻기 위해 애쓰는 경우가 많습니다.
클라우드 아키텍처에 대한 중앙 집중식 보기가 없으면 컴플라이언스 팀은 여러 클라우드 전반을 파악하거나 실행 중인 애플리케이션 구성의 잦은 변경을 모니터링할 수 없습니다. 공개적으로 노출된 Lambda 서비스 또는 부적합한 액세스 관리와 같은 컴플라이언스 문제를 격리하는 것뿐만 아니라 어떤 문제를 먼저 해결해야 하는지 우선 순위를 지정하는 것도 훨씬 더 어렵습니다.
CNAPP를 통해 감사에 익숙해지기
인프라 구성 관리, 중앙 집중식 멀티 클라우드 가시성 및 사용자 지정 가능한 보고 기능이 포함된 고품질의 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 사용하면 팀의 컴플라이언스 관련 업무를 상당 부분 줄일 수 있습니다. 또한 우수한 CNAPP는 컴플라이언스를 넘어 조직의 보안 포스처를 모범 사례에 따라 강화합니다. 경험이 풍부한 여러 보안 전문가들이 알고 있듯이 컴플라이언스 증명은 전체적인 보안 전략의 일부에 불과하기 때문입니다. 감사를 통과할 수는 있지만 새롭게 등장하는 모범 사례를 숙지하지 못하면 클라우드 보안 포스처에 문제가 생길 수 있습니다. 이상적인 CNAPP는 컴플라이언스와 보안 모범 사례의 균형을 맞추고 다음의 네 가지 기능을 제공합니다.
1.규제 범위의 범위와 심도
솔루션은 광범위한 보안 모범 사례와 선도적인 업계 및 컴플라이언스 표준을 포괄해야 합니다. 추가 서비스에는 다음이 포함됩니다.
- 인터넷 보안 센터(CIS), 국제 표준화 기구(ISO), 미국 표준 기술 연구소(NIST)와 같은 기관의 벤치마크
- 결제 카드 산업(PCI) 데이터 보안 표준(DSS) 및 미국 공인 회계사 협회(AICPA) 서비스 조직 제어(SOC) 유형 2와 같은 업계 가이드라인
- 일반 데이터 보호 규정(GDPR) 및 건강보험 양도 및 책임에 관한 법률(HIPAA) 등의 규정
플랫폼에서 제공하는 템플릿에 사용자가 따라야 하는 표준이 포함되어 있고 자주 업데이트되는지 확인해야 합니다. 솔루션은 즉시 사용 가능한 광범위한 표준 및 정책을 제공하면서 기존 컴플라이언스 버킷에 맞지 않을 수 있는 진화하는 요구 사항에 따라 사용자 지정할 수 있어야 합니다.
2.컴플라이언스와 클라우드의 상관 관계
보안 및 컴플라이언스에서는 컨텍스트가 중요합니다. 각 표준을 특정 클라우드 구성, 클라우드 리소스 및 클라우드 활동 정책에 쉽게 매핑하는 동시에 자산/계정별 컴플라이언스 상태의 명확한 인벤토리를 제공할 수 있어야 합니다. 예를 들어, 공개적으로 노출된 Amazon Web Services(AWS) Lambda 서비스가 Cloud Security Alliance(CSA) STAR 프로그램 표준, ISO 및 NIST 프레임워크를 우회하거나 컴플라이언스 규정을 위반하고 있을 수 있습니다. CNAPP가 이 정도로 세분화되어 있다면 컴플라이언스 위반 가능성이 있는 영역을 드릴다운하고 기본 제공 자동화를 사용하여 신속하게 수정할 수 있습니다.
3.지속적 모니터링
업계 표준 및 모범 사례와 비교하여 현재 상태를 파악하는 데 영업일 기준 일주일이 걸려서는 안 됩니다. Tenable Cloud Security와 같은 솔루션은 전체 환경을 프레임워크 및 벤치마크와 비교해 지속적으로 검사하여 컴플라이언스를 보장하고 일탈과 이상을 파악합니다. 컴플라이언스 상태는 힘든 감사를 기다릴 필요 없이 언제든지 사용자와 모든 이해 관계자가 확인할 수 있어야 합니다. 모니터링이 지연되면 악의적인 공격에 취약해집니다.
4.유연한 보고
CNAPP는 모든 조직 레벨에 대한 가시성과 유연한 보고를 통해 감사자에게 컴플라이언스를 입증하는 데 도움이 되어야 합니다. 예를 들어, 도구를 사용하면 전체 조직의 보안 포스처와 컴플라이언스를 파악할 수 있을 뿐 아니라 특정 계정과 특정 프로젝트로 드릴다운하여 내부 및 외부 감사자를 위한 컴플라이언스 보고서를 쉽게 생성할 수 있어야 합니다.
결론
클라우드에서 컴플라이언스를 달성하는 것은 컴플라이언스 가이드라인을 클라우드 아키텍처의 현실에 맞게 변환하는 것부터 시작됩니다. 어떤 클라우드 자산을 보유하고 있는지, 어떤 유형의 취약성에 민감한지 및 이러한 취약성이 감사 가이드라인과 어떤 관련이 있는지 이해하는 것은 모니터링, 보고 및 수정이라는 지속적인 컴플라이언스 작업을 가능하게 하는 데 필수적입니다. 환경을 매핑한 후에는 컴플라이언스 또는 사용자 지정 정책을 기반으로 자동화된 모니터링을 진행할 수 있습니다. 마지막으로 감사자에게 컴플라이언스를 입증하는 데 도움이 되는 자동화된 보고서를 생성할 수 있습니다. Tenable Cloud Security는 이 모든 작업을 수행하여 컴플라이언스의 어려움을 줄이고 보안 감사에 익숙해지는 데 도움이 될 수 있습니다.
Tenable Cloud Security에 대한 자세한 정보를 확인하거나 데모를 요청하려면 Tenable Cloud Security 제품 페이지(https://www.tenable.com/products/tenable-cloud-security)를 참조하시기 바랍니다.
관련 기사
- Cloud
- Compliance
- Cloud
- Exposure Management