Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 블로그

구독

감사 및 컴플라이언스에 익숙해지기 - 가능합니다

Tenable Cloud Security를 통해 클라우드 감사와 컴플라이언스에 익숙해지기

퍼블릭 클라우드에서 실행 중인 워크로드를 보호하고 컴플라이언스 표준을 충족하는 것은 대부분의 조직에서 타협할 수 없는 과제입니다. 그러나 필요한 가시성, 매핑 및 모니터링 기능을 통합하는 과정은 시간이 많이 걸리는 수동 프로세스일 때가 많습니다. 따라서 감사 및 컴플라이언스 작업은 보안 팀과 컴플라이언스 팀에 지연과 불안을 야기할 수 있습니다.

감사 및 컴플라이언스 요구 사항이 클라우드 인프라의 딜레마로 알려진 상황에서 감사 및 컴플라이언스를 '즐기는 것을 배운다'는 것은 공상처럼 들릴 수 있습니다. 이 블로그에서는 클라우드의 컴플라이언스 및 액세스 보안에 대한 도전 과제와 보안 전문가가 올바른 도구와 전략을 활용하여 감사를 쉽게 수행할 수 있는 방법을 살펴봅니다.

겉보기에는 간단해 보이지만 클라우드에서 컴플라이언스를 달성하려면 양식 몇 개를 작성하는 것만으로 끝나지 않습니다. 설명이 매우 구체적인 규제 표준과 모범 사례도 있지만 많은 경우에는 훨씬 더 추상적입니다. 표준이 추상적인 경우 방법을 설명하지 않고 특정 목표를 달성하도록 요구할 수 있습니다. 이러한 경우 표준을 충족하기 위해 어떤 방법 및 도구를 구현해야 하고 지속적인 컴플라이언스를 위해 어떤 조치를 취해야 할지는 불확실합니다.

일부 표준이 추상적인 이유 중 하나는 보안이 모든 사례에 통용되지 않기 때문입니다. 특히 클라우드 환경은 다차원적이고 동적이며 새로운 취약성이 끊임없이 등장하고 있습니다. 또한 업종, 회사 규모 및 지역에 따라 조직의 컴플라이언스 요구 사항이 다릅니다. 구체적인 컴플라이언스 설명을 아무리 길게 나열해도 가능한 모든 보안 시나리오를 다룰 수는 없습니다.

규정과 프레임워크의 복잡한 조합은 클라우드 환경에서 보안 컴플라이언스를 어렵게 만들 뿐입니다. 대부분의 조직에서는 다음과 같은 많은 팀과 도구가 조직의 클라우드 에코시스템 내에서 작동합니다.

  • 클라우드 환경을 개발 및 유지 관리하는 인프라 팀
  • 코드를 프로덕션에 푸시하는 개발자
  • 새로운 서비스와 사용자 ID를 프로비저닝하는 ID 및 액세스 관리(IAM) 전문가

관련된 이해 관계자가 많기 때문에 보안 팀이 기본적인 컴플라이언스 세부 정보(어떤 리소스가 어떤 권한으로 실행되고 있는지 등)를 업계 벤치마크에 매핑하는 데 많은 시간이 소요됩니다. 설상가상으로 많은 조직에서 온프레미스 인프라와 함께 둘 이상의 클라우드 서비스 공급자(CSP)를 사용하므로 컴플라이언스 팀은 자산 인벤토리를 만드는 즉시 이미 오래된 정보가 될 가능성이 높은 자산 인벤토리를 사용하여 작업하면서 끝없는 이메일 스레드와 회의에 갇히게 됩니다.

컴플라이언스 팀이 가장 큰 영향을 받을 수 있지만, 개발 팀과 인프라 팀에게도 컴플라이언스는 결코 쉬운 일이 아닙니다. 두 팀은 클라우드 리소스에 대한 세분화된 통찰을 얻기 위해 애쓰는 경우가 많습니다.

클라우드 아키텍처에 대한 중앙 집중식 보기가 없으면 컴플라이언스 팀은 여러 클라우드 전반을 파악하거나 실행 중인 애플리케이션 구성의 잦은 변경을 모니터링할 수 없습니다. 공개적으로 노출된 Lambda 서비스 또는 부적합한 액세스 관리와 같은 컴플라이언스 문제를 격리하는 것뿐만 아니라 어떤 문제를 먼저 해결해야 하는지 우선 순위를 지정하는 것도 훨씬 더 어렵습니다.

CNAPP를 통해 감사에 익숙해지기

인프라 구성 관리, 중앙 집중식 멀티 클라우드 가시성 및 사용자 지정 가능한 보고 기능이 포함된 고품질의 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 사용하면 팀의 컴플라이언스 관련 업무를 상당 부분 줄일 수 있습니다. 또한 우수한 CNAPP는 컴플라이언스를 넘어 조직의 보안 포스처를 모범 사례에 따라 강화합니다. 경험이 풍부한 여러 보안 전문가들이 알고 있듯이 컴플라이언스 증명은 전체적인 보안 전략의 일부에 불과하기 때문입니다. 감사를 통과할 수는 있지만 새롭게 등장하는 모범 사례를 숙지하지 못하면 클라우드 보안 포스처에 문제가 생길 수 있습니다. 이상적인 CNAPP는 컴플라이언스와 보안 모범 사례의 균형을 맞추고 다음의 네 가지 기능을 제공합니다.

1.규제 범위의 범위와 심도

솔루션은 광범위한 보안 모범 사례와 선도적인 업계 및 컴플라이언스 표준을 포괄해야 합니다. 추가 서비스에는 다음이 포함됩니다.

  • 인터넷 보안 센터(CIS), 국제 표준화 기구(ISO), 미국 표준 기술 연구소(NIST)와 같은 기관의 벤치마크
  • 결제 카드 산업(PCI) 데이터 보안 표준(DSS) 및 미국 공인 회계사 협회(AICPA) 서비스 조직 제어(SOC) 유형 2와 같은 업계 가이드라인
  • 일반 데이터 보호 규정(GDPR) 및 건강보험 양도 및 책임에 관한 법률(HIPAA) 등의 규정

플랫폼에서 제공하는 템플릿에 사용자가 따라야 하는 표준이 포함되어 있고 자주 업데이트되는지 확인해야 합니다. 솔루션은 즉시 사용 가능한 광범위한 표준 및 정책을 제공하면서 기존 컴플라이언스 버킷에 맞지 않을 수 있는 진화하는 요구 사항에 따라 사용자 지정할 수 있어야 합니다.

Tenable Cloud Security에서 지원하는 컴플라이언스 표준 및 상태.
Tenable Cloud Security에서 지원하는 표준 및 상태.
이미지 출처: Tenable Cloud Security

2.컴플라이언스와 클라우드의 상관 관계

보안 및 컴플라이언스에서는 컨텍스트가 중요합니다. 각 표준을 특정 클라우드 구성, 클라우드 리소스 및 클라우드 활동 정책에 쉽게 매핑하는 동시에 자산/계정별 컴플라이언스 상태의 명확한 인벤토리를 제공할 수 있어야 합니다. 예를 들어, 공개적으로 노출된 Amazon Web Services(AWS) Lambda 서비스가 Cloud Security Alliance(CSA) STAR 프로그램 표준, ISO 및 NIST 프레임워크를 우회하거나 컴플라이언스 규정을 위반하고 있을 수 있습니다. CNAPP가 이 정도로 세분화되어 있다면 컴플라이언스 위반 가능성이 있는 영역을 드릴다운하고 기본 제공 자동화를 사용하여 신속하게 수정할 수 있습니다.

사용자는 Tenable Cloud Security를 통해 구체적인 정책과 그 상태를 업계 표준에 매핑할 수 있습니다.
사용자는 Tenable Cloud Security를 통해 구체적인 정책과 그 상태를 업계 표준에 매핑할 수 있습니다. 정책 실패 시 ChatOps 워크플로를 통해 손쉽게 수정 작업을 할당할 수 있습니다.
이미지 출처: Tenable Cloud Security

3.지속적 모니터링

업계 표준 및 모범 사례와 비교하여 현재 상태를 파악하는 데 영업일 기준 일주일이 걸려서는 안 됩니다. Tenable Cloud Security와 같은 솔루션은 전체 환경을 프레임워크 및 벤치마크와 비교해 지속적으로 검사하여 컴플라이언스를 보장하고 일탈과 이상을 파악합니다. 컴플라이언스 상태는 힘든 감사를 기다릴 필요 없이 언제든지 사용자와 모든 이해 관계자가 확인할 수 있어야 합니다. 모니터링이 지연되면 악의적인 공격에 취약해집니다.

Tenable Cloud Security 메인 대시보드에는 환경 전반에서 업데이트되고 우선 순위 지정된 발견 사항이 표시됩니다.
Tenable Cloud Security 메인 대시보드에는 컴플라이언스 매핑, 공개된 발견 사항 및 공격자가 악용할 가능성이 가장 높은 유해한 조합을 포함하여 환경 전반에서 업데이트되고 우선 순위 지정된 발견 사항이 표시됩니다.
이미지 출처: Tenable Cloud Security

4.유연한 보고

CNAPP는 모든 조직 레벨에 대한 가시성과 유연한 보고를 통해 감사자에게 컴플라이언스를 입증하는 데 도움이 되어야 합니다. 예를 들어, 도구를 사용하면 전체 조직의 보안 포스처와 컴플라이언스를 파악할 수 있을 뿐 아니라 특정 계정과 특정 프로젝트로 드릴다운하여 내부 및 외부 감사자를 위한 컴플라이언스 보고서를 쉽게 생성할 수 있어야 합니다.

Tenable Cloud Security의 SOC-2 컴플라이언스 자동화 보고서.
Tenable Cloud Security의 SOC-2 컴플라이언스 자동화 보고서. 사용자는 주요 컴플라이언스 요구 사항과 주요 수정 조언에 보안 발견 사항을 매핑하는 특정 제품 내 컴플라이언스 보고서를 다운로드할 수 있습니다.
이미지 출처: Tenable Cloud Security

결론

클라우드에서 컴플라이언스를 달성하는 것은 컴플라이언스 가이드라인을 클라우드 아키텍처의 현실에 맞게 변환하는 것부터 시작됩니다. 어떤 클라우드 자산을 보유하고 있는지, 어떤 유형의 취약성에 민감한지 및 이러한 취약성이 감사 가이드라인과 어떤 관련이 있는지 이해하는 것은 모니터링, 보고 및 수정이라는 지속적인 컴플라이언스 작업을 가능하게 하는 데 필수적입니다. 환경을 매핑한 후에는 컴플라이언스 또는 사용자 지정 정책을 기반으로 자동화된 모니터링을 진행할 수 있습니다. 마지막으로 감사자에게 컴플라이언스를 입증하는 데 도움이 되는 자동화된 보고서를 생성할 수 있습니다. Tenable Cloud Security는 이 모든 작업을 수행하여 컴플라이언스의 어려움을 줄이고 보안 감사에 익숙해지는 데 도움이 될 수 있습니다.

Tenable Cloud Security에 대한 자세한 정보를 확인하거나 데모를 요청하려면 Tenable Cloud Security 제품 페이지(https://www.tenable.com/products/tenable-cloud-security)를 참조하시기 바랍니다.

관련 기사

도움이 되는 사이버 보안 뉴스

이메일을 입력하여 Tenable 전문가에게서 적시에 알림을 받고 보안 참고 자료를 놓치지 마십시오.

Tenable Vulnerability Management

비교할 수 없는 정확도로 모든 자산을 확인하고 추적할 수 있는 최신 클라우드 기반 취약성 관리 플랫폼 전체에 액세스하십시오.

Tenable Vulnerability Management 평가판은 전 세계를 대상으로(UAE 제외) 만들어졌으며 Tenable Lumin 및 Tenable Web App Scanning을 포함합니다.

Tenable Vulnerability Management

비교할 수 없는 정확도로 모든 자산을 확인하고 추적할 수 있는 최신 클라우드 기반 취약성 관리 플랫폼 전체에 액세스하십시오. 지금 연간 구독을 구입하십시오.

100 자산

구독 옵션 선택:

지금 구입

Tenable Vulnerability Management

비교할 수 없는 정확도로 모든 자산을 확인하고 추적할 수 있는 최신 클라우드 기반 취약성 관리 플랫폼 전체에 액세스하십시오.

Tenable Vulnerability Management 평가판은 전 세계를 대상으로(UAE 제외) 만들어졌으며 Tenable Lumin 및 Tenable Web App Scanning을 포함합니다.

Tenable Vulnerability Management

비교할 수 없는 정확도로 모든 자산을 확인하고 추적할 수 있는 최신 클라우드 기반 취약성 관리 플랫폼 전체에 액세스하십시오. 지금 연간 구독을 구입하십시오.

100 자산

구독 옵션 선택:

지금 구입

Tenable Vulnerability Management

비교할 수 없는 정확도로 모든 자산을 확인하고 추적할 수 있는 최신 클라우드 기반 취약성 관리 플랫폼 전체에 액세스하십시오.

Tenable Vulnerability Management 평가판은 전 세계를 대상으로(UAE 제외) 만들어졌으며 Tenable Lumin 및 Tenable Web App Scanning을 포함합니다.

Tenable Vulnerability Management

비교할 수 없는 정확도로 모든 자산을 확인하고 추적할 수 있는 최신 클라우드 기반 취약성 관리 플랫폼 전체에 액세스하십시오. 지금 연간 구독을 구입하십시오.

100 자산

구독 옵션 선택:

지금 구입

Tenable Web App Scanning 사용해보기

Tenable One - 위험 노출 관리 플랫폼의 일부분으로 최근의 애플리케이션을 위해 설계한 최신 웹 애플리케이션 제공 전체 기능에 액세스하십시오. 많은 수작업이나 중요한 웹 애플리케이션 중단 없이, 높은 정확도로 전체 온라인 포트폴리오의 취약성을 안전하게 스캔합니다. 지금 등록하십시오.

Tenable Tenable Web App Scanning 평가판은 Tenable Lumin 및 Tenable Web App Scanning을 포함합니다.

Tenable Web App Scanning 구입

비교할 수 없는 정확도로 모든 자산을 확인하고 추적할 수 있는 최신 클라우드 기반 취약성 관리 플랫폼 전체에 액세스하십시오. 지금 연간 구독을 구입하십시오.

5개 FQDN

$3,578

지금 구입

Tenable Lumin 사용해 보기

Tenable Lumin으로 위험 노출 관리를 시각화하여 파악하고 시간에 걸쳐 위험 감소를 추적하고 유사한 조직과 대비하여 벤치마킹하십시오.

Tenable Lumin 평가판은 Tenable Lumin 및 Tenable Web App Scanning을 포함합니다.

Tenable Lumin 구입

영업 담당자에게 문의하여 어떻게 Tenable Lumin이 전체 조직에 대한 통찰을 얻고 사이버 위험을 관리하는 도움이 되는지 알아보십시오.

무료로 Tenable Nessus Professional 사용해보기

7일 동안 무료

Tenable Nessus는 현재 구입 가능한 가장 종합적인 취약성 스캐너입니다.

신규 - Tenable Nessus Expert
지금 사용 가능

Nessus Expert는 외부 공격 표면 스캔닝과 같은 더 많은 기능 및 도메인을 추가하고 클라우드 인프라를 스캔하는 기능을 추가합니다. 여기를 클릭하여 Nessus Expert를 사용해보십시오.

아래 양식을 작성하여 Nessus Pro 평가판을 사용해보십시오.

Tenable Nessus Professional 구입

Tenable Nessus는 현재 구입 가능한 가장 종합적인 취약성 스캐너입니다. Tenable Nessus Professional은 취약성 스캔 절차를 자동화하고 컴플라이언스 주기의 시간을 절약하고 IT 팀과 참여할 수 있도록 합니다.

여러 해 라이선스를 구입하여 절감하십시오. 연중무휴 전화, 커뮤니티 및 채팅 지원에 액세스하려면 Advanced 지원을 추가하십시오.

라이선스 선택

여러 해 라이선스를 구입하여 절감하십시오.

지원 및 교육 추가

무료로 Tenable Nessus Expert 사용해보기

7일간 무료

최신 공격 표면을 방어하기 위해 구축된 Nessus Expert를 사용하면 IT부터 클라우드까지, 더 많은 것을 모니터링하고 조직을 취약성으로부터 보호할 수 있습니다.

이미 Tenable Nessus Professional을 보유하고 계십니까?
7일간 Nessus Expert로 무료 업그레이드하십시오.

Tenable Nessus Expert 구입

최신 공격 표면을 방어하기 위해 구축된 Nessus Expert를 사용하면 IT부터 클라우드까지, 더 많은 것을 모니터링하고 조직을 취약성으로부터 보호할 수 있습니다.

라이선스 선택

여러 해 라이선스를 구입하여 비용을 더 절감하십시오.

지원 및 교육 추가