클라우드 위험 평가
이 문서에서는 클라우드와 관련된 위험을 평가하는 방법을 간략하게 설명합니다. 모든 기술은 조직에 특정 위험을 초래합니다. 위험은 업계 표준을 준수하지 않는 등 비즈니스에 영향을 줄 수 있는 원치 않는 결과입니다. 클라우드를 채택할 때 클라우드가 조직에 미치는 위험을 식별해야 합니다. 클라우드 거버넌스 팀은 이러한 위험을 방지하고 완화하기 위해 클라우드 거버넌스 정책을 만듭니다. 클라우드 위험을 평가하려면 이러한 작업을 완료합니다.
클라우드 위험 식별
클라우드 위험의 포괄적인 목록을 카탈로그로 작성합니다. 위험을 알면 이러한 위험을 방지하고 완화할 수 있는 클라우드 거버넌스 정책을 만들 수 있습니다. 클라우드 위험을 식별하려면 다음 권장 사항을 따릅니다.
모든 클라우드 자산을 나열합니다. 관련된 위험을 포괄적으로 식별할 수 있도록 모든 클라우드 자산을 나열합니다. 예를 들어 Azure Portal, Azure Resource Graph, PowerShell 및 Azure CLI를 사용하여 구독의 모든 리소스를 볼 수 있습니다.
클라우드 위험을 검색합니다. 클라우드 거버넌스 정책을 안내하는 안정적인 위험 카탈로그를 개발합니다. 빈번한 조정을 방지하려면 특정 워크로드에 고유한 위험이 아닌 일반적인 클라우드 위험에 집중합니다. 우선 순위가 높은 위험으로 시작하고 시간이 지남에 따라 보다 포괄적인 목록을 개발합니다. 일반적인 위험 범주는 규정 준수, 보안, 운영, 비용, 데이터, 리소스 및 AI입니다. 조직에 고유한 위험(예: 비 Microsoft 소프트웨어, 파트너 또는 공급업체 지원, 내부 클라우드 역량)을 포함합니다.
주요 이해 관계자를 참여시킵니다. 다양한 조직 역할(IT, 보안, 법률, 재무 및 사업부)의 입력을 수집하여 모든 잠재적 위험을 고려합니다. 이 공동 작업 접근 방식은 클라우드와 관련된 위험에 대한 전체적인 보기를 보장합니다.
위험을 확인합니다. 클라우드 위험 식별에 대한 깊은 이해를 가진 외부 전문가를 참여시켜 위험 목록을 검토하고 유효성을 검사합니다. 이러한 전문가는 Microsoft 계정 팀 또는 전문 Microsoft 파트너일 수 있습니다. 이러한 전문 지식은 모든 잠재적 위험의 식별을 확인하고 위험 평가의 정확도를 향상시키는 데 도움이 됩니다.
Azure 촉진: 클라우드 위험 식별
다음 지침은 Azure에서 클라우드 위험을 식별하는 데 도움이 됩니다. 클라우드 거버넌스의 주요 범주에 대한 샘플 시작점을 제공합니다. Azure는 위험을 찾는 프로세스의 일부를 자동화하는 데 도움이 될 수 있습니다. Azure Advisor, 클라우드용 Microsoft Defender, Azure Policy, Azure Service Health 및 Microsoft Purview와 같은 Azure 도구를 사용합니다.
규정 준수 위험을 식별합니다. 클라우드 데이터 및 운영에 영향을 주는 법률 및 규제 프레임워크를 준수하지 않는 위험을 식별합니다. 업계의 규정 요구 사항을 파악합니다. Azure 규정 준수 설명서를 사용하여 시작합니다.
보안 위험을 식별합니다. 클라우드 환경의 기밀성, 무결성 및 가용성을 위태롭게 하는 위협 및 취약성을 식별합니다. Azure를 사용하여 클라우드 보안 상태를 평가하고 ID 위험을 검색합니다.
비용 위험을 식별합니다. 클라우드 리소스 비용과 관련된 위험을 식별합니다. 비용 관련 위험에는 초과 프로비전, 과소 프로비전, 미달 사용, 데이터 전송 요금 또는 서비스 크기 조정으로 인한 예기치 않은 비용이 포함됩니다. 비용 평가를 사용하여 비용 위험을 식별합니다. Azure를 사용하여 Azure 가격 계산기로 비용을 예측합니다. 현재 리소스에 대한 비용을 분석하고 예측 합니다. 클라우드 비용의 예기치 않은 변화를 식별합니다.
작업 위험을 식별합니다. 가동 중지 시간 및 데이터 손실과 같은 클라우드 작업의 연속성을 위협하는 위험을 식별합니다. Azure 도구를 사용하여 안정성 및 성능에 대한 위험을 식별합니다.
데이터 위험을 식별합니다. 클라우드 내의 데이터 관리와 관련된 위험을 식별합니다. 데이터 수명 주기 관리에서 데이터 및 결함의 부적절한 처리를 고려합니다. Azure 도구를 사용하여 데이터 위험을식별하고 중요한 데이터에 대한 위험을 탐색할 수 있습니다.
리소스 관리 위험을 식별합니다. 클라우드 리소스의 프로비저닝, 배포, 구성 및 관리에서 비롯되는 위험을 식별합니다. 운영 우수성에 대한 위험을 식별합니다.
AI 위험을 식별합니다. 정기적으로 빨간색 팀 언어 모델. AI 시스템을 수동으로 테스트하고 AI에 대한 자동화된 위험 식별 도구를 사용하여 수동 테스트를 보완합니다. 일반적인 인간-AI 상호 작용 실패를 찾습니다. AI 시스템의 사용, 액세스 및 출력과 관련된 위험을 고려합니다. 책임 있는 AI의 신조와 책임 있는 AI 완성도 모델을 검토합니다.
클라우드 위험 분석
심각도별로 우선 순위를 지정할 수 있도록 각 위험에 질적 또는 정량적 순위를 할당합니다. 위험 우선 순위 지정은 위험 확률과 위험 영향을 결합합니다. 보다 정확한 위험 우선 순위를 위해 정성적 위험 분석보다 양적 위험 분석을 선호합니다. 클라우드 위험을 분석하려면 다음 전략을 따릅니다.
위험 확률 평가
매년 발생하는 각 위험의 정량적 또는 정성적 확률을 예측합니다. 백분율 범위(0%-100%)를 사용하여 연간 양적 위험 확률을 나타냅니다. 낮음, 중간 및 높음은 질적 위험 확률에 대한 일반적인 레이블입니다. 위험 확률을 평가하려면 다음 권장 사항을 따릅니다.
공용 벤치마크를 사용합니다. 일반적인 위험과 발생률을 문서화하는 보고서, 연구 또는 SLA(서비스 수준 계약)의 데이터를 사용합니다.
기록 데이터를 분석합니다. 내부 인시던트 보고서, 감사 로그 및 기타 레코드를 확인하여 과거에 비슷한 위험이 발생한 빈도를 파악합니다.
제어 효율성을 테스트합니다. 위험을 최소화하려면 현재 위험 완화 제어의 효과를 평가합니다. 제어 테스트 결과, 감사 결과 및 성능 메트릭을 검토하는 것이 좋습니다.
위험 영향 확인
조직에 발생하는 위험의 정량적 또는 질적 영향을 예측합니다. 금액은 양적 위험 영향을 나타내는 일반적인 방법입니다. 낮음, 중간 및 높음은 질적 위험 영향에 대한 일반적인 레이블입니다. 위험 영향을 확인하려면 다음 권장 사항을 따릅니다.
재무 분석을 수행합니다. 가동 중지 시간 비용, 법적 수수료, 벌금 및 수정 노력 비용과 같은 요인을 확인하여 위험의 잠재적인 재정적 손실을 예측합니다.
평판 영향 평가를 수행합니다. 유사한 인시던트에 대한 설문 조사, 시장 조사 또는 기록 데이터를 사용하여 조직의 평판에 미치는 잠재적 영향을 추정합니다.
운영 중단 분석을 수행합니다. 가동 중지 시간, 생산성 손실 및 대체 준비 비용을 예측하여 운영 중단 정도를 평가합니다.
법적 의미를 평가합니다. 비준수 또는 위반과 관련된 잠재적 법적 비용, 벌금 및 처벌을 추정합니다.
위험 우선 순위 계산
각 위험에 위험 우선 순위를 할당합니다. 위험 우선 순위는 위험에 할당하는 중요도이므로 높은, 중간 또는 낮은 긴급도로 위험을 처리할지 여부를 알 수 있습니다. 높은 영향 위험이 지속적인 결과를 초래할 수 있으므로 위험 영향은 위험 확률보다 더 중요합니다. 거버넌스 팀은 조직 전체에서 일관된 방법론을 사용하여 위험의 우선 순위를 지정해야 합니다. 위험 우선 순위를 계산하려면 다음 권장 사항을 따릅니다.
질적 평가에 위험 매트릭스를 사용합니다. 각 위험에 질적 위험 우선 순위를 할당하는 행렬을 만듭니다. 행렬의 한 축은 위험 확률(높음, 중간, 낮음)을 나타내고 다른 축은 위험 영향(높음, 중간, 낮음)을 나타냅니다. 다음 표에서는 샘플 위험 매트릭스를 제공합니다.
낮은 영향 중간 영향 높은 영향 낮은 확률 매우 낮음 보통 낮음 보통 높음 중간 확률 낮음 중간 높음 높은 확률 중간 높음 매우 높음 정량적 평가에 수식을 사용합니다. 다음 계산을 기준으로 사용합니다. 위험 우선 순위 = 위험 확률 x 위험 영향. 필요에 따라 변수의 가중치를 조정하여 위험 우선 순위 결과를 조정합니다. 예를 들어 위험 우선 순위 = 위험 확률 x(위험 영향 x 1.5) 수식을 사용하여 위험 영향에 더 중점을 둘 수 있습니다.
위험 수준 할당
각 위험을 주요 위험(수준 1), 하위(수준 2) 및 위험 드라이버(수준 3)의 세 가지 수준 중 하나로 분류합니다. 위험 수준을 사용하면 적절한 위험 관리 전략을 계획하고 향후 과제를 예측할 수 있습니다. 수준 1 위험은 조직 또는 기술을 위협합니다. 수준 2 위험은 수준 1 위험에 속합니다. 수준 3 위험은 하나 이상의 수준 1 또는 수준 2 위험으로 이어질 수 있는 추세입니다. 예를 들어 데이터 보호법(수준 1), 부적절한 클라우드 스토리지 구성(수준 2) 및 규정 요구 사항의 복잡성 증가(수준 3)를 준수하지 않는 것이 좋습니다.
위험 관리 전략 결정
각 위험에 대해 위험을 피, 완화, 전송 또는 수락하는 것과 같은 적절한 위험 처리 옵션을 식별합니다. 선택한 항목에 대한 설명을 제공합니다. 예를 들어 완화 비용이 너무 비싸서 위험을 감수하기로 결정한 경우 향후 참조에 대한 추론을 문서화해야 합니다.
위험 소유자 할당
모든 위험에 대한 기본 위험 소유자를 지정합니다. 위험 소유자는 각 위험을 관리할 책임이 있습니다. 이 담당자는 관련된 모든 팀에서 위험 관리 전략을 조정하며 위험 에스컬레이션을 위한 초기 연락 지점입니다.
클라우드 위험 문서화
각 위험 및 위험 분석의 세부 정보를 문서화합니다. 위험을 식별, 분류, 우선 순위 지정 및 관리하는 데 필요한 모든 정보를 포함하는 위험 목록(위험 레지스터)을 만듭니다. 모든 사용자가 클라우드 위험을 쉽게 이해할 수 있도록 위험 설명서에 대한 표준화된 언어를 개발합니다. 다음 요소를 포함하는 것이 좋습니다.
- 위험 ID: 각 위험에 대한 고유 식별자입니다. 새 위험을 추가할 때 식별자를 순차적으로 증분합니다. 위험을 제거하는 경우 시퀀스에 간격을 두거나 시퀀스의 간격을 채울 수 있습니다.
- 위험 관리 상태: 위험의 상태(열기, 폐쇄).
- 위험 범주: 규정 준수, 보안, 비용, 운영, AI 또는 리소스 관리와 같은 레이블입니다.
- 위험 설명: 위험에 대한 간략한 설명입니다.
- 위험 확률: 연간 발생하는 위험의 확률입니다. 백분율 또는 정성적 레이블을 사용합니다.
- 위험 영향: 위험이 발생하는 경우 조직에 미치는 영향입니다. 금액 또는 정성적 레이블을 사용합니다.
- 위험 우선 순위: 위험의 심각도(확률 x 영향)입니다. 달러 금액 또는 정성적 레이블을 사용합니다.
- 위험 수준: 위험 유형입니다. 주요 위협(수준 1), 하위 리스크(수준 2) 또는 위험 드라이버(수준 3)를 사용합니다.
- 위험 관리 전략: 완화, 수락 또는 방지와 같은 위험을 관리하는 방법입니다.
- 위험 관리 적용: 위험 관리 전략을 적용하는 기술입니다.
- 위험 소유자: 위험을 관리하는 개인입니다.
- 위험 종료 날짜: 위험 관리 전략을 적용해야 하는 날짜입니다.
자세한 내용은 위험 목록 예제를 참조 하세요.
클라우드 위험 통신
식별된 클라우드 위험을 경영진 스폰서 및 경영진에게 명확하게 전달합니다. 목표는 조직이 클라우드 위험의 우선 순위를 지정하도록 하는 것입니다. 클라우드 위험 관리에 대한 정기적인 업데이트를 제공하고 위험을 관리하기 위해 추가 리소스가 필요할 때 통신합니다. 클라우드 위험 관리 및 거버넌스 관리가 일상적인 작업의 일부인 문화를 홍보합니다.
클라우드 위험 검토
현재 클라우드 위험 목록을 검토하여 유효하고 정확한지 확인합니다. 리뷰는 일반적이고 특정 이벤트에 대한 응답이어야 합니다. 필요에 따라 위험을 유지 관리, 업데이트 또는 제거합니다. 클라우드 위험을 검토하려면 다음 권장 사항을 따릅니다.
정기적인 평가를 예약합니다. 분기별, 연간 또는 매년과 같은 클라우드 위험을 검토하고 평가하도록 되풀이 일정을 설정합니다. 직원 가용성, 클라우드 환경 변경 속도 및 조직의 위험 허용 범위를 가장 잘 수용하는 검토 빈도를 찾습니다.
이벤트 기반 검토를 수행합니다. 위험 방지 실패와 같은 특정 이벤트에 대한 응답으로 위험을 검토합니다. 새로운 기술을 채택하고, 비즈니스 프로세스를 변경하고, 새로운 보안 위협 이벤트를 검색할 때 위험을 검토하는 것이 좋습니다. 또한 기술, 규정 준수 및 조직의 위험 허용 범위가 변경되는 경우를 검토하는 것이 좋습니다.
클라우드 거버넌스 정책을 검토합니다. 클라우드 거버넌스 정책을 유지, 업데이트 또는 제거하여 새로운 위험, 기존 위험 또는 오래된 위험을 해결합니다. 필요에 따라 클라우드 거버넌스 정책 설명 및 클라우드 거버넌스 적용 전략을 검토합니다. 위험을 제거하면 연결된 클라우드 거버넌스 정책이 여전히 관련이 있는지 평가합니다. 관련자와 협의하여 클라우드 거버넌스 정책을 제거하거나 정책을 업데이트하여 새 위험과 연결합니다.
위험 목록 예제
다음 표는 위험 레지스터라고도 하는 위험 목록의 예입니다. 조직의 Azure 클라우드 환경의 특정 요구 사항 및 컨텍스트에 맞게 예제를 조정합니다.
위험 ID | 위험 관리 상태 | 위험 범주 | 위험 설명 | 위험 확률 | 위험 영향 | 위험 우선 순위 | 위험 수준 | 위험 관리 전략 | 위험 관리 적용 | 위험 소유자 | 위험 종료 날짜 |
---|---|---|---|---|---|---|---|---|---|---|---|
R01 | 시작 | 규정 준수 | 중요한 데이터 요구 사항을 준수하지 않는 경우 | 20% 또는 보통 | $100,000 또는 높음 | $20,000 또는 높음 | 수준 2 | 완화 | 중요한 데이터 모니터링에 Microsoft Purview를 사용합니다. Microsoft Purview의 규정 준수 보고 |
규정 준수 리드 | 2024-04-01 |
R02 | 시작 | 보안 | 클라우드 서비스에 대한 무단 액세스 | 30% 또는 높음 | $200,000 또는 높음 | $60,000 또는 매우 높음 | 수준 1 | 완화 | Microsoft Entra ID MFA(다단계 인증). Microsoft Entra ID 거버넌스 월별 액세스 검토 |
보안 책임자 | 2024-03-15 |
R03 | 시작 | 보안 | 안전하지 않은 코드 관리 | 20% 또는 보통 | $150,000 또는 높음 | $30,000 또는 높음 | 수준 2 | 완화 | 정의된 코드 리포지토리를 사용합니다. 공용 라이브러리에 대해 격리 패턴을 사용합니다. |
개발자 리더 | 2024-03-30 |
R04 | 시작 | 비용 | 초과 프로비전 및 모니터링 부족으로 인한 클라우드 서비스 과다 지출 | 40% 또는 높음 | $50,000 또는 중간 | $20,000 또는 높음 | 수준 2 | 완화 | 워크로드에 대한 예산 및 경고를 설정합니다. Advisor 비용 권장 사항을 검토하고 적용합니다. |
비용 리드 | 2024-03-01 |
R05 | 시작 | 작업 | Azure 지역 중단으로 인한 서비스 중단 | 25% 또는 중간 | $150,000 또는 높음 | $37,500 이상 | 수준 1 | 완화 | 중요 업무용 워크로드에는 활성-활성 아키텍처가 있습니다. 다른 워크로드에는 활성-수동 아키텍처가 있습니다. |
작업 리드 | 2024-03-20 |
R06 | 시작 | 데이터 | 부적절한 암호화 및 데이터 수명 주기 관리로 인한 중요한 데이터 손실 | 35% 또는 높음 | $250,000 또는 높음 | $87,500 또는 매우 높음 | 수준 1 | 완화 | 전송 중 및 미사용 시 암호화를 적용합니다. Azure 도구를 사용하여 데이터 수명 주기 정책을 설정합니다. |
데이터 리드 | 2024-04-10 |
R07 | 시작 | 리소스 관리 | 무단 액세스 및 데이터 노출로 이어지는 클라우드 리소스의 잘못된 구성 | 30% 또는 높음 | $100,000 또는 높음 | $30,000 또는 매우 높음 | 수준 2 | 완화 | IaC(Infrastructure as Code)를 사용합니다. Azure Policy를 사용하여 태그 지정 요구 사항을 적용합니다. |
리소스 리드 | 2024-03-25 |
R08 | 시작 | AI | 대표적이지 않은 학습 데이터로 인해 편향된 의사 결정을 내리는 AI 모델 | 15% 또는 낮음 | $200,000 또는 높음 | $30,000 또는 적당히 높음 | 수준 3 | 완화 | 콘텐츠 필터링 완화 기술을 사용합니다. 레드 팀 AI 모델은 매월 표시됩니다. |
AI 잠재 고객 | 2024-05-01 |