보안 팀, 역할 및 기능
이 문서에서는 클라우드 보안에 필요한 보안 역할과 클라우드 인프라 및 플랫폼과 관련하여 수행하는 기능에 대해 설명합니다. 이러한 역할은 보안이 개발에서 운영 및 지속적인 개선에 이르기까지 클라우드 수명 주기의 모든 단계에 속하는지 확인하는 데 도움이 됩니다.
참고 항목
Azure용 클라우드 채택 프레임워크 여러 워크로드를 지원하는 클라우드 인프라 및 플랫폼에 중점을 둡니다. 개별 워크로드에 대한 보안 지침은 Azure Well-Architected Framework의 보안 지침을 참조하세요.
조직의 규모 및 기타 요인에 따라 이 문서에서 설명하는 역할 및 기능은 한 사람이나 팀이 아닌 여러 기능(역할)을 수행하는 사용자가 수행할 수 있습니다. 기업 및 대규모 조직에는 보다 특수한 역할을 가진 더 큰 팀이 있는 경향이 있는 반면, 소규모 조직은 적은 수의 사용자 간에 여러 역할과 기능을 통합하는 경향이 있습니다. 특정 보안 책임은 조직에서 사용하는 기술 플랫폼 및 서비스에 따라 달라집니다.
일부 보안 작업은 기술 및 클라우드 팀에서 직접 수행합니다. 다른 작업은 기술 팀과 공동으로 작동하는 특수 보안 팀에서 수행할 수 있습니다. 조직의 규모와 구조에 관계없이 이해 관계자는 수행해야 하는 보안 작업을 명확하게 이해해야 합니다. 또한 모든 사용자는 조직의 비즈니스 요구 사항 및 보안 위험 허용 범위를 알고 있어야 하므로 주요 요구 사항으로 보안과 균형을 고려하는 클라우드 서비스에 대해 적절한 결정을 내릴 수 있습니다.
이 문서의 지침을 사용하여 팀과 역할이 수행하는 특정 기능과 서로 다른 팀이 상호 작용하여 클라우드 보안 조직의 전체를 다루는 방법을 이해할 수 있습니다.
보안 역할 변환
보안 아키텍처, 엔지니어링 및 운영 역할은 책임과 프로세스를 크게 변환하고 있습니다. (이 변환은 인프라 및 플랫폼 역할의 클라우드 기반 변환과 유사합니다.) 이 보안 역할 변환은 다음과 같은 여러 요인에 의해 구동되었습니다.
보안 도구가 점점 더 SaaS 기반이 됨에 따라 보안 도구 인프라를 설계, 구현, 테스트 및 운영할 필요가 줄어듭니다. 이러한 역할은 보안 요구 사항을 충족하도록 클라우드 서비스 및 솔루션(지속적인 개선 포함)을 구성하는 전체 수명 주기를 지원해야 합니다.
보안이 모든 사람의 업무라는 인식은 보안 및 기술 팀이 함께 작업할 수 있도록 하는 보다 협력적이고 성숙한 접근 방식을 추진하고 있습니다.
기술 엔지니어링 팀은 보안 조치가 워크로드에 효과적으로 적용되도록 해야 합니다. 이러한 변경으로 이러한 의무를 효과적이고 효율적으로 충족하는 방법에 대한 보안 팀의 컨텍스트 및 전문 지식에 대한 필요성이 증가합니다.
보안 팀은 (약간 악의적인) 품질 관리 역할에서 기술 팀을 가능하게 하는 역할로 전환하고 있습니다. 보안 경로를 가장 쉬운 경로로 만듭니다. 보안 팀은 자동화, 설명서, 교육 및 기타 전략을 사용하여 마찰과 장벽을 줄입니다.
보안 팀은 여러 기술 및 시스템에서 보안 문제를 살펴보기 위해 기술을 점점 더 넓히고 있습니다. 좁은 기술 영역(예: 네트워크 보안, 엔드포인트 보안, 애플리케이션 보안 및 클라우드 보안)에 집중하지 않고 전체 공격자 수명 주기를 해결합니다. 클라우드 플랫폼이 서로 다른 기술을 긴밀하게 통합한다는 사실은 이러한 기술 개발의 필요성을 증폭합니다.
기술 및 보안 클라우드 서비스의 변경 속도가 증가하려면 보안 프로세스를 지속적으로 업데이트하여 동기화를 유지하고 위험을 효과적으로 관리해야 합니다.
이제 보안 위협은 네트워크 기반 보안 제어를 안정적으로 우회하므로 보안 팀은 ID, 애플리케이션 보안, 엔드포인트 보안, 클라우드 보안, CI/CD, 사용자 교육 및 기타 컨트롤을 포함하는 제로 트러스트 접근 방식을 채택해야 합니다.
DevOps/DevSecOps 프로세스를 채택하려면 보안 역할이 보안을 기본적으로 가속화된 솔루션 개발 수명 주기에 통합하는 데 더 민첩해야 합니다.
역할 및 팀 개요
다음 섹션에서는 일반적으로 주요 클라우드 보안 기능을 수행하는 팀과 역할에 대한 지침을 제공합니다(이러한 함수가 조직에 있는 경우). 기존 접근 방식을 매핑하고, 격차를 찾고, 조직이 이러한 격차를 해결하기 위해 투자할 수 있는지와 투자해야 하는지 평가해야 합니다.
보안 작업을 수행하는 역할에는 다음 역할이 포함됩니다.
클라우드 서비스 공급자
인프라/플랫폼 팀(아키텍처, 엔지니어링 및 운영)
보안 아키텍처, 엔지니어링 및 자세 관리 팀:
보안 설계자 및 엔지니어(데이터 보안, IAM(ID 및 액세스 관리), 네트워크 보안, 서버 및 컨테이너 보안, 애플리케이션 보안 및 DevSecOps)
소프트웨어 보안 엔지니어(애플리케이션 보안)
자세 관리(취약성 관리/공격 표면 관리)
보안 작업(SecOps/SOC):
심사 분석가(계층 1)
조사 분석가(계층 2)
위협 헌팅
위협 인텔리전스
검색 엔지니어링
GRC(보안 거버넌스, 위험 및 규정 준수)
보안 교육 및 인식
모든 사람이 보안에서 자신의 역할과 다른 팀과 함께 작업하는 방법을 이해하도록 하는 것이 중요합니다. 팀 간 보안 프로세스와 기술 팀의 공동 책임 모델을 문서화하여 이 목표를 달성할 수 있습니다. 이렇게 하면 보장 간격 및 겹치는 노력에서 위험과 낭비를 방지할 수 있습니다. 또한 약한 인증 및 암호화 솔루션을 선택하거나 자체 솔루션을 만들려고 시도하는 팀과 같은 일반적인 실수(안티패턴)를 방지하는 데 도움이 됩니다.
참고 항목
공유 책임 모델은 RACI(책임 있는 책임, 자문, 정보 제공) 모델과 유사합니다. 공유 책임 모델은 누가 결정을 내리는지, 팀이 특정 항목과 결과를 위해 함께 작업하기 위해 무엇을 해야 하는지에 대한 공동 작업을 설명하는 데 도움이 됩니다.
클라우드 서비스 공급자
클라우드 서비스 공급자는 기본 클라우드 플랫폼에 대한 보안 기능 및 기능을 제공하는 사실상 가상 팀 구성원입니다. 또한 일부 클라우드 공급자는 팀에서 보안 상태 및 인시던트 관리에 사용할 수 있는 보안 기능과 기능을 제공합니다. 클라우드 서비스 공급자가 수행하는 작업에 대한 자세한 내용은 클라우드 공유 책임 모델을 참조하세요.
많은 클라우드 서비스 공급자는 요청 시 또는 Microsoft 서비스 신뢰 포털과 같은 포털을 통해 보안 사례 및 제어에 대한 정보를 제공합니다.
인프라/플랫폼 팀(아키텍처, 엔지니어링 및 운영)
인프라/플랫폼 아키텍처, 엔지니어링 및 운영 팀은 클라우드 인프라 및 플랫폼 환경(서버, 컨테이너, 네트워킹, ID 및 기타 기술 구성 요소)에서 클라우드 보안, 개인 정보 보호 및 규정 준수 제어를 구현하고 통합합니다.
엔지니어링 및 운영 역할은 주로 클라우드 또는 CI/CD(지속적인 통합 및 지속적인 배포) 시스템에 초점을 맞출 수 있으며, 클라우드, CI/CD, 온-프레미스 및 기타 인프라 및 플랫폼의 전체 범위에서 작동할 수 있습니다.
이러한 팀은 비즈니스 워크로드를 호스트하는 조직의 클라우드 서비스에 대한 모든 가용성, 확장성, 보안, 개인 정보 보호 및 기타 요구 사항을 충족해야 합니다. 보안, 위험, 규정 준수 및 개인 정보 보호 전문가와 협력하여 이러한 모든 요구 사항을 혼합하고 균형을 이루는 결과를 추진합니다.
보안 아키텍처, 엔지니어링 및 자세 관리 팀
보안 팀은 인프라 및 플랫폼 역할(및 기타 역할)과 협력하여 보안 전략, 정책 및 표준을 실행 가능한 아키텍처, 솔루션 및 디자인 패턴으로 변환하는 데 도움을 줍니다. 이러한 팀은 인프라의 보안과 이를 관리하는 데 사용되는 프로세스 및 도구의 보안을 평가하고 영향을 미쳐 클라우드 팀의 보안 성공을 가능하게 하는 데 집중합니다. 다음은 보안 팀이 인프라에 대해 수행하는 몇 가지 일반적인 작업입니다.
보안 설계자와 엔지니어 는 클라우드 환경에 대한 보안 정책, 표준 및 지침을 조정하여 인프라/플랫폼과 협력하여 제어를 설계하고 구현합니다. 보안 설계자와 엔지니어는 다음을 비롯한 광범위한 요소를 지원합니다.
테넌트/구독. 보안 설계자 및 엔지니어는 인프라 설계자 및 엔지니어 및 액세스 설계자(ID, 네트워킹, 앱 등)와 협력하여 클라우드 공급자(보안 상태 관리 팀에서 모니터링)에 걸쳐 클라우드 테넌트, 구독 및 계정에 대한 보안 구성을 설정하는 데 도움을 줍니다.
IAM. 액세스 설계자(ID, 네트워킹, 앱 등)는 ID 엔지니어 및 운영 및 인프라/플랫폼 팀과 협력하여 액세스 관리 솔루션을 설계, 구현 및 운영합니다. 이러한 솔루션은 권한 있는 사용자가 비즈니스 프로세스를 따라 조직 리소스에 쉽고 안전하게 액세스할 수 있도록 하면서 조직의 비즈니스 자산을 무단으로 사용하지 않도록 보호합니다. 이러한 팀은 ID 디렉터리 및 SSO(Single Sign-On) 솔루션, MFA(암호 없는 다단계 인증), 위험 기반 조건부 액세스 솔루션, 워크로드 ID, PIM/PAM(권한 있는 ID/액세스 관리), CIEM(클라우드 인프라 및 권한 관리) 등과 같은 솔루션을 작업합니다. 또한 이러한 팀은 네트워크 엔지니어 및 운영과 협력하여 SSE(보안 서비스 에지) 솔루션을 설계, 구현 및 운영합니다. 워크로드 팀은 이러한 기능을 활용하여 개별 워크로드 및 애플리케이션 구성 요소에 대한 원활하고 안전한 액세스를 제공할 수 있습니다.
데이터 보안. 보안 설계자와 엔지니어는 데이터 및 AI 설계자 및 엔지니어와 협력하여 인프라/플랫폼 팀이 개별 워크로드에서 데이터를 분류하고 보호하는 데 사용할 수 있는 모든 데이터 및 고급 기능에 대한 기본 데이터 보안 기능을 수립할 수 있도록 지원합니다. 기본 데이터 보안에 대한 자세한 내용은 Microsoft 보안 데이터 보호 벤치마크를 참조하세요. 개별 워크로드에서 데이터를 보호하는 방법에 대한 자세한 내용은 잘 설계된 프레임워크 지침을 참조하세요.
네트워크 보안. 보안 설계자 및 엔지니어는 네트워크 설계자 및 엔지니어와 협력하여 인프라/플랫폼 팀이 클라우드 연결(프라이빗/임대 라인), 원격 액세스 전략 및 솔루션, 수신 및 송신 방화벽, WAF(웹 애플리케이션 방화벽) 및 네트워크 세분화와 같은 기본 네트워크 보안 기능을 수립할 수 있도록 지원합니다. 또한 이러한 팀은 ID 설계자, 엔지니어 및 운영과 협력하여 SSE 솔루션을 설계, 구현 및 운영합니다. 워크로드 팀은 이러한 기능을 활용하여 개별 워크로드 및 애플리케이션 구성 요소의 개별 보호 또는 격리를 제공할 수 있습니다.
서버 및 컨테이너 보안. 보안 설계자 및 엔지니어는 인프라 설계자 및 엔지니어와 협력하여 인프라/플랫폼 팀이 서버, VM(가상 머신), 컨테이너, 오케스트레이션/관리, CI/CD 및 관련 시스템에 대한 기본 보안 기능을 수립할 수 있도록 지원합니다. 이러한 팀은 검색 및 인벤토리 프로세스, 보안 기준/벤치마크 구성, 유지 관리 및 패치 프로세스, 실행 가능한 이진 파일, 템플릿 이미지, 관리 프로세스 등에 대한 허용 목록을 설정합니다. 워크로드 팀은 이러한 기본 인프라 기능을 활용하여 개별 워크로드 및 애플리케이션 구성 요소에 대한 서버 및 컨테이너에 대한 보안을 제공할 수도 있습니다.
소프트웨어 보안 기반(애플리케이션 보안 및 DevSecOps용). 보안 설계자 및 엔지니어는 소프트웨어 보안 엔지니어와 협력하여 인프라/플랫폼 팀이 개별 워크로드, 코드 스캔, SBOM(소프트웨어 자료 청구) 도구, WAF 및 애플리케이션 검사에서 사용할 수 있는 애플리케이션 보안 기능을 설정할 수 있도록 지원합니다. SDL(보안 개발 수명 주기)을 설정하는 방법에 대한 자세한 내용은 DevSecOps 컨트롤을 참조하세요. 워크로드 팀이 이러한 기능을 사용하는 방법에 대한 자세한 내용은 잘 설계된 프레임워크의 보안 개발 수명 주기 지침을 참조하세요.
소프트웨어 보안 엔지니어 는 IaC(Infrastructure as Code), CI/CD 워크플로 및 기타 사용자 지정 빌드 도구 또는 애플리케이션을 포함하여 인프라를 관리하는 데 사용되는 코드, 스크립트 및 기타 자동화된 논리를 평가합니다. 이러한 엔지니어는 컴파일된 애플리케이션, 스크립트, 자동화 플랫폼 구성 및 공격자가 시스템 작업을 조작할 수 있는 다른 형태의 실행 코드 또는 스크립트에서 공식 코드를 보호해야 합니다. 이 평가는 단순히 시스템의 위협 모델 분석을 수행하거나 코드 검토 및 보안 검사 도구를 포함할 수 있습니다. SDL을 설정하는 방법에 대한 자세한 내용은 SDL 사례 지침을 참조하세요.
자세 관리(취약성 관리/공격 표면 관리)는 기술 운영 팀의 보안 활성화에 중점을 둔 운영 보안 팀입니다. 자세 관리는 이러한 팀이 공격 기술을 차단하거나 완화하기 위해 컨트롤의 우선 순위를 지정하고 구현하는 데 도움이 됩니다. 자세 관리 팀은 모든 기술 운영 팀(클라우드 팀 포함)에서 작업하며 종종 보안 요구 사항, 규정 준수 요구 사항 및 거버넌스 프로세스를 이해하는 주요 수단으로 사용됩니다.
자세 관리는 종종 소프트웨어 엔지니어가 애플리케이션 개발 팀의 보안 CoE 역할을 하는 방식과 유사하게 보안 인프라 팀을 위한 CoE(우수 센터)의 역할을 합니다. 이러한 팀의 일반적인 작업에는 다음이 포함됩니다.
보안 상태를 모니터링합니다. Microsoft 보안 노출 관리, Microsoft Entra 사용 권한 관리, 비 Microsoft 취약성 및 EASM(외부 공격 표면 관리) 및 CIEM 도구, 사용자 지정 보안 태세 도구 및 대시보드와 같은 자세 관리 도구를 사용하여 모든 기술 시스템을 모니터링합니다. 또한 자세 관리는 분석을 수행하여 다음을 통해 인사이트를 제공합니다.
가능성이 높고 공격 경로가 손상될 것으로 예상합니다. 공격자는 여러 시스템 간에 여러 자산과 취약성을 연결하여 "그래프로 생각"하고 비즈니스에 중요한 시스템에 대한 경로를 찾습니다(예: 사용자 엔드포인트를 손상한 다음 해시/티켓을 사용하여 관리자 자격 증명을 캡처한 다음 중요 비즈니스용 데이터에 액세스). 자세 관리 팀은 보안 설계자 및 엔지니어와 협력하여 기술 목록 및 보고서에 항상 표시되지 않는 이러한 숨겨진 위험을 검색하고 완화합니다.
보안 평가를 수행하여 시스템 구성 및 운영 프로세스를 검토하여 보안 상태 도구에서 기술 데이터를 넘어 심층적인 이해와 인사이트를 얻습니다. 이러한 평가는 비공식적인 검색 대화 또는 공식적인 위협 모델링 연습의 형태를 취할 수 있습니다.
우선 순위 지정을 지원합니다. 기술 팀이 자산을 사전에 모니터링하고 보안 작업의 우선 순위를 지정하도록 지원합니다. 자세 관리는 보안 규정 준수 요구 사항 외에도 보안 위험 영향(경험, 보안 운영 인시던트 보고서 및 기타 위협 인텔리전스, 비즈니스 인텔리전스 및 기타 원본에 의해 통보됨)을 고려하여 위험 완화 작업을 컨텍스트에 적용하는 데 도움이 됩니다.
훈련, 멘토, 챔피언. 교육, 멘토링 개인 및 비공식 지식 이전을 통해 기술 엔지니어링 팀의 보안 지식과 기술을 향상합니다. 또한 자세 관리 역할은 공식적인 보안 교육 및 보안에 대한 조직의 준비 상태/교육 및 보안 교육 및 참여 역할과 함께 작동할 수 있으며, 기술 팀 내에서 보안을 설정하여 동료에게 보안을 전파하고 교육할 수 있습니다.
격차를 식별하고 수정을 옹호합니다. 전반적인 추세, 프로세스 격차, 도구 격차 및 위험 및 완화에 대한 기타 인사이트를 식별합니다. 자세 관리 역할은 보안 설계자 및 엔지니어와 협업하고 통신하여 솔루션을 개발하고, 솔루션 자금 조달 사례를 구축하고, 수정 사항을 롤아웃하는 데 도움을 줍니다.
보안 작업(SecOps)과 조정합니다. 기술 팀이 감지 엔지니어링 및 위협 헌팅 팀과 같은 SecOps 역할을 수행할 수 있도록 지원합니다. 모든 운영 역할에서 이러한 연속성을 통해 탐지가 제대로 수행되고 구현되고, 보안 데이터를 인시던트 조사 및 위협 헌팅에 사용할 수 있고, 협업을 위한 프로세스가 마련되어 있는지 등을 확인할 수 있습니다.
보고서를 제공합니다. 보안 인시던트, 추세 및 성능 메트릭에 대한 시기적절하고 정확한 보고서를 고위 관리 및 이해 관계자에게 제공하여 조직 위험 프로세스를 업데이트합니다.
자세 관리 팀은 종종 기존 소프트웨어 취약성 관리 역할에서 진화하여 Open Group 제로 트러스트 참조 모델에 설명된 전체 기능, 구성 및 운영 취약성 유형을 해결합니다. 각 유형의 취약성을 통해 권한 없는 사용자(공격자 포함)가 소프트웨어 또는 시스템을 제어하여 비즈니스 자산에 손상을 줄 수 있습니다.
기능 취약성은 소프트웨어 디자인 또는 구현에서 발생합니다. 영향을 받는 소프트웨어를 무단으로 제어할 수 있습니다. 이러한 취약성은 자체 팀이 개발한 소프트웨어의 결함이거나 상용 또는 오픈 소스 소프트웨어의 결함일 수 있습니다(일반적으로 일반적인 취약성 및 노출 식별자에 의해 추적됨).
구성 취약성 은 시스템 기능에 대한 무단 액세스를 허용하는 시스템의 잘못된 구성입니다. 이러한 취약성은 구성 드리프트라고도 하는 지속적인 작업 중에 도입될 수 있습니다. 소프트웨어 및 시스템의 초기 배포 및 구성 중에 또는 공급업체의 약한 보안 기본값에 의해 도입될 수도 있습니다. 일반적인 예는 다음과 같습니다.
DNS 레코드 및 그룹 멤버 자격과 같은 항목에 대한 무단 액세스를 허용하는 분리된 개체입니다.
리소스에 대한 과도한 관리 역할 또는 권한
알려진 보안 문제가 있는 약한 인증 프로토콜 또는 암호화 알고리즘을 사용합니다.
약한 기본 구성 또는 기본 암호입니다.
운영 취약성 은 시스템의 무단 액세스 또는 제어를 허용하는 표준 운영 프로세스 및 사례의 약점입니다. 예를 들면 다음과 같습니다.
관리자가 자신의 개별 계정 대신 공유 계정을 사용하여 권한 있는 작업을 수행합니다.
공격자가 악용할 수 있는 권한 상승 경로를 만드는 "찾아보기" 구성을 사용합니다. 이 취약성은 높은 권한의 관리 계정이 낮은 신뢰 사용자 디바이스 및 워크스테이션(예: 표준 사용자 워크스테이션 및 사용자 소유 디바이스)에 로그인할 때 발생하며, 때로는 이러한 위험을 효과적으로 완화하지 않는 점프 서버를 통해 발생합니다. 자세한 내용은 권한 있는 액세스 및 권한 있는 액세스 디바이스 보안을 참조하세요.
보안 작업(SecOps/SOC)
SecOps 팀은 SOC(보안 운영 센터)라고도 합니다. SecOps 팀은 조직의 자산에 대한 악의적인 액세스를 신속하게 찾고 제거하는 데 중점을 둡니다. 기술 운영 및 엔지니어링 팀과 긴밀한 파트너십을 맺고 있습니다. SecOps 역할은 기존 IT, OT(운영 기술) 및 IoT(사물 인터넷)를 포함하여 조직의 모든 기술에서 작동할 수 있습니다. 다음은 클라우드 팀과 가장 자주 상호 작용하는 SecOps 역할입니다.
심사 분석가(계층 1). 잘 알려진 공격 기술에 대한 인시던트 감지에 대응하고 문서화된 절차를 따라 신속하게 해결하거나 적절하게 조사 분석가에게 에스컬레이션합니다. SecOps 범위 및 완성도 수준에 따라 전자 메일, 엔드포인트 맬웨어 방지 솔루션, 클라우드 서비스, 네트워크 검색 또는 기타 기술 시스템의 검색 및 경고가 포함될 수 있습니다.
조사 분석가(계층 2). 더 많은 경험과 전문 지식이 필요한 더 높은 복잡성 및 심각도 인시던트 조사에 대응합니다(잘 문서화된 해결 절차 외). 이 팀은 일반적으로 살아있는 인간 적들이 수행하는 공격 및 여러 시스템에 영향을 주는 공격을 조사합니다. 기술 운영 및 엔지니어링 팀과 긴밀한 파트너십을 맺고 인시던트 조사 및 해결을 위해 노력하고 있습니다.
위협을 헌팅합니다. 표준 검색 메커니즘을 회피한 기술 자산 내에서 숨겨진 위협을 사전에 검색합니다. 이 역할은 고급 분석 및 가설 기반 조사를 사용합니다.
위협 인텔리전스 공격자 및 위협에 대한 정보를 수집하여 비즈니스, 기술 및 보안을 비롯한 모든 이해 관계자에게 전파합니다. 위협 인텔리전스 팀은 연구를 수행하고, 결과를 공유하고(공식적이거나 비공식적으로) 클라우드 보안 팀을 비롯한 다양한 이해 관계자에게 배포합니다. 이러한 보안 컨텍스트를 통해 이러한 팀은 디자인, 구현, 테스트 및 운영에서 실제 공격 정보를 사용하고 지속적으로 개선하므로 클라우드 서비스를 공격에 보다 탄력적으로 적용할 수 있습니다.
검색 엔지니어링. 사용자 지정 공격 탐지를 만들고 공급업체 및 광범위한 커뮤니티에서 제공하는 공격 탐지를 사용자 지정합니다. 이러한 사용자 지정 공격 탐지는 XDR(확장 검색 및 대응) 도구 및 SIEM(보안 정보 및 이벤트 관리) 도구에서 일반적으로 발견되는 일반적인 공격에 대한 공급업체 제공 검색을 보완합니다. 검색 엔지니어는 클라우드 보안 팀과 협력하여 검색을 설계 및 구현할 수 있는 기회, 이를 지원하는 데 필요한 데이터 및 검색에 대한 응답/복구 절차를 식별합니다.
보안 거버넌스, 위험 및 규정 준수
GRC(보안 거버넌스, 위험 및 규정 준수)는 보안 팀의 기술 작업을 조직의 목표 및 기대와 통합하는 일련의 상호 연결된 분야입니다. 이러한 역할과 팀은 둘 이상의 분야의 하이브리드이거나 개별 역할일 수 있습니다. 클라우드 팀은 클라우드 기술 수명 주기 동안 이러한 각 분야와 상호 작용합니다.
거버넌스 분야는 조직이 보안의 모든 측면을 일관되게 구현하도록 하는 데 중점을 둔 기본 기능입니다. 거버넌스 팀은 의사 결정 권한(어떤 결정을 내리는 사람)에 초점을 맞추고 팀을 연결하고 안내하는 프레임워크를 처리합니다. 효과적인 거버넌스가 없으면 모든 올바른 제어, 정책 및 기술을 가진 조직은 의도된 방어가 잘 구현되지 않거나 완전히 또는 전혀 구현되지 않는 영역을 찾은 공격자가 여전히 위반할 수 있습니다.
위험 관리 분야는 조직이 위험을 효과적으로 평가, 이해 및 완화하도록 하는 데 중점을 둡니다. 위험 관리 역할은 조직 전체의 많은 팀과 협력하여 조직의 위험을 명확하게 표현하고 최신 상태로 유지합니다. 클라우드 인프라 및 플랫폼에서 많은 중요한 비즈니스 서비스를 호스팅할 수 있으므로 클라우드 및 위험 팀은 협업하여 이 조직의 위험을 평가하고 관리해야 합니다. 또한 공급망 보안은 외부 공급업체, 오픈 소스 구성 요소 및 파트너와 관련된 위험에 중점을 둡니다.
규정 준수 분야는 시스템과 프로세스가 규정 요구 사항 및 내부 정책을 준수하도록 보장합니다. 이 분야가 없으면 조직은 외부 의무를 준수하지 않는 것과 관련된 위험에 노출될 수 있습니다(벌금, 책임, 일부 시장에서 운영할 수 없는 수익 손실 등). 규정 준수 요구 사항은 일반적으로 공격자 진화 속도를 따라갈 수 없지만 중요한 요구 사항 소스입니다.
이러한 세 분야는 모두 모든 기술 및 시스템에서 작동하여 모든 팀에서 조직의 결과를 이끌어 낼 수 있습니다. 또한 세 가지 모두 서로로부터 얻는 컨텍스트에 의존하며 위협, 비즈니스 및 기술 환경에 대한 현재의 높은 충실도 데이터로부터 상당한 이점을 얻습니다. 또한 이러한 분야는 구현할 수 있는 실행 가능한 비전을 표현하기 위해 아키텍처에 의존하며, 보안 교육 및 정책을 사용하여 규칙을 수립하고 여러 일상적인 결정을 통해 팀을 안내합니다.
클라우드 엔지니어링 및 운영 팀은 GRC 토픽에서 자세 관리 역할, 규정 준수 및 감사 팀, 보안 아키텍처 및 엔지니어링 또는 CISO(최고 정보 보안 책임자) 역할을 사용할 수 있습니다.
보안 교육 및 정책
조직은 모든 역할에 기본적인 보안 문해력과 보안과 관련된 작업 및 수행 방법에 대한 지침이 있는지 확인해야 합니다. 이 목표를 달성하려면 서면 정책과 교육의 조합이 필요합니다. 클라우드 팀을 위한 교육은 직접 함께 작업하는 보안 전문가의 비공식 멘토링이 될 수도 있고, 문서화된 커리큘럼과 지정된 보안 챔피언을 포함하는 공식 프로그램이 될 수도 있습니다.
대규모 조직에서 보안 팀은 공식적인 보안 교육에 대한 조직 준비/교육 및 보안 교육 및 참여 역할과 협력하고 기술 팀 내에서 보안 챔피언을 설정하여 동료에게 보안을 전파하고 교육합니다.
보안 교육 및 정책은 각 역할이 다음을 이해하는 데 도움이 되어야 합니다.
왜. 보안이 중요한 이유와 역할 책임의 맥락에서 각 역할을 보여 줍니다. 사람들이 보안이 왜 중요한지 명확하게 이해하지 못한다면, 그들은 보안이 중요하지 않다고 판단하고 다른 것으로 넘어갈 것입니다.
무엇. 이미 이해하고 있는 언어로 수행해야 하는 보안 작업을 요약합니다. 사람들이 무엇을 해야 할지 모르는 경우 보안이 중요하지 않거나 관련이 없다고 가정하고 다른 것으로 이동합니다.
어떻게. 각 역할에 해당 역할에 보안 지침을 적용하는 방법에 대한 명확한 지침이 있는지 확인합니다. 실제로 수행하라는 요청을 받는 방법을 모르는 경우(예: 패치 서버, 링크가 피싱 링크인지 식별, 메시지를 제대로 보고하거나, 코드를 검토하거나, 위협 모델을 수행) 실패하고 다른 작업으로 이동합니다.
예제 시나리오: 팀 간의 일반적인 상호 운용성
조직에서 WAF를 배포하고 운영할 때 여러 보안 팀이 협업하여 기존 보안 인프라에 효과적인 배포, 관리 및 통합을 보장해야 합니다. 엔터프라이즈 보안 조직에서 팀 간의 상호 운용성은 다음과 같습니다.
- 계획 및 디자인
- 거버넌스 팀은 향상된 웹 애플리케이션 보안의 필요성을 식별하고 WAF에 대한 예산을 할당합니다.
- 네트워크 보안 설계자는 WAF 배포 전략을 설계하여 기존 보안 제어와 원활하게 통합하고 조직의 보안 아키텍처와 일치하도록 합니다.
- 구현
- 네트워크 보안 엔지니어는 설계자의 설계에 따라 WAF를 배포하여 특정 웹 애플리케이션을 보호하도록 구성하고 모니터링을 사용하도록 설정합니다.
- IAM 엔지니어는 액세스 제어를 설정하여 권한 있는 직원만 WAF를 관리할 수 있도록 합니다.
- 모니터링 및 관리
- 자세 관리 팀은 SOC가 WAF에 대한 모니터링 및 경고를 구성하고 WAF 활동을 추적하도록 대시보드를 설정하는 지침을 제공합니다.
- 위협 인텔리전스 및 탐지 엔지니어링 팀은 WAF와 관련된 인시던트에 대한 대응 계획을 개발하고 시뮬레이션을 수행하여 이러한 계획을 테스트하는 데 도움이 됩니다.
- 규정 준수 및 위험 관리
- 규정 준수 및 위험 관리 책임자는 WAF 배포를 검토하여 규정 요구 사항을 충족하고 정기적인 감사를 수행합니다.
- 데이터 보안 엔지니어는 WAF의 로깅 및 데이터 보호 조치가 데이터 개인 정보 보호 규정을 준수하도록 합니다.
- 지속적인 개선 및 교육
- DevSecOps 엔지니어는 WAF 관리를 CI/CD 파이프라인에 통합하여 업데이트 및 구성이 자동화되고 일관되도록 합니다.
- 보안 교육 및 참여 전문가는 모든 관련 담당자가 WAF를 효과적으로 사용하고 관리하는 방법을 이해할 수 있도록 교육 프로그램을 개발하고 제공합니다.
- 클라우드 거버넌스 팀 구성원은 WAF 배포 및 관리 프로세스를 검토하여 조직 정책 및 표준에 부합하는지 확인합니다.
이러한 역할은 효과적으로 협업하여 WAF가 올바르게 배포되고 지속적으로 모니터링, 관리 및 개선되어 진화하는 위협으로부터 조직의 웹 애플리케이션을 보호합니다.