다음을 통해 공유

클라우드 자산을 안전하게 관리

  • 아티클

보안 거버넌스는 비즈니스 우선 순위를 아키텍처, 표준 및 정책과 같은 기술 구현과 연결합니다. 거버넌스 팀은 시간이 지남에 따라 보안 태세를 유지하고 개선하기 위해 감독 및 모니터링을 제공합니다. 이러한 팀은 또한 규정 기관이 요구하는 규정 준수를 보고합니다.

위험 관리, 규정 준수, 정책 적용 및 지속적인 모니터링을 비롯한 보안 거버넌스의 주요 구성 요소를 보여 주는 다이어그램

비즈니스 목표 및 위험은 보안을 위한 가장 효과적인 지침을 제공합니다. 이 방법을 사용하면 보안 노력이 조직의 주요 우선 순위에 집중됩니다. 또한 위험 관리 프레임워크 내에서 친숙한 언어 및 프로세스를 사용하여 위험 소유자에게 도움이 됩니다.

클라우드 채택과 관련된 방법론을 보여 주는 다이어그램. 다이어그램에는 팀과 역할, 전략, 계획, 준비, 채택, 관리, 관리 등 각 단계에 대한 상자가 있습니다. 이 문서의 상자가 강조 표시됩니다.

이 문서는 거버넌스 방법론에 대한 지원 가이드입니다. 이 기능은 경험에서 해당 단계를 진행할 때 고려할 수 있는 보안 최적화 영역을 제공합니다.

보안 태세 현대화

문제 보고만 사용하는 것은 보안 상태를 유지하기 위한 효과적인 전략이 아닙니다. 클라우드 시대에 거버넌스에는 다른 팀과 지속적으로 협력하는 적극적인 접근 방식이 필요합니다. 보안 태세 관리는 새로운 필수 기능입니다. 이 역할은 환경 보안의 중요한 문제를 해결합니다. 취약성 관리 및 보안 규정 준수 보고와 같은 주요 영역을 포함합니다.

온-프레미스 환경에서 보안 거버넌스는 환경에 대해 사용할 수 있는 정기적인 데이터를 사용합니다. 이 접근 방식은 종종 오래된 정보를 생성합니다. 클라우드 기술은 현재 보안 상태 및 자산 범위에 대한 주문형 가시성을 제공하여 이 프로세스에 혁명을 일으켰습니다. 이 실시간 인사이트는 거버넌스를 보다 역동적인 조직으로 변환합니다. 보안 표준을 모니터링하고, 지침을 제공하고, 프로세스를 향상시키기 위해 다른 보안 팀과 긴밀한 협업을 촉진합니다.

이상적인 상태에서 거버넌스는 조직 전체에서 지속적인 개선을 추진합니다. 이 지속적인 프로세스는 조직의 모든 부분을 참여시켜 지속적인 보안 향상을 보장합니다.

다음은 보안 거버넌스의 주요 원칙입니다.

  • 자산 및 자산 형식의 연속 검색: 동적 클라우드 환경에서는 정적 인벤토리를 사용할 수 없습니다. 조직은 자산 및 자산 유형에 대한 지속적인 검색에 집중해야 합니다. 클라우드에서 새로운 유형의 서비스가 정기적으로 추가됩니다. 워크로드 소유자는 필요에 따라 애플리케이션 및 서비스 인스턴스 수를 동적으로 조정하여 지속적으로 변화하는 환경을 만듭니다. 이러한 상황은 재고 관리를 지속적으로 발전시키는 분야로 만듭니다. 거버넌스 팀은 이러한 변화 속도를 따라잡기 위해 자산 유형 및 인스턴스를 지속적으로 식별해야 합니다.

  • 자산 보안 상태의 지속적인 개선: 거버넌스 팀은 클라우드 및 공격자를 따라잡기 위해 표준을 개선하고 적용하는 데 집중해야 합니다. IT(정보 기술) 조직은 새로운 위협에 신속하게 대응하고 그에 따라 적응해야 합니다. 공격자는 기술을 지속적으로 발전시키고 방어는 지속적으로 개선되며 업데이트해야 할 수도 있습니다. 초기 설정에서 필요한 모든 보안 조치를 항상 통합할 수는 없습니다.

  • 정책 기반 거버넌스: 이 거버넌스는 정책을 한 번 정의하고 리소스에 자동으로 적용하기 때문에 일관된 구현을 보장합니다. 이 프로세스는 반복되는 수동 작업에 낭비되는 시간과 노력을 제한합니다. Azure Policy 또는 비 Microsoft 정책 자동화 프레임워크를 사용하여 구현되는 경우가 많습니다.

민첩성을 유지하기 위해 모범 사례 지침은 종종 반복적입니다. 여러 원본의 작은 정보를 다이제스트하여 전체 그림을 만들고 지속적으로 작은 조정을 합니다.

Azure 촉진

  • 클라우드용 Microsoft Defender 자동 데이터 수집 프로비저닝을 통해 사용자 환경에서 가상 머신을 지속적으로 검색하고 자동으로 관리하는 데 도움이 될 수 있습니다.

  • 클라우드용 Microsoft Defender 앱은 사용자 환경에서 사용되는 자사 및 타사 소프트웨어를 서비스 앱으로 지속적으로 검색하고 관리하는 데 도움이 될 수 있습니다.

인시던트 준비 및 대응

보안 거버넌스는 준비 유지 관리에 매우 중요합니다. 표준을 엄격하게 적용하려면 강력한 거버넌스 메커니즘 및 관행이 준비 및 응답 메커니즘 및 운영 관행의 구현을 지원해야 합니다. 인시던트 준비 및 대응 표준을 관리하는 데 도움이 되는 다음 권장 사항을 고려합니다.

인시던트 준비 거버넌스

  • 거버넌스 자동화: 도구를 사용하여 가능한 한 거버넌스를 자동화합니다. 도구를 사용하여 인프라 배포에 대한 정책을 관리하고, 강화 조치를 구현하고, 데이터를 보호하고, ID 및 액세스 관리 표준을 유지할 수 있습니다. 이러한 보안 조치의 거버넌스를 자동화하면 환경의 모든 리소스가 사용자 고유의 보안 표준 및 비즈니스에 필요한 모든 규정 준수 프레임워크를 준수하도록 할 수 있습니다. 자세한 내용은 클라우드 거버넌스 정책 적용을 참조 하세요.

  • Microsoft의 보안 기준 준수: 보안 기준으로 사용할 수 있는 클라우드 자산의 서비스에 대한 Microsoft의 보안 권장 사항을 이해합니다. 이러한 기준은 기존 배포가 제대로 보호되고 새 배포가 처음부터 올바르게 구성되도록 하는 데 도움이 될 수 있습니다. 이 방법은 잘못된 구성의 위험을 줄입니다.

인시던트 대응 거버넌스

  • 인시던트 대응 계획의 거버넌스: 인시던트 대응 계획은 자산의 다른 중요한 문서와 동일한 주의를 기울여 유지 관리해야 합니다. 인시던트 대응 계획은 다음과 여야 합니다.

    • 팀이 최신 버전에서 작업하고 버전 관리를 감사할 수 있도록 제어되는 버전입니다.

    • 고가용성 및 보안 스토리지에 저장됩니다.

    • 정기적으로 검토하고 환경을 변경해야 하는 경우 업데이트됩니다.

  • 인시던트 대응 교육 거버넌스: 인시던트 대응을 위한 교육 자료는 감사 가능성을 위해 버전 제어를 받아야 하며, 지정된 시간에 최신 버전이 사용되고 있는지 확인해야 합니다. 또한 인시던트 대응 계획에 대한 업데이트가 이루어지면 정기적으로 검토하고 업데이트해야 합니다.

Azure 촉진

  • Azure Policy 는 조직 표준을 적용하고 대규모 규정 준수를 평가하는 데 사용할 수 있는 정책 관리 솔루션입니다. 많은 Azure 서비스에 대한 정책 적용을 자동화하려면 기본 제공 정책 정의를 활용 합니다.

  • 클라우드용 Defender 보안 표준 준수를 자동화할 수 있는 보안 정책을 제공합니다.

기밀성 거버넌스

효과적인 거버넌스는 엔터프라이즈 클라우드 환경에서 보안 및 규정 준수를 유지하는 데 매우 중요합니다. 거버넌스에는 규정 요구 사항에 따라 데이터를 안전하게 관리하도록 보장하는 정책, 절차 및 제어가 포함됩니다. 중요한 정보를 보호하고 신뢰를 유지하는 데 필수적인 의사 결정, 책임 및 지속적인 개선을 위한 프레임워크를 제공합니다. 이 프레임워크는 CIA Triad의 기밀 유지 원칙을 유지하는 데 매우 중요합니다. 이를 통해 권한이 부여된 사용자 및 프로세스에서만 중요한 데이터에 액세스할 수 있습니다.

  • 기술 정책: 이러한 정책에는 액세스 제어 정책, 데이터 암호화 정책, 데이터 마스킹 또는 토큰화 정책이 포함됩니다. 이러한 정책의 목표는 엄격한 액세스 제어 및 강력한 암호화 방법을 통해 데이터 기밀성을 유지하여 보안 환경을 만드는 것입니다.

  • 서면 정책: 서면 정책은 전체 엔터프라이즈 환경의 관리 프레임워크 역할을 합니다. 데이터 처리, 액세스 및 보호를 위한 요구 사항 및 매개 변수를 설정합니다. 이러한 문서는 조직 전체에서 일관성과 규정 준수를 보장하고 직원 및 IT 직원에게 명확한 지침을 제공합니다. 또한 서면 정책은 감사 및 평가에 대한 참조 지점 역할을 하므로 보안 관행의 차이를 식별하고 해결하는 데 도움이 됩니다.

  • 데이터 손실 보호: 기밀 유지 요구 사항을 지속적으로 준수할 수 있도록 DLP(데이터 손실 방지) 조치에 대한 지속적인 모니터링 및 감사를 수행해야 합니다. 이 프로세스에는 정기적으로 DLP 정책을 검토 및 업데이트하고, 보안 평가를 수행하고, 데이터 기밀성을 손상시킬 수 있는 모든 인시던트에 대응하는 작업이 포함됩니다. 조직 전체에서 프로그래밍 방식으로 DLP를 설정하여 중요한 데이터를 보호하기 위한 일관되고 확장 가능한 접근 방식을 보장합니다.

규정 준수 및 적용 방법 모니터링

엔터프라이즈 클라우드 환경에서 기밀 유지 원칙을 유지하기 위해 규정 준수를 모니터링하고 정책을 적용하는 것이 중요합니다. 이러한 작업은 강력한 보안 표준에 필수적입니다. 이러한 프로세스를 통해 모든 보안 조치가 지속적으로 적용되고 효과적으로 적용되어 중요한 데이터를 무단 액세스 및 위반으로부터 보호할 수 있습니다. 설정된 정책 및 절차를 준수하려면 정기적인 평가, 자동화된 모니터링 및 포괄적인 교육 프로그램이 필수적입니다.

  • 정기적인 감사 및 평가: 정기적인 보안 감사 및 평가를 수행하여 정책이 준수되고 있는지 확인하고 개선 영역을 식별합니다. 이러한 감사는 규제, 산업 및 조직 표준 및 요구 사항을 포함해야 하며 타사 평가자가 편견 없는 평가를 제공하도록 포함할 수 있습니다. 승인된 평가 및 검사 프로그램은 높은 수준의 보안 및 규정 준수를 유지하고 데이터 기밀성의 모든 측면을 철저히 검토하고 해결할 수 있도록 합니다.

  • 자동화된 규정 준수 모니터링: Azure Policy와 같은 도구는 보안 정책 준수 모니터링을 자동화하고 실시간 인사이트 및 경고를 제공합니다. 이 기능은 보안 표준을 지속적으로 준수하는 데 도움이 됩니다. 자동화된 모니터링을 사용하면 정책 위반을 빠르게 감지하고 대응하여 데이터 위반 위험을 줄일 수 있습니다. 또한 설정된 정책에 대한 구성 및 액세스 제어를 정기적으로 확인하여 지속적인 규정 준수를 보장합니다.

  • 교육 및 인식 프로그램: 직원에게 데이터 기밀성 정책 및 모범 사례에 대해 교육하여 보안에 민감한 문화를 조성합니다. 정기적인 교육 세션 및 인식 프로그램은 모든 직원이 데이터 기밀 유지 관리에서 자신의 역할과 책임을 이해하는 데 도움이 됩니다. 이러한 프로그램은 정책 및 새로운 위협의 변화를 반영하도록 정기적으로 업데이트되어야 합니다. 이 전략을 통해 직원들은 항상 최신 지식과 기술을 갖추게 됩니다.

무결성 거버넌스

무결성 보호를 효과적으로 유지하려면 잘 설계된 거버넌스 전략이 필요합니다. 이 전략은 모든 정책 및 절차가 문서화 및 적용되고 모든 시스템이 규정 준수를 위해 지속적으로 감사되도록 해야 합니다.

기밀성 거버넌스 섹션에서 이전에 설명한 지침은 무결성 원칙에도 적용됩니다. 다음 권장 사항은 무결성과 관련이 있습니다.

  • 자동화된 데이터 품질 거버넌스: 상용 솔루션을 사용하여 데이터를 제어하는 것이 좋습니다. 미리 빌드된 솔루션을 사용하여 데이터 거버넌스 팀의 수동 품질 유효성 검사 부담을 덜어줍니다. 또한 이 전략은 유효성 검사 프로세스 중에 무단 액세스 및 데이터 변경의 위험을 줄입니다.

  • 자동화된 시스템 무결성 거버넌스: 중앙 집중식 통합 도구를 사용하여 시스템 무결성 거버넌스를 자동화하는 것이 좋습니다. 예를 들어 Azure Arc 를 사용하면 여러 클라우드, 온-프레미스 데이터 센터 및 에지 사이트에서 시스템을 제어할 수 있습니다. 이와 같은 시스템을 사용하면 거버넌스 책임을 간소화하고 운영 부담을 줄일 수 있습니다.

Azure 촉진

  • Microsoft Purview 데이터 품질 사용하면 OOB(기본 제공) 규칙 및 AI 생성 규칙을 포함하여 코드 없음/낮은 코드 규칙을 사용하여 데이터 품질을 평가할 수 있습니다. 이러한 규칙은 열 수준에서 적용된 다음 집계되어 데이터 자산, 데이터 제품 및 비즈니스 도메인에 대한 점수를 제공합니다. 이 방법을 사용하면 각 도메인에서 데이터 품질을 포괄적으로 볼 수 있습니다.

가용성 거버넌스

클라우드 자산에서 표준화하는 아키텍처 디자인에는 거버넌스가 필요하므로 해당 아키텍처가 벗어나지 않고 구성되지 않는 디자인 패턴으로 인해 가용성이 손상되지 않도록 해야 합니다. 마찬가지로 재해 복구 계획도 잘 유지 관리되도록 관리해야 합니다.

가용성 디자인 거버넌스

  • 표준화된 디자인 패턴 유지 관리: 인프라 및 애플리케이션 디자인 패턴을 코딩하고 엄격하게 적용합니다. 디자인 표준의 유지 관리를 관리하여 최신 상태를 유지하고 무단 액세스 또는 변경으로부터 보호합니다. 이러한 표준을 다른 정책과 동일한 관리로 처리합니다. 가능하면 디자인 패턴 유지 관리 적용을 자동화합니다. 예를 들어 정책을 사용하여 배포할 수 있는 리소스 유형을 제어하고 배포가 허용되는 지역을 지정할 수 있습니다.

재해 복구 거버넌스

  • 재해 복구 계획의 거버넌스: 재해 복구 계획을 인시던트 대응 계획과 동일한 수준의 중요도로 처리합니다. 재해 복구 계획은 다음과 여야 합니다.

    • 버전 제어를 통해 팀이 항상 최신 버전으로 작업하고 해당 버전 관리를 정확도 및 규정 준수에 대해 감사할 수 있습니다.

    • 고가용성 및 보안 스토리지에 저장됩니다.

    • 정기적으로 검토하고 환경 변경이 필요한 경우 업데이트됩니다.

  • 재해 복구 훈련 거버넌스: 재해 복구 훈련은 계획에 대한 교육뿐만 아니라 계획 자체를 개선할 수 있는 학습 기회로도 사용됩니다. 또한 운영 또는 디자인 표준을 구체화하는 데 도움이 될 수 있습니다. 재해 복구 훈련의 세심한 기록 보관은 개선 영역을 식별하고 재해 대비를 위한 감사 요구 사항을 준수하는 데 도움이 됩니다. 이러한 레코드를 계획과 동일한 리포지토리에 저장하면 모든 항목을 구성하고 안전하게 유지할 수 있습니다.

보안 거버넌스 유지

MSM(최신 서비스 관리)

MSM(최신 서비스 관리)은 클라우드 환경에서 IT 서비스를 관리하고 최적화하도록 설계된 일련의 사례 및 도구입니다. MSM의 목표는 IT 서비스를 비즈니스 요구 사항에 맞게 조정하는 것입니다. 이 방법은 높은 수준의 보안 및 규정 준수를 유지하면서 효율적인 서비스 제공을 보장합니다. MSM은 복잡한 클라우드 환경을 관리하는 구조적 접근 방식을 제공합니다. 또한 MSM을 통해 조직은 변화에 신속하게 대응하고, 위험을 완화하며, 지속적인 개선을 보장할 수 있습니다. 또한 MSM은 데이터 보호를 적용하고 액세스 제어를 모니터링하는 도구와 사례를 포함하므로 기밀 유지 원칙과 관련이 있습니다.

  • 통합 보안 관리: MSM 도구는 다양한 보안 기능을 통합하여 포괄적인 보안 관리를 제공하여 클라우드 환경에 대한 전체적인 보기를 제공합니다. 이 방법은 보안 정책을 적용하고 위협을 실시간으로 감지하고 대응하는 데 도움이 됩니다.

  • 정책 관리 및 규정 준수: MSM은 클라우드 환경에서 정책의 생성, 적용 및 모니터링을 용이하게 합니다. 모든 리소스가 조직의 표준 및 규정 요구 사항을 준수하도록 보장합니다. 또한 실시간 인사이트 및 경고를 제공합니다.

  • 지속적인 모니터링 및 개선: MSM은 잠재적인 문제를 사전에 식별하고 해결하기 위해 클라우드 환경의 지속적인 모니터링을 강조합니다. 이 방법은 IT 서비스의 지속적인 최적화 및 개선을 지원하여 비즈니스 목표에 부합하도록 합니다.

다음 단계

향상된 보안을 사용하여 클라우드 자산 관리