안전한 클라우드 채택 계획
클라우드 채택 계획을 개발하는 것은 어려울 수 있으며 기술적인 문제가 많은 경우가 많습니다. 특히 클라우드 인프라에 대한 레거시 워크로드를 업데이트할 때 클라우드 채택 프로세스의 각 단계를 신중하게 계획해야 합니다. 처음부터 보안 클라우드 자산을 구축하려면 보안 고려 사항을 채택 계획의 모든 단계에 통합해야 합니다. 이 방법은 새 클라우드 환경이 처음부터 안전하게 보호되도록 하는 데 도움이 됩니다.
마이그레이션 또는 구현에 대한 결정을 내릴 때 비즈니스에 적합한 가장 높은 보안 전략 자세를 디자인합니다. 디자인을 시작할 때 성능 및 비용 효율성보다 보안 우선 순위를 지정합니다. 이 방법을 사용하면 나중에 워크로드를 다시 디자인해야 할 수 있는 위험을 초래하지 않습니다. 이 문서에 제공된 지침은 보안을 기본 원칙으로 사용하는 클라우드 채택 계획을 개발하는 데 도움이 될 수 있습니다.
이 문서는 계획 방법론에 대한 지원 가이드입니다. 이 기능은 경험에서 해당 단계를 진행할 때 고려할 수 있는 보안 최적화 영역을 제공합니다.
랜딩 존 채택 계획
클라우드 자산 기본 요소를 빌드하려면 랜딩 존 접근 방식을 사용합니다. 이 권장 사항은 특히 엔터프라이즈 및 대규모 조직에 적용됩니다. 소규모 조직 및 신생 기업은 클라우드 여정을 시작할 때 이 접근 방식을 채택하면 도움이 되지 않을 수 있습니다. 그러나 전체 랜딩 존을 만들지 않더라도 이러한 영역을 클라우드 채택 계획에 포함해야 하므로 디자인 영역을 이해하는 것이 중요합니다.
Azure 랜딩 존 접근 방식을 사용하여 클라우드 자산에 대한 견고한 기반을 설정할 수 있습니다. 이 기반은 모범 사례에 따라 보다 효율적으로 보호할 수 있는 관리 가능한 환경을 보장하는 데 도움이 됩니다.
랜딩 존: 랜딩 존은 워크로드의 기초 역할을 하는 클라우드에서 미리 구성되고 보안이 강화된 확장 가능한 환경입니다. 여기에는 네트워크 토폴로지, ID 관리, 보안 및 거버넌스 구성 요소가 포함됩니다.
이점: 랜딩 존은 클라우드 환경을 표준화하는 데 도움이 될 수 있습니다. 이 방법은 보안 정책의 일관성과 규정 준수를 보장하는 데 도움이 됩니다. 또한 보다 간편한 관리 및 확장성을 지원합니다.
보안 태세 현대화
보안 현대화 계획을 개발할 때는 새로운 기술과 운영 관행을 채택하는 데 집중해야 합니다. 이러한 보안 조치를 비즈니스 목표에 맞추는 것이 중요합니다.
제로 트러스트 채택 계획
채택 계획을 개발할 때 계획 전반에 제로 트러스트 원칙을 통합하여 조직 전체의 팀이 담당하는 단계와 단계를 구성하고 활동을 수행하는 방법을 파악할 수 있습니다.
Microsoft 제로 트러스트 접근 방식은 배포 및 구성 권장 사항을 포함하여 7가지 기술 핵심 요소에 대한 지침을 제공합니다. 계획을 수립할 때 각 핵심 요소를 탐색하여 이러한 영역을 포괄적으로 적용할 수 있습니다.
제로 트러스트 기술 핵심 요소
엔드포인트: 데이터와 상호 작용하는 디바이스 및 앱을 비롯한 모든 엔드포인트를 보호하기 위한 지침입니다. 이 지침은 엔드포인트의 연결 위치 및 연결 방법에 관계없이 적용됩니다.
데이터: 심층 방어 방법을 사용하여 모든 데이터를 보호하기 위한 지침입니다.
앱: 사용하는 클라우드 앱 및 서비스를 보호하기 위한 지침입니다.
인프라: 엄격한 정책 및 적용 전략을 통해 클라우드 인프라를 보호하기 위한 지침입니다.
네트워크: 분할, 트래픽 검사 및 엔드 투 엔드 암호화를 통해 클라우드 네트워크를 보호하기 위한 지침입니다.
가시성, 자동화 및 오케스트레이션: 제로 트러스트 원칙을 적용하는 데 도움이 되는 운영 정책 및 사례에 대한 지침입니다.
비즈니스 조정
기술 및 비즈니스 이해 관계자 간의 맞춤은 보안 현대화 계획의 성공에 매우 중요합니다. 프로세스 및 정책을 조정하는 가장 좋은 방법을 찾으려면 계획 개발을 공동 작업 프로세스로 접근하고 이해 관계자와 협상해야 합니다. 비즈니스 이해 관계자는 현대화 계획이 비즈니스 기능에 미치는 영향을 이해해야 합니다. 기술 이해 관계자는 중요한 비즈니스 기능을 안전하고 그대로 유지하기 위해 양보할 위치를 알고 있어야 합니다.
인시던트 준비 및 대응
준비 계획: 취약성 관리 솔루션, 위협 및 인시던트 검색 시스템 및 강력한 인프라 모니터링 솔루션을 평가하여 인시던트 준비를 계획합니다. 공격 노출 영역을 줄이기 위한 인프라 강화를 계획합니다.
인시던트 대응 계획: 클라우드 보안을 보장하는 강력한 인시던트 대응 계획을 수립합니다. 계획 단계에서 조사, 완화 및 통신과 같은 역할 및 주요 단계를 식별하여 인시던트 대응 계획 초안 작성을 시작합니다. 클라우드 자산을 만들 때 이러한 역할 및 단계에 대한 세부 정보를 추가합니다.
기밀 유지 계획
데이터 손실 방지: 기업 전체에서 조직 데이터 기밀성을 설정하려면 특정 데이터 손실 방지 정책 및 절차를 세심하게 계획합니다. 이 프로세스에는 중요한 데이터 식별, 데이터 보호 방법 결정, 암호화 기술 배포 계획 및 보안 액세스 제어가 포함됩니다.
클라우드 마이그레이션 또는 개발 계획에 데이터 보호 요구 사항을 포함합니다.
데이터 분류: 민감도 및 규정 요구 사항에 따라 데이터를 식별하고 분류합니다. 이 프로세스를 통해 적절한 보안 조치를 적용할 수 있습니다.
암호화: 미사용 및 전송 중에 데이터가 암호화되었는지 확인합니다. 강력한 암호화 표준을 사용하여 중요한 정보를 보호합니다.
액세스 제어: 권한 있는 사용자만 중요한 데이터에 액세스할 수 있도록 엄격한 액세스 제어를 구현합니다. 다단계 인증 및 역할 기반 액세스 제어를 사용합니다. 제로 트러스트 원칙을 따르고 항상 사용 가능한 모든 데이터 요소를 기반으로 인증하고 권한을 부여하여 명시적으로 확인합니다. 이러한 데이터 요소에는 사용자 ID, 위치, 디바이스 상태, 서비스 또는 워크로드, 데이터 분류 및 변칙이 포함됩니다.
무결성 계획
기밀 유지에 권장되는 조치 외에도 특정 데이터 및 시스템 무결성 측정값을 구현하는 것이 좋습니다.
데이터 및 시스템 무결성 관찰 및 거버넌스 계획: 클라우드 채택 또는 개발 계획에는 데이터 및 시스템에서 데이터 위생을 위한 무단 변경 및 정책을 모니터링하는 계획이 포함됩니다.
무결성 인시던트 계획: 인시던트 대응 계획에서 무결성에 대한 고려 사항을 포함합니다. 이러한 고려 사항은 데이터 또는 시스템에 대한 무단 변경과 모니터링 및 데이터 위생 사례를 통해 검색된 유효하지 않거나 손상된 데이터를 수정하는 방법을 해결해야 합니다.
가용성 계획
클라우드 채택 계획은 아키텍처 디자인 및 운영에 대한 표준을 채택하여 가용성을 해결해야 합니다. 이러한 표준은 구현 및 향후 단계를 안내하고 가용성 요구 사항을 달성할 수 있는 방법에 대한 청사진을 제공합니다. 클라우드 채택 계획을 빌드할 때 다음 권장 사항을 고려합니다.
인프라 및 애플리케이션 디자인 패턴 표준화: 워크로드의 안정성을 보장하기 위해 인프라 및 애플리케이션 디자인 패턴을 표준화합니다. 디자인을 반복하고 섀도 IT 동작을 방지하기 위해 불필요한 복잡성을 방지합니다. 디자인 표준을 정의할 때 고가용성 인프라 및 복원력 있는 애플리케이션에 대한 모범 사례를 따릅니다.
개발 도구 및 사례 표준화: 개발 도구 및 사례에 대해 잘 정의되고 적용 가능한 표준을 개발합니다. 이 방법을 사용하면 배포가 CIA Triad의 원칙을 준수하고 안전한 배포에 대한 모범 사례를 통합할 수 있습니다.
운영 도구 및 사례 표준화: 기밀성, 무결성 및 가용성을 유지하기 위해 운영자가 따라야 하는 잘 정의되고 엄격하게 시행된 표준에 따라 달라집니다. 일관되게 표준을 따르고 정기적으로 학습하여 시스템이 공격에 탄력적이고 인시던트에 효율적으로 대응할 수 있도록 합니다.
보안 유지 계획
보안 상태의 장기적인 유지를 위해 조직 전체에서 지속적으로 개선되는 사고 방식을 채택합니다. 이 접근 방식에는 일상적인 관행에서 운영 표준을 준수할 뿐만 아니라 개선의 기회를 적극적으로 모색하는 것이 포함됩니다. 정기적으로 표준 및 정책을 검토하고 지속적인 개선 사고 방식을 촉진하는 교육 프로그램을 구현합니다.
보안 기준을 계획하려면 먼저 현재 보안 상태를 이해하여 기준을 설정해야 합니다. Microsoft Secure Score와 같은 자동화된 도구를 사용하여 기준을 신속하게 설정하고 개선 영역을 파악할 수 있습니다.