소유권 요구 사항 확인
이 문서는 클라우드용 Microsoft Defender를 사용하여 다중 클라우드 리소스에서 CSPM(클라우드 보안 태세 관리) 및 CWP(클라우드 워크로드 보호) 솔루션을 설계할 때 지침을 제공하는 시리즈 중 하나입니다.
목표
다중 클라우드 보안 솔루션과 관련된 팀을 식별하고, 팀을 조정하고 협력하는 방법을 계획합니다.
보안 함수
조직의 규모에 따라 별도의 팀이 보안 기능을 관리합니다. 복잡한 기업에서는 기능이 많을 수 있습니다.
| 보안 기능 | 세부 정보 |
|---|---|
| 보안 작업(SecOps) | 악의적인 행위자가 회사 리소스에 액세스하는 시간을 줄임으로써 조직의 위험을 줄임 공격에 대한 사후 탐지, 분석, 대응 및 수정 사전 위협 헌팅 |
| 보안 아키텍처 | 비즈니스를 위험으로부터 보호하는 구성 요소, 도구, 프로세스, 팀 및 기술을 요약하고 문서화하는 보안 설계 |
| 파트너 규정 준수 관리 | 조직이 규정 요구 사항 및 내부 정책을 준수하는지 확인하는 프로세스입니다. |
| 사람 보안 | 인적 위험으로부터 보안에 이르기까지 조직 보호 |
| 애플리케이션 보안 및 DevSecOps | DevOps 프로세스 및 앱에 보안 통합 |
| 데이터 보안 | 조직 데이터 보호 |
| 인프라 및 엔드포인트 보안 | 앱과 사용자가 사용하는 인프라, 네트워크 및 엔드포인트 디바이스에 대한 보호, 탐지 및 대응 제공 |
| ID 및 키 관리 | 사용자, 서비스, 디바이스 및 앱 인증 및 권한 부여 암호화 작업을 위한 안전한 배포 및 액세스 제공 |
| 위협 인텔리전스 | 활성 공격 및 잠재적 위협에 대한 컨텍스트 및 실행 가능한 인사이트를 제공하는 보안 위협 인텔리전스에 대한 의사 결정 및 조치 |
| 포스처 관리 | 조직의 보안 태세를 지속적으로 보고 및 개선 |
| 인시던트 준비 | 보안 인시던트에 대응하기 위한 도구, 프로세스 및 전문 지식 빌드 |
팀 맞춤
클라우드 보안을 관리하는 여러 팀이 있더라도 다중 클라우드 환경에서는 누가 의사 결정을 담당하는지 파악하기 위해 협력하는 것이 중요합니다. 소유권이 없으면 마찰이 생겨 프로젝트가 중단되고 보안 승인을 기다릴 수 없는 불안정한 배포가 발생할 수 있습니다.
가장 일반적으로 CISO에서 보안 리더십 팀은 보안 의사 결정을 담당하는 사람을 지정해야 합니다. 일반적으로 책임은 테이블에 요약된 대로 조정됩니다.
| 범주 | 설명 | 일반적인 팀 |
|---|---|---|
| 서버 엔드포인트 보안 | 서버 보안(패치, 구성, 엔드포인트 보안 등)을 모니터링하고 수정합니다. | 중앙 IT 운영과 인프라 및 엔드포인트 보안 팀의 공동 책임입니다. |
| 인시던트 모니터링 및 응답 | 조직의 SIEM 또는 원본 콘솔에서 보안 인시던트를 조사하고 해결합니다. | 보안 운영 팀 |
| 정책 관리 | Azure 리소스, 사용자 지정 AWS/GCP 권장 사항 등을 관리하기 위해 Azure RBAC(역할 기반 액세스 제어), 클라우드용 Microsoft Defender, 관리자 보호 전략 및 Azure Policy에 대한 방향을 설정합니다. | 정책 및 표준 및 보안 아키텍처 팀의 공동 책임입니다. |
| 위협 및 취약성 관리 | 중요한 문제를 발견하고 가능한 한 효율적으로 해결할 수 있도록 인프라에 대한 완전한 가시성과 제어를 유지합니다. | 중앙 IT 운영과 인프라 및 엔드포인트 보안 팀의 공동 책임입니다. |
| 애플리케이션 워크로드 | 특정 워크로드에 대한 보안 제어에 집중합니다. 목적은 개발 프로세스 및 사용자 지정 LOB(사업 부문) 애플리케이션에 보안 보증을 통합하는 것입니다. | 애플리케이션 개발 및 중앙 IT 운영 팀의 공동 책임입니다. |
| ID 보안 및 표준 | ID 및 리소스에서 사용되지 않거나 과도한 권한과 관련된 위험을 식별하려면 Azure 구독, AWS 계정 및 GCP 프로젝트에 대한 PCI(권한 크리프 인덱스)를 이해합니다. | ID 및 키 관리, 정책 및 표준 및 보안 아키텍처 팀의 공동 책임입니다. |
모범 사례
- 다중 클라우드 보안은 비즈니스의 여러 영역으로 나누어질 수 있지만 팀은 다중 클라우드 자산에서 보안을 관리해야 합니다. 이는 여러 팀이 서로 다른 클라우드 환경을 보호하는 것보다 낫습니다. 예를 들어 한 팀은 Azure를 관리하고 다른 팀은 AWS를 관리합니다. 다중 클라우드 환경에서 작업하는 팀은 조직 내 확산을 방지하는 데 도움이 됩니다. 또한 보안 정책 및 규정 준수 요구 사항이 모든 환경에 적용되도록 하는 데 도움이 됩니다.
- 클라우드용 Defender를 관리하는 팀은 워크로드에서 권장 사항을 수정할 권한이 없는 경우가 많습니다. 예를 들어 클라우드용 Defender 팀은 AWS EC2 인스턴스의 취약성을 수정하지 못할 수 있습니다. 보안 팀은 보안 태세를 개선할 책임이 있지만 결과 보안 권장 사항을 수정할 수는 없습니다. 이 문제를 해결하려면 다음을 수행합니다.
- AWS 워크로드 소유자를 포함해야 합니다.
- 기한이 있는 소유자를 할당하고 거버넌스 규칙을 정의하면 보안 태세를 개선하기 위한 프로세스를 추진할 때 책임과 투명성이 생깁니다.
- AWS 워크로드 소유자를 포함해야 합니다.
- 조직 모델에 따라 일반적으로 워크로드 소유자와 함께 운영되는 중앙 보안 팀에 대해 다음과 같은 옵션이 표시됩니다.
옵션 1: 중앙 집중식 모델. 보안 제어는 중앙 팀에서 정의, 배포 및 모니터링합니다.
- 중앙 보안 팀은 조직에서 구현할 보안 정책과 설정된 정책을 제어할 수 있는 권한을 가진 사람을 결정합니다.
- 또한 이 팀은 보안 위협 또는 구성 문제가 있는 경우 비준수 리소스를 수정하고 리소스 격리를 적용할 수 있는 권한을 가질 수 있습니다.
- 반면 워크로드 소유자는 클라우드 워크로드를 관리할 책임이 있지만 중앙 팀이 배포한 보안 정책을 따라야 합니다.
- 이 모델은 취약성 및 위협에 대한 자동화된 대응 프로세스를 보장하기 위해 높은 수준의 자동화를 갖춘 회사에 가장 적합합니다.
옵션 2: 탈중앙화 모델 - 보안 제어는 워크로드 소유자가 정의, 배포 및 모니터링합니다.
- 보안 제어 배포는 정책 세트를 소유하고 리소스에 적용할 수 있는 보안 정책을 결정할 수 있는 워크로드 소유자가 수행합니다.
- 소유자는 자신의 리소스에 대한 보안 경고 및 권장 사항을 인지하고 이해하며 조치를 취해야 합니다.
- 반면에 중앙 보안 팀은 워크로드에 대한 쓰기 액세스 권한 없이 제어 엔티티 역할만 합니다.
- 보안 팀은 일반적으로 조직의 전반적인 보안 태세에 대한 인사이트를 가지고 있으며 워크로드 소유자는 보안 태세를 개선할 책임이 있을 수 있습니다.
- 이 모델은 전반적인 보안 태세에 대한 가시성이 필요하지만 동시에 워크로드 소유자와 함께 보안에 대한 책임을 유지하려는 조직에 가장 적합합니다.
- 현재 클라우드용 Defender에서 옵션 2를 달성하는 유일한 방법은 다중 클라우드 커넥터 리소스를 호스트하는 구독에 보안 읽기 권한자 권한이 있는 워크로드 소유자를 할당하는 것입니다.
다음 단계
이 문서에서는 다중 클라우드 보안 솔루션을 설계할 때 소유권 요구 사항을 확인하는 방법을 알아보았습니다. 다음 단계를 계속 진행하여 액세스 제어 요구 사항을 확인합니다.