기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 보안 및 규정 준수 클라우드 운영
<a name="cloud-operations"></a>

마지막 도메인은 *보안 및 규정 준수 클라우드 운영*입니다. 이는 정의된 보안 및 규정 준수 운영 런북을 사용하여 클라우드 운영을 관리하는 지속적인 활동입니다. 또한 보안 클라우드 운영 모델을 구축하여 조직의 보안 및 규정 준수에 대한 책임을 결정합니다.

## 보안 및 규정 준수 클라우드 운영 모델
<a name="cloud-operating-model"></a>

이 도메인에서는 보안을 위한 [클라우드 운영 모델을](apg-gloss.md#glossary-com) 정의합니다. 클라우드 운영 모델은 검색 워크숍 중에 식별한 요구 사항과 나중에 런북으로 정의된 요구 사항을 해결해야 합니다. 다음 세 가지 방법 중 하나로 보안 및 규정 준수 클라우드 운영 모델을 설계할 수 있습니다.
+ **중앙 집중식** - SecOps가 비즈니스 전반의 보안 이벤트를 식별하고 해결하는 역할을 하는 보다 전통적인 모델입니다. 여기에는 패치 적용 및 보안 구성 문제와 같은 비즈니스에 대한 일반적인 보안 태세 조사 결과 검토가 포함될 수 있습니다.
+ **분산 **- 비즈니스 전반의 보안 이벤트에 대응하고 해결할 책임이 애플리케이션 소유자 및 개별 사업부에 위임되었으며 중앙 운영 기능은 없습니다. 일반적으로 정책과 원칙을 정의하는 중요한 보안 거버넌스 함수가 여전히 있습니다.
+ **하이브리드** - 두 접근 방식의 혼합으로, SecOps는 여전히 보안 이벤트에 대한 대응을 식별하고 오케스트레이션할 책임이 있으며 문제 해결 책임은 애플리케이션 소유자와 개별 사업부가 소유합니다.

보안 및 규정 준수 요구 사항, 조직 성숙도 및 제약 조건에 따라 올바른 운영 모델을 선택하는 것이 중요합니다. 보안 및 규정 준수 요구 사항과 제약 조건은 검색 워크숍 중에 식별되었습니다. 반면 조직 성숙도는 운영 보안 관행의 수준을 정의합니다. 다음은 성숙도 범위의 예입니다.
+ **낮음** - 로깅은 로컬이며 일부 또는 산발적인 작업이 수행됩니다.
+ **중간 **- 서로 다른 소스의 로그가 상호 연관되고 자동 알림이 설정됩니다.
+ **높**음 - 세부 플레이북이 존재하며 표준화된 프로세스 응답에 대한 세부 정보가 포함되어 있습니다.  운영 및 기술적으로 대부분의 알림 응답이 자동화됩니다.

보안 및 규정 준수 클라우드 운영 모델을 더 자세히 이해하고 적절한 설계 선택을 지원하려면 [클라우드의 보안 운영 고려 사항(블로그 게시물)을 참조하세요](https://aws.amazon.com/blogs/security/considerations-for-security-operations-in-the-cloud/).AWS 사전 정의된 요구 사항이 없는 시나리오에서는 보안 운영 센터(SOC)를 클라우드 운영 모델의 일부로 설정하는 것이 좋습니다. 이는 일반적으로 중앙 집중식 운영 모델 사례입니다. 이 접근 방식을 사용하면 여러 소스의 이벤트를 중앙 집중식 팀으로 전달하여 작업과 응답을 트리거할 수 있습니다. 이를 통해 클라우드 운영을 통한 보안 거버넌스를 표준화합니다. AWS 및 AWS 파트너는 SOC를 구축하고 보안 오케스트레이션, 자동화 및 대응(SOAR)을 정의 및 구현하는 데 도움이 되는 기능을 갖추고 있습니다. AWS 파트너는 AWS AWS 파트너의 전문 서비스 상담, 정의된 템플릿 AWS 서비스및 타사 도구를 사용합니다.

## 지속적인 보안 작업
<a name="ongoing-security-operations"></a>

이 도메인에서는 정의된 보안 및 규정 준수 작업 런북을 사용하여 지속적으로 다음 작업을 수행합니다.
+ **보안 및 규정 준수 모니터링** - 정의된 도구 AWS 서비스, 지표, 기준 및 빈도를 사용하여 보안 이벤트 및 위협에 대한 중앙 집중식 모니터링을 수행합니다. 운영 팀 또는 SOC는 조직의 구조에 따라이 지속적 모니터링을 관리합니다. 보안 모니터링에는 대량의 로그와 데이터의 분석 및 상관관계가 포함됩니다. 로그 데이터는 엔드포인트, 네트워크 AWS 서비스, 인프라 및 애플리케이션에서 가져오며 [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 또는 보안 정보 및 이벤트 관리(SIEM) 시스템과 같은 중앙 집중식 리포지토리에 저장됩니다. 적시에 이벤트에 수동 또는 자동으로 응답할 수 있도록 알림을 구성하는 것이 중요합니다.
+ **인시던트 관리** - 기준 보안 태세를 정의합니다. 잘못된 구성 또는 외부 요인을 통해 사전 설정된 기준에서 벗어나는 경우 인시던트를 기록합니다. 할당된 팀이 이러한 인시던트에 대응해야 합니다. 클라우드에서 성공적인 인시던트 대응 프로그램의 기반은 인시던트 대응 프로그램의 각 단계(준비, 운영 및 인시던트 후 활동)에 사람, 프로세스 및 도구를 통합하는 것입니다. 교육, 훈련 및 경험은 성공적인 클라우드 인시던트 대응 프로그램에 매우 중요합니다. 가능한 보안 인시던트를 처리해야 하기 전에 이를 구현하는 것이 가장 좋습니다. 효과적인 보안 인시던트 대응 프로그램 설정에 대한 자세한 내용은 [AWS 보안 인시던트 대응 가이드를](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/introduction.html) 참조하세요.
+ **보안 검증** - 보안 검증에는 취약성 평가, 침투 테스트 및 카오스 보안 시뮬레이션 이벤트 테스트 실행이 포함됩니다. 보안 검증은 주기적으로, 특히 다음 시나리오에서 계속 실행되어야 합니다.
  + 소프트웨어 업데이트 및 릴리스
  + 맬웨어, 바이러스 또는 웜과 같이 새로 식별된 위협
  + 내부 및 외부 감사 요구 사항
  + 보안 위반

  보안 검증 프로세스를 문서화하고 데이터 수집 및 보고를 위한 사람, 프로세스, 일정, 도구 및 템플릿을 강조하는 것이 중요합니다. 이렇게 하면 보안 검증이 표준화됩니다. 클라우드에서 보안 검증을 실행할 때 [AWS 침투 테스트에 대한 고객 지원 정책을](https://aws.amazon.com/security/penetration-testing/) 계속 준수합니다.
+ **내부 및 외부 감사** - 내부 및 외부 감사를 수행하여 보안 및 규정 준수 구성이 규제 또는 내부 정책 요구 사항을 충족하는지 확인합니다. 사전 정의된 일정에 따라 정기적으로 감사를 수행합니다. 내부 감사는 일반적으로 내부 보안 및 위험 팀에서 수행합니다. 외부 감사는 관련 기관 또는 표준 담당자가 수행합니다. [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) 및와 AWS 서비스같은를 사용하여 감사 프로세스를 용이하게 [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)할 수 있습니다. 이러한 서비스는 보안 IT 감사 보고서에 대한 관련 증거를 제공할 수 있습니다. 또한 증거 수집을 자동화하여 규제 및 업계 표준으로 위험 및 규정 준수 관리를 간소화할 수 있습니다. 이를 통해 *제어*라고 하는 정책, 절차 및 활동이 효과적으로 작동하는지 평가할 수 있습니다. 또한 규정 준수를 보장하기 위해 관리형 서비스 파트너와 감사 요구 사항을 조정하는 것이 중요합니다.

**보안 아키텍처 검토** - 보안 및 규정 준수 관점에서 AWS 아키텍처를 정기적으로 검토하고 업데이트합니다. 분기별로 또는 아키텍처 변경이 있을 때 아키텍처를 검토합니다. 보안 및 규정 준수 기능 및 서비스에 대한 업데이트 및 개선 사항을 AWS 계속 릴리스합니다. [AWS 보안 참조 아키텍처](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) 및 AWS Well Architected Tool을 사용하여 이러한 아키텍처 검토를 용이하게 합니다. 검토 프로세스 후 보안 및 규정 준수 구현과 권장 변경 사항을 문서화하는 것이 중요합니다.

## AWS 운영을 위한 보안 서비스
<a name="aws-security-services"></a>

의 보안 및 규정 준수에 AWS 대한 책임을와 공유합니다 AWS 클라우드. 이 관계는 [AWS 공동 책임 모델에](https://aws.amazon.com/compliance/shared-responsibility-model/) 자세히 설명되어 있습니다. 가 클라우드*의* 보안을 AWS 관리하는 동안 클라우드*의* 보안에 대한 책임은 사용자에게 있습니다. 온프레미스 데이터 센터와 달리 자체 콘텐츠, 인프라, 애플리케이션, 시스템 및 네트워크를 보호할 책임은 사용자에게 있습니다. 에서 보안 및 규정 준수에 대한 책임은 사용하는 서비스, 해당 서비스를 IT 환경에 통합하는 방법, 관련 법률 및 규정에 따라 AWS 클라우드 달라집니다.

의 장점 AWS 클라우드 은 AWS 모범 사례와 보안 및 규정 준수 서비스를 사용하여 확장하고 혁신할 수 있다는 것입니다. 이렇게 하면 사용하는 서비스에 대해서만 비용을 지불하면서 안전한 환경을 유지할 수 있습니다. 또한 보안이 뛰어난 엔터프라이즈 조직이 클라우드 환경을 보호하는 데 사용하는 것과 동일한 AWS 보안 및 규정 준수 서비스에 액세스할 수 있습니다.

클라우드 보안 및 규정 준수를 보장하기 위한 첫 번째이자 가장 좋은 단계는 건전하고 안전한 기반을 기반으로 클라우드 아키텍처를 구축하는 것입니다. 그러나 AWS 리소스는 구성한 만큼만 안전합니다. 효과적인 보안 및 규정 준수 태세는 운영 수준에서 지속적이고 엄격한 준수를 통해서만 달성됩니다. 보안 및 규정 준수 작업은 크게 다섯 가지 범주로 그룹화할 수 있습니다.
+ 데이터 보호
+ 자격 증명 액세스 및 관리
+ 네트워크 및 애플리케이션 보호
+ 위협 탐지 및 지속적인 모니터링
+ 규정 준수 및 데이터 개인 정보 보호

AWS 보안 및 규정 준수 서비스는 이러한 범주에 매핑되므로 포괄적인 요구 사항을 충족할 수 있습니다. 이러한 범주로 그룹화된 보안 AWS 및 규정 준수 핵심 서비스와 그 기능은 다음과 같습니다. 이러한 서비스는 클라우드 보안 거버넌스를 구축하고 적용하는 데 도움이 될 수 있습니다.

### 데이터 보호
<a name="data-protection"></a>

AWS 는 무단 액세스로부터 데이터, 계정 및 워크로드를 보호하는 데 도움이 되는 다음과 같은 서비스를 제공합니다.
+ [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) -에 사용할 SSL/TLS 인증서를 프로비저닝, 관리 및 배포합니다 AWS 서비스.
+ [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html) -에서 하드웨어 보안 모듈(HSMs)을 관리합니다 AWS 클라우드.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) - 데이터를 암호화하는 데 사용되는 키를 생성하고 제어합니다.
+ [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) - 기계 학습 기반 보안 기능으로 민감한 데이터를 검색, 분류 및 보호합니다.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) - 수명 주기 동안 데이터베이스 자격 증명, API 키 및 기타 보안 암호를 교체, 관리 및 검색합니다.

### ID 및 액세스 관리
<a name="identity"></a>

다음 AWS 자격 증명 서비스는 자격 증명, 리소스 및 권한을 대규모로 안전하게 관리하는 데 도움이 됩니다.
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) - 웹 및 모바일 애플리케이션에 사용자 가입, 로그인 및 액세스 제어를 추가합니다.
+ [AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) -에서 관리형 Microsoft Active Directory를 사용합니다 AWS 클라우드.
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) - 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 Single Sign-On(SSO) 액세스를 중앙에서 관리합니다.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) - 및 리소스에 AWS 서비스 대한 액세스를 안전하게 제어합니다.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) - 여러에 대한 정책 기반 관리를 구현합니다 AWS 계정.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) - 계정 간에 AWS 리소스를 공유합니다.

### 네트워크 및 애플리케이션 보호
<a name="network-app-protection"></a>

이 서비스 범주는 조직 전체의 네트워크 제어 지점에서 세분화된 보안 정책을 적용하는 데 도움이 됩니다. 다음은 AWS 서비스 호스트 수준, 네트워크 수준 및 애플리케이션 수준 경계에서 무단 리소스 액세스를 방지하기 위해 트래픽을 검사하고 필터링하는 데 도움이 됩니다.
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) - 중앙 위치에서 AWS 계정 및 애플리케이션 간에 AWS WAF 규칙을 구성하고 관리합니다.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) - Virtual Private Cloud(VPCs.
+ [Amazon Route 53 Resolver DNS 방화벽](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) - VPCs에서 아웃바운드 DNS 요청을 보호하는 데 도움이 됩니다.
+ [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html) - 관리형 DDoS 보호로 웹 애플리케이션을 보호합니다.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) - OS 패치를 적용하고, 보안 시스템 이미지를 생성하고, 운영 체제를 구성하도록 Amazon Elastic Compute Cloud(Amazon EC2) 및 온프레미스 시스템을 구성하고 관리합니다.
+ [Amazon Virtual Private Cloud(Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) - 정의한 가상 네트워크에서 AWS 리소스를 시작할 수 AWS 있는 논리적으로 격리된 섹션을 프로비저닝합니다.
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html) - 일반적인 웹 악용으로부터 웹 애플리케이션을 보호하는 데 도움이 됩니다.

### 위협 탐지 및 지속적인 모니터링
<a name="detection-monitoring"></a>

다음 AWS 모니터링 및 탐지 서비스는 AWS 환경 내에서 잠재적 보안 인시던트를 식별하는 데 도움이 됩니다.
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) - 사용자 활동 및 API 사용량을 추적하여의 거버넌스, 운영 및 위험 감사를 활성화합니다 AWS 계정.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) - AWS 리소스 구성을 기록 및 평가하여 규정 준수를 감사하고, 리소스 변경 사항을 추적하고, 리소스 보안을 분석할 수 있습니다.
+ [AWS Config 규칙](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) - 리소스 격리, 추가 데이터로 이벤트 강화, 알려진 정상 상태로 구성 복원 등 환경 변경에 대한 응답으로 자동으로 작동하는 규칙을 생성합니다.
+ [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html) - 보안 데이터를 분석하고 시각화하여 잠재적 보안 문제의 근본 원인을 신속하게 파악합니다.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) - 지능형 위협 탐지 및 지속적인 모니터링을 통해 AWS 계정 및 워크로드를 보호합니다.
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) - 보안 평가를 자동화하여 배포된 애플리케이션의 보안 및 규정 준수를 개선합니다 AWS.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) - 서버를 프로비저닝하거나 관리하지 않고 코드를 실행하여 프로그래밍되고 자동화된 인시던트 대응을 확장할 수 있습니다.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) - 보안 알림을 보고 관리하고 중앙 위치에서 규정 준수 검사를 자동화합니다.

### 규정 준수 및 데이터 개인 정보 보호
<a name="compliance"></a>

다음은 규정 준수 상태에 대한 포괄적인 보기를 AWS 서비스 제공합니다. AWS 모범 사례 및 업계 표준을 기반으로 하는 자동화된 규정 준수 검사를 사용하여 환경을 지속적으로 모니터링합니다.
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) - AWS 보안 및 규정 준수 보고서에 대한 온디맨드 액세스 권한을 얻고 온라인 계약을 선택합니다.
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) - AWS 사용량을 지속적으로 감사하여 위험을 관리하고 규정 및 업계 표준을 준수하는 방법을 간소화합니다.