기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 걷기 단계: 운영 및 성숙
<a name="walk"></a>



![\[걷는 사람의 아이콘\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/walk.png)


걷기 단계에서는 운영에 중점을 둡니다. 이 단계에서 조직은 현재 운영 모델을 평가하고, 에 맞게 조정하는 방법을 결정하며, 이러한 변경 사항을 구현한 다음, 진행 상황을 측정해야 합니다. 여기에는 처리 기술, 운영 프로세스 및 기술이 포함됩니다. 클라우드 배포를 조정하고 진행 상황을 측정하는 작업은 성공을 검증하기 위해 걷기 단계에서 매우 중요합니다.

다음은 걷기 단계의 과정 단계입니다.
+ [운영](operationalize.md) - 클라우드에 대한 사람, 기술 및 프로세스를 어떻게 준비하나요?
+ [성숙](mature.md) - 진행 상황과 성공을 어떻게 측정하나요?

# 운영화: 성숙한 클라우드 보안 태세를 위한 조직 준비
<a name="operationalize"></a>

클라우드에 운영 로드를 배포하는 프로세스를 진행하려면 사람, 프로세스 및 기술의 조정에 집중해야 합니다. 해당 프로세스 및 기술은 온프레미스 운영과는 다를 수 있으므로 클라우드 환경에서 특히 중요합니다. 이 섹션에서는 프레임워크를 사용하여 사람, 프로세스 및 기술을 조정한 다음 프레임워크가 예상 성과를 달성하는 데 도움이 되었는지 확인합니다.

## AWS 클라우드 채택 프레임워크
<a name="aws-cloud-adoption-framework"></a>

[AWS Cloud Adoption Framework(AWS CAF)](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/welcome.html)는 AWS 서비스 및 기능의 혁신적인 사용을 통해 비즈니스 성과를 가속화하는 데 도움이 됩니다. AWS CAF는 성공적인 클라우드 혁신을 뒷받침하는 6가지 구체적인 조직적 관점인 Business, People, Governance, Platform, Security, Operations를 식별합니다. 각 관점에는 클라우드 준비 상태를 개선하고 클라우드 트랜스포메이션 여정을 가속화하는 데 도움이 되는 역량이 포함되어 있습니다.

다음 이미지는 AWS CAF의 6가지 관점과 각 관점의 기능을 보여줍니다. 자세한 내용은 * AWS Cloud Adoption Framework 개요*의 [기본 기능](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/foundational-capabilities.html)을 참조하세요.



![\[AWS CAF의 6가지 관점과 각 관점.\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/CAF-capabilities.png)


## 예상 결과
<a name="expected-outcomes"></a>

 AWS CAF를 사용하여 사람, 프로세스 및 기술을 조정할 때 다음과 같은 결과를 얻을 수 있습니다.
+ **DevSecOps 파이프라인 및 프로세스** - 통합 보안 도구를 사용하여 DevOps 파이프라인을 구현하면 코드형 인프라(IaC)를 보다 안전하게 배포할 수 있습니다. 오픈 소스 정적 코드 분석기인 [cfn\$1nag](https://github.com/cdklabs/cdk-nag#readme)(GitHub)와 같은 파이프라인 프로세스에서 코드 스캔 및 보안 검사를 구현할 수 있습니다.
+ **태그 지정 및 자산 관리** - 태그를 사용하면 클라우드에서 리소스를 보다 효율적이고 일관되게 관리할 수 있습니다. 자세한 내용은 [AWS 리소스에 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)을 참조하십시오. 클라우드의 끊임없이 변화하는 특성에 적응할 수 있는 동적 자산 관리 전략을 개발하는 것이 중요합니다. [AWS Systems Manager 인벤토리](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-inventory.html)는 리소스를 빠르게 검색, 관리 및 식별할 수 있도록 태그를 할당하는 데 도움이 됩니다.
+ **모니터링 및 감지 통합** - 클라우드에서 온프레미스 보안 운영 센터(SOC) 및 보안 정보 및 이벤트 관리(SIEM) 시스템으로 알림을 보내는 방법을 설정하는 것이 중요합니다. [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)는 AWS 환경에서 예상치 못한 활동, 잠재적으로 승인되지 않은 활동 또는 악의적 활동을 식별할 수 있도록 지원하는 보안 모니터링 서비스입니다. 또한 많은 서드 파티 도구에 통합됩니다.
+ **클라우드 인시던트 대응 계획 및 프로그램** - 클라우드 알림을 처리하는 담당자가 온프레미스 알림과 비교했을 때 이러한 알림을 수집하는 프로세스에 익숙하고 클라우드 알림에 대응하는 방법을 알고 있는지 확인하는 것이 중요합니다. 인시던트 대응 역량을 개선하려면 로그 분석에 Amazon Detective를 사용하도록 직원을 교육합니다. [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html)는 사용자가 보안 조사 결과 또는 의심스러운 활동의 근본 원인을 분석 및 조사하고 식별하는 데 도움이 됩니다. Amazon Detective는 인시던트 대응 계획의 일부여야 합니다.
+ **클라우드 취약성 관리** - 클라우드의 취약성을 관리하는 프로세스는 온프레미스 환경일 때와 다릅니다. 기존 취약성 관리 외에도 인프라 코드 계층을 평가해야 합니다. [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html)는 취약성 및 의도하지 않은 네트워크 노출이 있는지 리소스를 지속적으로 평가하는 자동화된 취약성 관리 서비스입니다.
+ **클라우드 태세 관리** - [평가](assess.md) 섹션에 설명된 클라우드 태세 관리는 클라우드 보안의 중요한 측면입니다. AWS Security Hub CSPM 를 사용하여 보안 모범 사례 검사를 자동화하고 모든에서 전반적인 클라우드 상태를 평가할 수 있습니다 AWS 계정.
+ **클라우드 보안 교육** - 직원이 클라우드 보안에 능숙해질 수 있도록 적절한 교육을 제공하는 것이 중요합니다. 여기에는 리소스에 대한 액세스 권한을 제공하고 직원이 필요한 지식과 기술을 습득할 수 있는 시간을 할당하는 것이 포함됩니다.는 [AWS Skill Builder](https://skillbuilder.aws/)와 같은 기술을 향상하고 교육할 수 있는 많은 교육 리소스를 AWS 제공합니다.

# 성숙: 프로세스, 도구 및 위험 조정 및 측정
<a name="mature"></a>

클라우드 보안 모델의 성숙 단계에서는 보안 팀을 AWS 클라우드 채택 프레임워크(AWS CAF) 보안 기능에 맞추고 애자일 프로세스를 도입하는 데 중점을 둡니다. 이러한 조정을 통해 전문 팀은 짧은 스프린트에서 혁신을 가속화하는 동시에 로드맵과 장기 계획을 통합할 수 있습니다. 성숙 단계에서는 IT 운영과의 협업과 심층적이고 특화된 클라우드 기술 스케일 업을 강조합니다. 각 보안 역량은 지표 개발 및 보고 메커니즘과 함께 효율성과 영향을 개선하고 점진적인 변경 사항과 전반적인 영향을 측정하고자 주요 도구와 프로세스를 구현합니다.

**Topics**
+ [프로세스 조정 및 측정](tune-and-measure-processes.md)
+ [조정 및 측정 도구](tune-and-measure-tools.md)
+ [위험 조정 및 측정](tune-and-measure-risk.md)
+ [성숙 단계에서 사용 사례 예제 검토](review-examples.md)

# 프로세스 조정 및 측정
<a name="tune-and-measure-processes"></a>

[애자일 접근 방식](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-program-implementation/approach.html)은 더 많은 유연성과 혁신을 지원하며 새로운 아이디어를 신속하게 테스트하고 구현하는 데 도움이 될 수 있습니다. 보안 팀을 인시던트 대응 담당자 및 취약성 관리자와 같은 특수 역할로 구분됩니다. 역할은 AWS 클라우드 채택 프레임워크(AWS CAF)의 기능에 해당하는 다음 이미지의 범주와 일치해야 합니다. 애자일 접근 방식은 팀이 크게 생각하고, 혁신하며, 단순화하고, 보안의 잠재적 격차를 식별하도록 장려합니다. 이 경우 향후 개선을 위한 사용자 스토리 또는 로드맵 백로그가 생성됩니다.

애자일 프로세스를 사용하면 특정 도구의 기능에만 의존하는 대신 더 동적이고 적응력이 뛰어난 솔루션을 사용할 수 있습니다. *빠른 실패*는 개발 수명 주기를 줄이기 위해 빈번한 증분 테스트를 사용하는 철학이며 애자일 접근 방식의 중요한 부분입니다. 변경하고 테스트한 다음 현재 접근 방식을 계속할지 아니면 대체 접근 방식으로 전환할지 결정합니다. 팀이 이 주기에서 작업하는 경우 클라우드의 빠른 속도 특성을 통해 조직은 최신 상태로 유지할 수 있습니다. 집중 훈련도 중요하며 클라우드 보안의 특정 도메인에 특정한 훈련을 제공해야 합니다.



![\[보안 원칙의 AWS CAF 기능에 해당하는 특수 역할을 생성합니다.\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-mature-processes.png)


**참고**  
이 이미지에는 AWS CAF의 보안 보증 및 보안 거버넌스 기능이 포함되어 있지 않습니다. 이 가이드는 보안 운영에 중점을 두며, 보안 보증 및 거버넌스는 이 가이드의 범위를 벗어납니다. 보안 보증에 대한 자세한 내용은 YouTube의 [AWS re:Inforce 2023 - Scaling compliance with AWS Control Tower](https://youtu.be/m2wjmGvY2pY?si=o_Rf9Rliu86oFkSQ)를 참조하세요.

조직에서 조직이 클라우드의 신속한 개발과 변화를 따라잡는 데 도움이 되는 애자일 접근 방식을 사용합니다. 다음은 클라우드 환경에서 실험 및 반복을 시작하는 몇 가지 방법입니다.
+ 이전 이미지와 같이 AWS CAF에 정의된 범주를 특화합니다.
+ 보다 동적이 되려면 작업 대신 혁신에 집중합니다.
+ 비즈니스를 따라잡을 수 있도록사람이 테스트하고, 빠르게 실패하며, 빠르게 구현하고, 이 주기를 계속 진행함으로써 스프린트에서 빠르게 진행합니다.
+ 지속적인 운영을 지원하기 위해 가능한 경우 클라우드 기반 및 온프레미스 환경을 위한 프로세스를 조정합니다.
+ 개인이 한 영역을 드릴다운하고 이에 집중하게 하려면 광범위한 훈련 대신 집중 훈련을 제공합니다.
+ 사람이 크게 생각하고, '잠재적 가상의 조건'을 조사하며, 백로그(예: 로드맵 또는 격차)를 생성하도록 장려합니다.

# 조정 및 측정 도구
<a name="tune-and-measure-tools"></a>

다양한 보안 도메인에 대한 전문 팀을 수립한 후 서로에 맞게 팀을 조정합니다. [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)는 이를 달성하는 데 도움이 될 수 있습니다. Security Hub CSPM은 프레임워크에 대한 진행 상황을 모니터링하는 중앙 집중식 통합 대시보드를 제공합니다. 또한 많은 타사 도구에 대한 AWS 보안 서비스와 통합됩니다.

NIST 웹 사이트의 국립 표준 기술 연구소(NIST) [사이버 보안 프레임워크](https://www.nist.gov/cyberframework)는 식별, 보호, 감지, 대응 및 복구라는 5가지 기능으로 구성됩니다. 다음 이미지는 각 함수 AWS 서비스 에서 서로 다른를 사용한 다음 통합 보고를 위해 조사 결과를 Security Hub CSPM으로 보내도록 해당 서비스를 구성하는 방법을 보여줍니다. 다른 도구를 사용하기로 선택한 경우 Security Hub CSPM API, AWS Command Line Interface (AWS CLI) 및 AWS Security Finding Format(ASFF)을 사용하여 사용자 지정 통합을 생성할 수 있습니다. Security Hub CSPM과 다른 서비스의 통합에 대한 자세한 내용은 Security Hub CSPM 설명서의 [의 제품 통합 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html)을 참조하세요.



![\[와 통합되는 보안 도구 AWS Security Hub CSPM\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-and-measure-tools.png)


Security Hub CSPM은 이러한 모든 서비스 및 도구와 통합되며 다음을 제공합니다.
+ 업데이트를 표시하고 팀이 제자리에서 반복하는 데 도움이 되는 통합 대시보드를 제공합니다.
+ Amazon [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 및 [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html)와 같은 AWS 보안 서비스와 자동으로 통합됩니다.
+ [https://github.com/prowler-cloud/prowler](https://github.com/prowler-cloud/prowler) 및 [https://github.com/stelligent/cfn_nag](https://github.com/stelligent/cfn_nag)와 같은 서드 파티 도구와의 통합 지원
+ Security Hub CSPM API AWS CLI및 AWS Security Finding Format(ASFF)과 같은 도구와의 사용자 지정 통합 지원

# 위험 조정 및 측정
<a name="tune-and-measure-risk"></a>

걷기 단계의 성숙 단계에서를 사용하여 보안 위험을 AWS Security Hub CSPM 지속적으로 조정하고 측정할 수 있습니다. Security Hub CSPM은 조직의 보안 태세를 지속적으로 평가하고 식별된 문제를 해결하기 위한 조치를 취합니다. Security Hub CSPM은 여러 AWS 계정서비스 및 지원되는 타사 파트너의 보안 조사 결과를 중앙 집중화하고 우선순위를 지정합니다. 그러면 보안 추세를 분석하고 우선순위가 가장 높은 보안 문제를 식별하는 데 도움을 줍니다.

Security Hub CSPM은 수백 개의 보안 검사를 수행하고 AWS 환경에 대한 위험을 기반으로 분류합니다. Security Hub CSPM 콘솔의 통합 대시보드에서 보안 제어와 비교하여 점수를 볼 수 있습니다. 자세한 내용은 Security Hub CSPM 설명서의 [보안 점수 결정을 참조하세요](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-security-score.html). 이 대시보드를 통해 DevSecOps 함수는 실패한 모든 검사, 보안 문제의 심각도, 영향을 받는 AWS 리전 및 리소스를 빠르게 식별할 수 있습니다. 식별되면 DevSecOps 팀이 문제의 우선순위를 지정하고 문제를 해결할 수 있습니다. 문제가 해결되면 Security Hub CSPM은 상태를 자동으로 업데이트합니다.

# 성숙 단계에서 사용 사례 예제 검토
<a name="review-examples"></a>

다음은 성숙 단계에 대한 예제입니다. 이 예제에서는 실제 수준에서 여러 비즈니스 목표를 위한 모델, 도구 및 프로세스를 자세히 살펴봅니다.

## 성숙: 위협 감지 예제
<a name="mature-threat-detection-example"></a>

**감지 제어를 위한 비즈니스 성과:** 위험을 낮추고 클라우드 리소스의 사용 및 개발을 가속화하기 위해 클라우드 인시던트의 가시성과 감지 속도를 높입니다.

**도구:** [https://github.com/awslabs/assisted-log-enabler-for-aws](https://github.com/awslabs/assisted-log-enabler-for-aws)(GitHub)는 보안 인시던트 중간에 로깅을 활성화하는 데 도움이 되는 오픈 소스 도구입니다. 인시던트에 대한 가시성을 빠르게 증대할 수 있습니다.

**사용 사례 샘플:** 다음 다이어그램에 표시된 단일 계정 사용 사례를 고려합니다. 추가 조사가 필요한 이벤트가 있습니다. 로깅이 활성화되어 있는지 확실하지 않습니다. 이 경우 가장 좋은 조치는를 사용하여 모의 실행을 수행하여 활성화 또는 비활성화된 서비스를 Assisted Log Enabler 확인하는 것입니다.는 AWS CloudTrail 추적, DNS 쿼리 로그, VPC 흐름 로그 및 기타 로그를 Assisted Log Enabler 확인합니다. 활성화되지 않은 경우는 이를 Assisted Log Enabler 활성화합니다.는 모든에서 로깅을 확인하고 활성화할 Assisted Log Enabler 수 있습니다 AWS 리전.

Assisted Log Enabler를 스로틀링하여 높이거나 줄일 수도 있습니다. 모의 실행을 완료하고 이벤트를 닫은 후 문제를 해결하면 더 이상 이 수준의 로깅이 필요하지 않다는 것을 깨닫게 됩니다. 배포를 빠르게 정리하여 로깅을 중지할 수 있습니다. 이 기능을 사용하면 Assisted Log Enabler를 분류 도구로 사용할 수 있습니다.



![\[Assisted Log Enabler를 사용하여 로깅이 활성화 또는 비활성화된 서비스를 확인합니다.\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/assisted-log-enabler.png)


Assisted Log Enabler for AWS의 주요 기능은 다음과 같습니다.
+ 단일 계정 또는 다중 계정 환경에서 실행할 수 있습니다.
+ 이를 사용하여 환경에 로그인하기 위한 기준을 설정할 수 있습니다.
+ 모의 실행 기능을 사용하여 현재 상태를 확인하고 로깅이 활성화된 서비스를 확인할 수 있습니다.
+ 로깅을 활성화하려는 서비스를 선택할 수 있습니다.
+ 사용 사례에 맞게 Assisted Log Enabler를 확장하거나 축소할 수 있습니다.

## 성숙: IAM 예제
<a name="mature-iam-example"></a>

**IAM 비즈니스 성과:** 가시성을 자동화하고 모범 사례를 기준으로 측정하여 위험을 지속적으로 줄이고, 안전한 외부 연결을 지원하며, 새 사용자 및 환경을 신속하게 프로비저닝합니다.

**도구:** [AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)를 사용하면 외부 엔터티와 공유되는 리소스를 식별하고, 정책 문법 및 모범 사례를 기준으로 IAM 정책을 검증하며, 과거 액세스 활동을 기반으로 IAM 정책을 생성할 수 있습니다. 계정 및 조직 수준 모두에서 IAM Access Analyzer를 활성화하는 것이 좋습니다.

**서비스 이점:** IAM Access Analyzer는 풍부한 통찰력 있는 조사 결과를 제공합니다. 그리고 외부 엔터티와 공유되는 조직의 리소스 및 계정을 식별할 수 있습니다. 퍼블릭 S3 버킷, 다른 계정과 AWS KMS key 공유된 또는 외부 계정과 공유된 역할과 같은 리소스를 감지하여 조직의 통제를 받지 않는 리소스를 식별할 수 있는 뛰어난 가시성을 제공합니다. IAM 정책을 검증할 뿐만 아니라 자동으로 생성할 수도 있습니다.