AWS 보안 서비스 채택을 위한 의사 결정 트리 - AWS 권장 가이드
회사 컨텍스트AWS 서비스 평가

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 보안 서비스 채택을 위한 의사 결정 트리

다음 이미지는 조직에서 AWS 보안 서비스를 채택해야 하는지 여부를 평가하는 데 사용할 수 있는 의사 결정 트리를 보여줍니다. 의사 결정 트리는 회사 컨텍스트AWS 보안 서비스 평가의 두 섹션으로 나뉩니다. 첫 번째 섹션인 회사 컨텍스트는 현재 제어 또는 솔루션이 존재하는 경우 이를 평가하도록 설계되었습니다. 현재 솔루션이 없거나 현재 제어 또는 솔루션이 비즈니스 또는 기술 요구 사항을 충족하지 않는 경우 두 번째 섹션인 AWS 보안 서비스 평가로 이동합니다. AWS 보안 서비스 평가 섹션에서가 이러한 요구 사항을 AWS 서비스 충족하는지 여부를 결정합니다.

AWS 보안 서비스 채택을 위한 의사 결정 트리

현재 보안 제어 또는 솔루션을 평가하기 위한 회사 컨텍스트

이 섹션에서는 현재 제어 또는 솔루션을 평가하여 조직의 비즈니스 및 기술 요구 사항을 충족하는지 확인합니다. 제어 또는 솔루션이 없는 경우 AWS 보안 서비스를 평가하고 AWS 보안 서비스 평가 섹션으로 직접 건너뛰어야 합니다.

1.1 규정 준수, 보안 또는 개인 정보 보호 명령이 참석하지 않나요?

조직은 데이터 보안 및 개인 정보 보호와 관련된 법률 및 규정의 적용을 받습니다. 이러한 명령을 위반하면 심각한 결과가 발생할 수 있습니다. 회사가 규정 준수, 보안 또는 개인 정보 보호 요구 사항을 충족할 수 없는 경우 AWS 보안 서비스를 평가해야 합니다.

1.2 해결되지 않은 위험이 높습니까?

조직은 환경에서 중요한 보안 위험을 식별하고 관리해야 합니다. 위험이 높으면 잠재적 데이터 침해, 시스템 취약성, 운영 중단 또는 기타 중요한 보안 문제가 발생할 수 있습니다. 현재 솔루션(또는 솔루션 없음)이 이러한 높은 위험을 적절하게 완화하지 못하는 경우 AWS 보안 서비스 평가를 진행합니다.

1.3 수동 또는 오류가 발생하기 쉬운 솔루션이 있습니까?

수동 단계 또는 사람의 상호 작용이 필요한 솔루션은 오류가 발생하기 쉽습니다. 이러한 시나리오에서는 불일치, 낮은 데이터 신뢰성, 규정 미준수 자산 및 확장성 부족이 일반적입니다. 자동화된 제어는 IT 시스템 및 워크로드에 기본적으로 중요합니다. 현재 솔루션이 전체 자동화를 지원하지 않는 경우 AWS 보안 서비스 평가를 고려하세요.

1.4 관리, 민첩성 또는 확장성 문제에 직면하고 있습니까?

관리와 관련된 문제를 매핑하는 것이 중요합니다. 다음은 다양한 자산을 관리하는 호환성 부족, 솔루션에서 모든 디바이스를 다루지는 않음, 업데이트 중 오류 및 중단, 프로덕션에서 성능에 미치는 부정적인 영향과 같은 몇 가지 예입니다. 이 솔루션은 팀이 강력한 보안 태세에서 혁신할 수 있도록 민첩성을 제공해야 합니다. 기하급수적인 비즈니스 성장을 달성하려면 확장성을 지원해야 합니다. 관리, 가용성 또는 규모 조정 문제가 있는 경우 AWS 보안 서비스를 평가해야 합니다.

1.5 총 소유 비용이 높습니까?

비용을 업계 벤치마크 및 내부 지표와 비교하여 현재 보안 솔루션의 총 소유 비용(TCO)을 평가합니다. 일반적으로 조직은 IT 예산의 6~14%를 사이버 보안에 투자하며, 10%가 평균입니다. 자산 보호를 위한 라이선스, 구현, 유지 관리, 지원 및 운영 비용과 같은 요소를 고려합니다. 보호할 동일한 수의 자산을 포함하는 내부 도구를 포함할 수 있습니다. 도구에 대한 불균형한 보안 예산은 예산의 60%가 단일 도구로 전달되는 경우와 같이 높은 TCO를 나타낼 수도 있습니다. TCO가 이러한 벤치마크보다 높으면 AWS 보안 서비스 평가를 진행합니다.

AWS 보안 서비스 평가

기술 증명(POT)은 개념 증명과 유사합니다. POT의 목표는 기술 문제에 대한 잠재적 솔루션이 실행 가능한지 확인하는 것입니다. 예를 들어 POT를 사용하여 특정 구성이 특정 결과를 달성할 수 있음을 입증할 수 있습니다. 이 섹션에서는 POT를 사용하여 지정된 AWS 보안 서비스가 비즈니스 및 기술 요구 사항을 충족하는지 평가하고 보여줍니다.

AWS 보안 참조 아키텍처(AWS SRA)는 다중 계정 환경에서 AWS 보안 서비스의 전체 보완을 배포하기 위한 규범적 지침을 제공합니다. 이 아키텍처는 POT 평가를 계획하고 실행하는 데 도움이 될 수 있습니다.

이 결정 가이드는 최신 제품을 포함한 모든 AWS 보안 서비스에 적용됩니다. up-to-date 서비스 목록 및 현재 모범 사례는 AWS 클라우드 보안을 참조하세요.

2.1 AWS 보안 서비스가 규정 준수, 보안 또는 개인 정보 보호 요구 사항을 해결합니까?

AWS 보안 서비스는 현재 솔루션이 다루지 않는 모든 규정 준수, 보안 및 개인 정보 보호 요구 사항을 해결해야 합니다. 에서 보안 및 규정 준수에 대한 인증 및 보고서를 찾을 AWS 수 있습니다AWS Artifact. 또한 적용 범위 검증에 AWS 서비스 설명서를 사용할 수 있습니다.

2.2 AWS 보안 서비스가 위험을 완화하는 데 도움이 됩니까?

위험 관리는 많은 위협으로부터 회사를 보호하는 데 도움이 되는 주요 요소입니다. 서비스 채택 결정은 조직에서 하나 이상의 고위험 완화와 직접 연관될 수 있습니다. AWS 보안 서비스는 위험 선호도 및 비즈니스 컨텍스트에 따라 위험을 허용 가능한 수준으로 완화해야 합니다.

2.3 POT가 보안 서비스의 효과를 보입니까?

AWS 보안 서비스의 효과는 각 보안 서비스의 다양한 지표에 따라 POT를 통해 입증되어야 합니다. 예를 들어 POT는 서비스가 위협 인텔리전스 알고리즘을 통해 보안 위협을 신속하게 탐지하고 대응할 수 있는지 검증할 수 있습니다. 몇 분 내에 탐지된 위협과 자동 알림 및 문제 해결이 성공적으로 실행되었는지 확인하여 성공을 평가할 수 있습니다. 취약성 관리 서비스의 경우 다음을 기반으로 효과를 평가할 수 있습니다.

  • 탐지된 취약성은 몇 개입니까?

  • 패치 및 업데이트 적용 성공률은 얼마입니까?

  • 웹 보호를 위해 공격적인 보안 팀(레드 팀이라고도 함)이 수행한 교차 사이트 스크립팅(XSS) 및 SQL 주입 공격이 즉시 차단되었습니까?

AWS 전문 서비스AWS 파트너는이 POT 평가에서 사용자를 지원할 수 있습니다.

2.4 TCO가 현재 제어 또는 솔루션보다 낮습니까?

TCO를 낮추면 조직의 비용을 최적화하는 데 도움이 될 수 있습니다. 이러한 비교에 사용되는 몇 가지 일반적인 지표는 인수 및 구현 비용, 고정 및 가변 비용, 운영 비용, 유지 관리 및 지원 비용, 확장 및 신뢰성 비용, 교육 비용입니다. 특정 사용 사례에 따라 수행할 수 있는 다른 비용 측정 및 비교가 있습니다. 는 AWS Pricing Calculator에 대한 비용을 추정하는 데 도움이 될 수 있습니다 AWS 서비스. 또한 AWS 프리 티어 및 무료 추적의 제품을 사용하여 여러를 평가할 수 있습니다 AWS 서비스. 자세한 내용은 무료 AWS 클라우드 보안 평가판을 참조하세요.

2.5 절충 결정

장단점 결정을 위해서는 여러 요소, 특히 서비스 효율성과 TCO 고려 사항의 균형을 맞춰야 합니다. 정확한 계산 또는 명확한 결정이 불가능한 경우 이점과 제한 사항의 전반적인 균형을 평가합니다.

요인이 충돌하는 것처럼 보이는 경우에도 긍정적인 균형이 나타날 수 있습니다. 예를 들어 서비스는 비용을 증가시키지만 향상된 확장성을 제공할 수 있습니다. 이는 개선된 효율성이 추가 비용을 정당화하는 긍정적인 균형을 나타냅니다. 반대로 서비스가 상당한 비용 절감을 제공하더라도 기능 감소는 허용되지 않을 수 있습니다.

사용 가능한 모든 정보의 균형을 맞춰 전반적인 긍정적 또는 부정적 결과를 결정해야 합니다. 이 분석을 기반으로 장단점을 결정할 수 있습니다.