보안 소유권 분산 - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 소유권 분산

AWS 공동 책임 모델은 AWS 및 고객이 클라우드 보안 및 규정 준수에 대한 책임을 공유하는 방법을 정의합니다. 이 모델에서는에서 AWS 제공하는 모든 서비스를 실행하는 인프라를 AWS 보호하고 AWS 클라우드고객은 데이터와 애플리케이션을 보호할 책임이 있습니다.

조직 내에서 이 모델을 미러링하고 클라우드 팀과 애플리케이션 팀 간에 책임을 분산할 수 있습니다. 그러면 애플리케이션 팀이 애플리케이션의 특정 보안 측면에 대한 소유권을 갖고 있기 때문에 클라우드 보안 프로그램을 보다 효과적으로 확장할 수 있습니다. 공동 책임 모델의 가장 간단한 해석은 리소스를 구성할 수 있는 액세스 권한이 있는 경우 해당 리소스의 보안에 대한 책임이 사용자에게 있다는 내용입니다.

애플리케이션 팀에 보안 책임을 분산하는 경우 핵심은 애플리케이션 팀이 자동화하는 데 도움이 되는 셀프 서비스 보안 도구를 빌드하는 것입니다. 처음에는 공동의 노력이 들어갈 수 있습니다. 보안 팀은 보안 요구 사항을 코드 스캔 도구로 변환할 수 있으며, 애플리케이션 팀은 이러한 도구를 사용하여 솔루션을 빌드하고 내부 개발자 커뮤니티와 공유할 수 있습니다. 그러면 유사한 보안 요구 사항을 충족해야 하는 다른 팀에서 효율성을 높일 수 있습니다.

다음 표에는 애플리케이션 팀에 소유권을 분산하는 단계가 요약되어 있으며 예제가 나와 있습니다.

단계 작업 예제
1 보안 요구 사항 정의 - 무엇을 달성하려고 하나요? 보안 표준 또는 규정 준수 요구 사항에서 비롯되었을 수 있습니다. 보안 요구 사항의 예로, 애플리케이션 자격 증명에 대한 최소 권한 액세스가 있습니다.
2 보안 요구 사항에 대한 제어 열거 -이 요구 사항은 제어 관점에서 실제로 무엇을 의미하나요? 이를 달성하려면 어떻게 해야 하나요?

애플리케이션 자격 증명에 대한 최소 권한을 얻으려면 다음 두 가지 제어 샘플을 사용합니다.

  • AWS Identity and Access Management (IAM) 역할 사용

  • IAM 정책에서 와일드카드 사용 안 함
3 제어에 대한 문서 지침 - 이러한 제어를 사용하면 개발자가 제어를 준수하는 데 도움이 되도록 어떤 지침을 제공할 수 있나요? 처음에는 보안 및 비보안 IAM 정책과 Amazon Simple Storage Service(Amazon S3) 버킷 정책을 포함한 간단한 정책 예제를 문서화하는 작업부터 시작할 수 있습니다. 다음으로 선제적 평가를 위한 AWS Config 규칙 사용 등 지속적 통합 및 지속적 전송(CI/CD) 파이프라인 내에 정책 스캔 솔루션을 임베드할 수 있습니다.
4 재사용 가능한 아티팩트 개발 - 지침에 따라 개발자를 위한 재사용 가능한 아티팩트를 더 쉽게 만들고 개발할 수 있나요? 코드형 인프라(IaC)를 생성하여 최소 권한 원칙을 따르는 IAM 정책을 배포할 수 있습니다. 이러한 재사용 가능한 아티팩트를 코드 리포지토리에 저장할 수 있습니다.

셀프 서비스는 일부 보안 요구 사항에서 작동하지 않을 수 있지만 표준 시나리오에서는 작동할 수 있습니다. 이러한 단계를 따르면 조직은 애플리케이션 팀이 확장 가능한 방식으로 더 많은 보안 책임을 처리할 수 있는 권한을 부여할 수 있습니다. 전반적으로 분산 책임 모델은 많은 조직 내에서 보다 협업적인 보안 사례로 이어집니다.