AWS 규정 준수를 유지하는 방법
AWS(Amazon Web Services)는 ISO 및 SOC 2와 같은 규정 준수 인증을 받았습니다. 하지만 AWS에 데이터를 저장하는 방식이 항상 규정을 준수하는 것은 아닙니다.
기업이 클라우드로 계속 옮겨감에 따라 데이터 보안 및 규정 준수가 매우 중요합니다. 다행히 온디맨드 클라우드 컴퓨팅 플랫폼인 AWS®(Amazon Web Services)는 ISO, PCI DSS, SOC 2 등의 규정을 준수하는 것으로 인증되었습니다. 그러나 이것이 AWS에 데이터가 저장되는 방식이 규정을 준수한다는 것을 의미하지는 않습니다. 보안과 마찬가지로 규정 준수도 공동 책임 모델에 속합니다. 즉, 호스트 레이어 및 물리적 인프라에 적용되는 규정 준수에 대해서는 AWS 자체가 책임지지만 클라우드에서 서비스를 사용하고, 애플리케이션을 소비하고, 데이터를 저장하는 방식에 적용되는 규정 준수에 대해서는 AWS 고객이 책임져야 합니다.
한 걸음 뒤로 물러서, IT 인프라에서 규정 준수를 관리하는 것이 기본적으로 어떤 모습인지 알아보겠습니다. 조직의 규정 준수 팀이 조직의 모든 IT 리소스를 상세히 조사합니다. 그런 다음, 팀은 규정에 묶인 데이터가 포함된 모든 리소스를 검토하고 기존 관리를 해당 규제 요구사항에 매핑하여 규정 준수를 증명합니다.
그러나 AWS에서는 수동 규정 준수 관리가 부족합니다. 개발자가 새로운 리소스를 배포하고 인프라를 신속하게 변경할 수 있는데, 이러한 변경 사항이 보안 및 규정 준수 팀에 의해 확인되지 않는 경우가 종종 있습니다. 설상가상으로, 조직이 하루의 규정 준수를 증명할 수 있다고 해도 이것이 2주 또는 24시간 후에도 규정을 계속 준수하고 있다는 것을 의미하지는 않습니다. "특정 시점" 규정 준수는 클라우드에서 빠르게 의미를 잃고 있습니다.
AWS 규정 준수를 유지하려면 새로운 접근 방식이 필요합니다. DevOps 팀이 "지속적인 제공"과 "지속적인 혁신"을 일상적인 IT 언어로 만든 것처럼 "지속적인 보안"과 "지속적인 규정 준수"도 자주 언급되어야 합니다.
긍정적인 측면에서 봤을 때 기존 데이터 센터에서의 규정 준수 관리와 달리 AWS 인프라는 프로그래밍 방식으로 그리고 자동으로 보안 및 규정 준수를 해결할 수 있는 방안을 제시합니다. 현재 제공되는 클라우드 공급업체 API를 통해 완전히 새로운 보안 자동화 시대가 열렸습니다. AWS Config를 통해 조직은 AWS API를 사용하여 인프라에 대한 메타데이터에 액세스할 수 있을 뿐만 아니라 새로운 변경 사항이 규정 준수 문제를 발생시키는지 여부를 지속적으로 모니터링하고 측정할 수 있습니다.
지속적인 규정 준수를 위해 AWS Config 사용
AWS Config를 사용하면 원하는 구성 규칙을 사용하여 환경에서 구성 변경 및 규정 준수를 지속적으로 모니터링하는 것은 물론 리소스 관계를 보고 관리할 수 있습니다. 이 모든 것이 단일 대시보드에서 가능합니다(그림 1 참조).
그림 1: AWS 관리 대시보드
지속적인 규정 준수를 위해 AWS Config를 사용하는 두 가지 방법이 있습니다.
옵션 1: 수동 해결을 위해 간단한 알림 서비스를 사용합니다. 환경에서 무언가 변경되어 더 이상 조직의 규칙을 준수하지 않을 때 SNS가 경고를 보냅니다. 이렇게 하면 문제가 발생하는 즉시 수동으로 해결할 수 있습니다.
옵션 2: 자동 해결을 위해 AWS Lambda를 사용합니다. 환경에서 무언가 변경되어 규정 비준수로 이어질 경우 Lambda 함수가 트리거되어 자동으로 복구 업데이트합니다. 예: 구성 규칙은 VPC 흐름 로그가 항상 활성화되어 있어야 한다고 명시합니다. 누군가 흐름 로깅을 해제했기 때문에 Lambda가 API 액세스를 사용하여 다시 활성화합니다.
그림 2: AWS Config 작동 방식
AWS Config는 API를 통해 관리할 수 있는 맞춤형 사전정의 규칙을 제공합니다. 관리자는 팀별 및 조직별 구성 규칙을 작성하여 더욱 포괄적인 규정 준수 보고 체계를 구축할 수도 있습니다. 맞춤형 AWS 구성 규칙에 대해 잘 정리된 커뮤니티 리포지토리를 보려면 여기를 클릭하세요.
AWS Services를 사용하여 규정 준수 보장
앞에서 언급한 바와 같이, 공동 책임 모델에 따라 워크로드가 실행되는 클라우드 인프라의 보안 및 규정 준수에 대해서는 AWS가 책임지지만 워크로드 자체의 규정 준수에 대해서는 고객이 책임집니다. 하지만 AWS는 규정 준수를 보장하는 데 도움이 되도록 여러 도구를 제공합니다. 예를 들면 다음과 같습니다.
PCI DSS 요구사항 8은 애플리케이션 소유자에게 "시스템 구성요소에 대한 액세스를 식별하고 인증"할 것을 요구합니다. 사용자 및 기타 AWS 서비스에 대한 인증과 권한 부여를 구성할 수 있는 인증 서비스인 AWS Cognito가 이 요구사항을 준수하는 데 일반적으로 사용됩니다.
PCI DSS 요구사항 11은 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스를 추적하고 모니터링할 것을 요구합니다. 이를 충족하려면 CloudWatch 및 CloudTrail과 같은 모니터링 도구를 사용하면 됩니다.
더 세분화하기
클라우드 환경이 확장되고 조직에 대한 규제가 강화됨에 따라 보다 세분화된 AWS 규정 준수 보고가 필요할 수도 있습니다. 예를 들어 AWS 환경이 특정 규정에 어떻게 매핑되는지를 알아보고 싶거나 여러 팀 및 AWS 계정에 대해 서로 다른 규정 준수 보기를 사용하도록 설정할 수도 있습니다.
이때 타사 API 기반 규정 준수 도구가 도움이 될 수 있습니다. 이러한 도구를 사용하면 클라우드 구성 변경을 실시간으로 계속 모니터링하고 이러한 구성을 ISO, SOC 2, HIPAA, PCI DSS, NIST, GDPR 등의 규정을 위해 사전 제작된 규정 준수 템플릿에 매핑할 수 있습니다. 올바른 규정 준수 도구를 사용하면 규정 준수 보고서를 쉽게 생성할 수 있을 뿐만 아니라 한 번의 클릭으로 감사자, 고객, 이해관계자들에게 규정 준수 상태를 입증할 수 있습니다. 올바른 도구를 선택하기 위한 몇 가지 가이드라인은 이 블로그 게시물을 살펴보세요.
이 주제에 대해 자세히 알아보려면 e북 클라우드에서의 지속적인 모니터링 및 규정 준수를 다운로드하세요.