다음을 통해 공유

보안 팀, 역할 및 기능

이 문서에서는 클라우드 인프라 및 플랫폼에 필요한 보안 역할 및 기능에 대해 설명합니다. 이러한 역할을 사용하여 개발에서 운영 및 지속적인 개선에 이르기까지 클라우드 수명 주기의 모든 단계에 보안을 통합합니다.

클라우드 채택과 관련된 방법론을 보여 주는 다이어그램. 다이어그램에는 팀과 역할, 전략, 계획, 준비, 채택, 관리, 관리 등 각 단계에 대한 상자가 있습니다. 이 문서의 상자가 강조 표시됩니다.

조직 규모에 따라 이러한 역할의 직원 배치 방법이 결정됩니다. 대기업에는 각 역할에 대한 특수 팀이 있는 경우가 많습니다. 소규모 조직에서는 종종 여러 함수를 더 적은 역할로 통합합니다. 기술 플랫폼 및 서비스는 특정 보안 책임에도 영향을 줍니다.

기술 및 클라우드 팀은 몇 가지 보안 작업을 직접 수행합니다. 특수 보안 팀은 기술 팀과 공동으로 다른 작업을 수행합니다. 조직 구조에 관계없이 관련자는 필요한 보안 작업을 이해해야 합니다. 모든 팀은 클라우드 서비스에 대한 정보에 입각한 결정을 내리기 위해 비즈니스 요구 사항 및 위험 허용 범위를 이해해야 합니다. 이 지침을 사용하여 특정 팀과 역할의 기능과 상호 작용하여 포괄적인 클라우드 보안 범위를 제공하는 방법을 이해합니다.

보안 역할 변환

조직이 클라우드 플랫폼 및 최신 개발 사례를 채택함에 따라 보안 아키텍처, 엔지니어링 및 운영 역할은 상당한 변화를 겪고 있습니다. 이 변환은 보안 작업 수행 방법, 팀이 공동 작업하는 방법 및 책임이 기술 기능에 분산되는 방식에 영향을 줍니다. 이러한 변화를 이끄는 몇 가지 요인은 다음과 같습니다.

  • SaaS 기반 및 클라우드 네이티브 보안 도구로 전환합니다. SaaS 플랫폼을 채택하면 보안 팀의 초점이 구현에서 거버넌스로 바뀝니다. 보안 팀은 정책, 표준 및 구성 기준을 제공합니다. SaaS 서비스를 직접 구성하지는 않습니다. SaaS 애플리케이션을 소유한 팀은 이 지침을 특정 도구에 적용합니다. 이렇게 분리하면 애플리케이션 팀이 서비스의 운영 설정을 관리할 수 있게 하면서 보안 요구 사항을 충족할 수 있습니다.

  • 엔지니어링 팀 전체에서 공동 책임으로서의 보안. 이제 모든 기술 팀은 빌드하거나 운영하는 워크로드 및 서비스에 보안 제어를 적용할 책임이 있습니다. 보안 팀은 보안 구현을 기본값으로 만들고 배달 프로세스의 마찰을 줄이는 패턴, 지침, 자동화 및 가드레일을 제공합니다.

  • 더 광범위한 다양한 기술 요구 사항. 보안 팀은 점점 더 광범위한 기술과 공격자가 시스템 간에 이동하는 방식을 이해해야 합니다. 클라우드 플랫폼은 ID, 네트워크, 컴퓨팅, 애플리케이션 및 운영 계층을 통합하므로 보안 전문가는 좁은 기술 도메인에 집중하지 않고 엔드 투 엔드 공격 경로를 평가해야 합니다.

  • 클라우드 플랫폼 및 보안 기능의 지속적인 변경. 클라우드 서비스는 빠르게 발전하고 새로운 기능이 자주 나타납니다. 보안 프로세스는 효율성을 유지하기 위해 지속적으로 조정되어야 하며 아키텍처, 엔지니어링 및 운영 역할에서 더 민첩성이 필요합니다.

  • 제로 트러스트 원칙에 대한 의존도가 증가했습니다. 최신 공격자는 정기적으로 네트워크 경계 제어를 우회하여 ID, 디바이스 상태, 애플리케이션 컨텍스트 및 원격 분석을 보안 결정의 중심으로 만듭니다. 엔지니어링, 운영 및 보안 전반의 역할은 제로 트러스트 사고를 디자인, 구성 및 모니터링 활동에 통합해야 합니다.

  • DevOps 및 플랫폼 엔지니어링 사례에 보안 통합 가속화된 릴리스 주기를 사용하려면 보안 활동이 수명 주기 초기에 전환되고 자동화를 통해 작동해야 합니다. 보안 역할은 점점 더 엔지니어링 및 플랫폼 팀과 협력하여 보안 검사, 정책 적용 및 유효성 검사를 CI/CD 워크플로 및 운영 프로세스에 포함합니다.

이러한 변경 내용은 새 역할을 만드는 대신 기존 역할이 함께 작동하는 방식을 변경합니다. 목표는 보안이 클라우드 서비스가 설계, 빌드, 배포 및 운영되는 방식의 통합되고 지속적인 부분이 되도록 하는 것입니다.

역할 및 팀 개요

다음 섹션에서는 일반적으로 주요 클라우드 보안 기능을 수행하는 팀과 역할에 대해 설명합니다. 이러한 설명을 사용하여 현재 조직 구조를 표준 클라우드 보안 기능에 매핑합니다. 범위의 격차를 식별하고 리소스를 투자할 위치를 결정합니다. 모든 이해 관계자가 보안 책임 및 다른 팀과 공동 작업하는 방법을 이해하도록 합니다. 기술 팀을 위한 팀 간 보안 프로세스 및 공유 책임 모델을 문서화합니다. 공유 책임 모델은 RACI(책임, 책임, 자문, 정보 제공) 매트릭스처럼 작동합니다. 특정 결과에 대한 의사 결정 권한 및 공동 작업 요구 사항을 정의합니다. 이 설명서는 적용 범위 간격 및 겹치는 작업을 방지합니다. 또한 약한 인증 또는 암호화 솔루션 선택과 같은 일반적인 안티패턴을 방지합니다. 소규모 조직이고 실행 가능한 최소 보안 팀을 시작하려는 경우 소규모 조직을 위한 최소 실행 가능한 보안 팀을 참조하세요. 주요 보안 역할은 다음과 같습니다.

클라우드 서비스 공급자

클라우드 서비스 공급자는 기본 클라우드 플랫폼에 대한 보안 기능 및 기능을 제공하는 사실상 가상 팀 구성원입니다. 또한 일부 클라우드 공급자는 팀에서 보안 상태 및 인시던트 관리에 사용할 수 있는 보안 기능과 기능을 제공합니다. 클라우드 서비스 공급자가 수행하는 작업에 대한 자세한 내용은 클라우드 공유 책임 모델을 참조하세요.

많은 클라우드 서비스 공급자는 요청 시 또는 Microsoft 서비스 신뢰 포털과 같은 포털을 통해 보안 사례 및 제어에 대한 정보를 제공합니다.

인프라/플랫폼 팀(아키텍처, 엔지니어링 및 운영)

인프라/플랫폼 아키텍처, 엔지니어링 및 운영 팀은 클라우드 인프라 및 플랫폼 환경(서버, 컨테이너, 네트워킹, ID 및 기타 기술 구성 요소)에서 클라우드 보안, 개인 정보 보호 및 규정 준수 제어를 구현하고 통합합니다.

엔지니어링 및 운영 역할은 주로 클라우드 또는 CI/CD(지속적인 통합 및 지속적인 배포) 시스템에 초점을 맞출 수 있으며, 클라우드, CI/CD, 온-프레미스 및 기타 인프라 및 플랫폼의 전체 범위에서 작동할 수 있습니다.

이러한 팀은 비즈니스 워크로드를 호스트하는 조직의 클라우드 서비스에 대한 모든 가용성, 확장성, 보안, 개인 정보 보호 및 기타 요구 사항을 충족해야 합니다. 보안, 위험, 규정 준수 및 개인 정보 보호 전문가와 협력하여 이러한 모든 요구 사항을 혼합하고 균형을 이루는 결과를 추진합니다.

보안 아키텍처, 엔지니어링 및 자세 관리 팀

보안 팀은 인프라 및 플랫폼 역할(및 기타 역할)과 협력하여 보안 전략, 정책 및 표준을 실행 가능한 아키텍처, 솔루션 및 디자인 패턴으로 변환하는 데 도움을 줍니다. 이러한 팀은 클라우드 팀의 보안 성공을 가능하게 하는 데 집중합니다. 인프라의 보안과 이를 관리하는 데 사용되는 프로세스 및 도구의 보안을 평가하고 영향을 미칩니다. 다음은 보안 팀이 인프라에 대해 수행하는 몇 가지 일반적인 작업입니다.

  • 보안 설계자와 엔지니어는 클라우드 환경에 대한 보안 정책, 표준 및 지침을 조정하여 인프라/플랫폼과 협력하여 제어를 설계하고 구현합니다. 보안 설계자와 엔지니어는 다음을 비롯한 광범위한 요소를 지원합니다.

    • 테넌트/구독.보안 설계자 및 엔지니어는인프라 설계자 및 엔지니어액세스 설계자 (ID, 네트워킹, 앱 등)와 협력하여 클라우드 공급자( 보안 상태 관리 팀에서 모니터링)에 걸쳐 클라우드 테넌트, 구독 및 계정에 대한 보안 구성을 설정하는 데 도움을 줍니다.

    • IAM(ID 및 액세스 관리).액세스 설계자 (ID, 네트워킹, 앱 등)는 ID 엔지니어 및 운영 및 인프라/플랫폼 팀과 협력하여 액세스 관리 솔루션을 설계, 구현 및 운영합니다. 이러한 솔루션은 권한 있는 사용자가 비즈니스 프로세스를 따라 조직 리소스에 쉽고 안전하게 액세스할 수 있도록 하면서 조직의 비즈니스 자산을 무단으로 사용하지 않도록 보호합니다. 이러한 팀은 ID 디렉터리 및 SSO(Single Sign-On) 솔루션, 암호 없는 MFA(암호 없는 다단계 인증), 위험 기반 조건부 액세스 솔루션, 워크로드 ID, PIM/PAM(권한 있는 ID/액세스 관리), CIEM(클라우드 인프라 및 권한 관리) 등과 같은 솔루션을 작업합니다. 또한 이러한 팀은 네트워크 엔지니어 및 운영과 협력하여 SSE(보안 서비스 에지) 솔루션을 설계, 구현 및 운영합니다. 워크로드 팀은 이러한 기능을 활용하여 개별 워크로드 및 애플리케이션 구성 요소에 대한 원활하고 안전한 액세스를 제공할 수 있습니다.

    • 데이터 보안.보안 설계자와 엔지니어는데이터 및 AI 설계자 및 엔지니어와 협력하여 인프라/플랫폼 팀이 개별 워크로드에서 데이터를 분류하고 보호하는 데 사용할 수 있는 모든 데이터 및 고급 기능에 대한 기본 데이터 보안 기능을 수립할 수 있도록 지원합니다. 기본 데이터 보안에 대한 자세한 내용은 Microsoft 보안 데이터 보호 벤치마크를 참조하세요. 개별 워크로드에서 데이터를 보호하는 방법에 대한 자세한 내용은 Well-Architected Framework 지침을 참조하세요.

    • 네트워크 보안.보안 설계자 및 엔지니어는네트워크 설계자 및 엔지니어 와 협력하여 인프라/플랫폼 팀이 클라우드 연결(프라이빗/임대 라인), 원격 액세스 전략 및 솔루션, 수신 및 송신 방화벽, WAF(웹 애플리케이션 방화벽)네트워크 세분화와 같은 기본 네트워크 보안 기능을 수립할 수 있도록 지원합니다. 또한 이러한 팀은 ID 설계자, 엔지니어 및 운영과 협력하여 SSE 솔루션을 설계, 구현 및 운영합니다. 워크로드 팀은 이러한 기능을 활용하여 개별 워크로드 및 애플리케이션 구성 요소의 개별 보호 또는 격리를 제공할 수 있습니다.

    • 서버 및 컨테이너 보안.보안 설계자 및 엔지니어는인프라 설계자 및 엔지니어와 협력하여 인프라/플랫폼 팀이 서버, VM(가상 머신), 컨테이너, 오케스트레이션/관리, CI/CD 및 관련 시스템에 대한 기본 보안 기능을 수립할 수 있도록 지원합니다. 이러한 팀은 검색 및 인벤토리 프로세스, 보안 기준/벤치마크 구성, 유지 관리 및 패치 프로세스, 실행 가능한 이진 파일, 템플릿 이미지, 관리 프로세스 등에 대한 허용 목록을 설정합니다. 워크로드 팀은 이러한 기본 인프라 기능을 활용하여 개별 워크로드 및 애플리케이션 구성 요소에 대한 서버 및 컨테이너에 대한 보안을 제공할 수도 있습니다.

    • 소프트웨어 보안 기반(애플리케이션 보안 및 DevSecOps용).보안 설계자 및 엔지니어는소프트웨어 보안 엔지니어 와 협력하여 인프라/플랫폼 팀이 개별 워크로드, 코드 스캔, SBOM(소프트웨어 자료 청구) 도구, WAF 및 애플리케이션 검사에서 사용할 수 있는 애플리케이션 보안 기능을 설정할 수 있도록 지원합니다. SDL(보안 개발 수명 주기)을 설정하는 방법에 대한 자세한 내용은 DevSecOps 컨트롤 을 참조하세요. 워크로드 팀이 이러한 기능을 사용하는 방법에 대한 자세한 내용은 Well-Architected Framework의 보안 개발 수명 주기 지침을 참조하세요.

  • 소프트웨어 보안 엔지니어 는 IaC(Infrastructure as Code), CI/CD 워크플로 및 기타 사용자 지정 빌드 도구 또는 애플리케이션을 포함하여 인프라를 관리하는 데 사용되는 코드, 스크립트 및 기타 자동화된 논리를 평가합니다. 이러한 엔지니어는 자동화 플랫폼의 컴파일된 애플리케이션, 스크립트, 구성에서 공식 코드를 보호하기 위해 참여해야 합니다. 공격자가 시스템 작업을 조작할 수 있는 다른 형태의 실행 코드 또는 스크립트를 검토합니다. 이 평가는 단순히 시스템의 위협 모델 분석을 수행하거나 코드 검토 및 보안 검사 도구를 포함할 수 있습니다. SDL을 설정하는 방법에 대한 자세한 내용은 SDL 사례 지침을 참조하세요.

  • 자세 관리(취약성 관리/공격 표면 관리) 는 기술 운영 팀의 보안 활성화에 중점을 둔 운영 보안 팀입니다. 자세 관리는 이러한 팀이 공격 기술을 차단하거나 완화하기 위해 컨트롤의 우선 순위를 지정하고 구현하는 데 도움이 됩니다. 자세 관리 팀은 모든 기술 운영 팀(클라우드 팀 포함)에서 작업하며 종종 보안 요구 사항, 규정 준수 요구 사항 및 거버넌스 프로세스를 이해하는 주요 수단으로 사용됩니다.

    자세 관리는 종종 소프트웨어 엔지니어가 애플리케이션 개발 팀의 보안 CoE 역할을 하는 방식과 유사하게 보안 인프라 팀을 위한 CoE(우수 센터)의 역할을 합니다. 이러한 팀의 일반적인 작업에는 다음이 포함됩니다.

    • 보안 상태를 모니터링합니다. Microsoft 보안 노출 관리, Microsoft Entra 사용 권한 관리, 비 Microsoft 취약성 및 EASM(외부 공격 표면 관리) 및 CIEM 도구, 사용자 지정 보안 태세 도구 및 대시보드와 같은 자세 관리 도구를 사용하여 모든 기술 시스템을 모니터링합니다. 또한 자세 관리는 분석을 수행하여 다음을 통해 인사이트를 제공합니다.

      • 가능성이 높고 공격 경로가 손상될 것으로 예상합니다. 공격자는 여러 자산과 취약성을 서로 다른 시스템에 연결하여 "그래프로 생각"하고 중요 비즈니스용 시스템에 대한 경로를 찾습니다. 예를 들어 사용자 엔드포인트를 손상한 다음 해시/티켓을 사용하여 관리자 자격 증명을 캡처하고 중요 비즈니스용 데이터에 액세스합니다. 자세 관리 팀은 보안 설계자 및 엔지니어와 협력하여 기술 목록 및 보고서에 항상 표시되지 않는 이러한 숨겨진 위험을 검색하고 완화합니다.

      • 보안 평가를 수행 하여 시스템 구성 및 운영 프로세스를 검토하여 보안 상태 도구에서 기술 데이터를 넘어 심층적인 이해와 인사이트를 얻습니다. 이러한 평가는 비공식적인 검색 대화 또는 공식적인 위협 모델링 연습의 형태를 취할 수 있습니다.

    • 우선 순위 지정을 지원합니다. 기술 팀이 자산을 사전에 모니터링하고 보안 작업의 우선 순위를 지정하도록 지원합니다. 자세 관리는 보안 규정 준수 요구 사항 외에도 보안 위험 영향(경험, 보안 운영 인시던트 보고서 및 기타 위협 인텔리전스, 비즈니스 인텔리전스 및 기타 원본에 의해 통보됨)을 고려하여 위험 완화 작업을 컨텍스트에 적용하는 데 도움이 됩니다.

    • 훈련, 멘토, 챔피언. 교육, 멘토링 개인 및 비공식 지식 이전을 통해 기술 엔지니어링 팀의 보안 지식과 기술을 향상합니다. 또한 자세 관리 역할은 공식적인 보안 교육 및 보안에 대한 조직의 준비 상태/교육및 보안 교육 및 참여 역할과 함께 작동할 수 있으며, 기술 팀 내에서 보안을 설정하여 동료에게 보안을 전파하고 교육할 수 있습니다.

    • 격차를 식별하고 수정을 옹호합니다. 전반적인 추세, 프로세스 격차, 도구 격차 및 위험 및 완화에 대한 기타 인사이트를 식별합니다. 자세 관리 역할은 보안 설계자 및 엔지니어와 협업하고 통신하여 솔루션을 개발하고, 솔루션 자금 조달 사례를 구축하고, 수정 사항을 롤아웃하는 데 도움을 줍니다.

    • 보안 작업(SecOps)과 조정합니다. 기술 팀이 감지 엔지니어링 및 위협 헌팅 팀과 같은 SecOps 역할을 수행할 수 있도록 지원합니다. 모든 운영 역할에서 이러한 연속성을 통해 탐지가 제대로 수행되고 구현되고, 보안 데이터를 인시던트 조사 및 위협 헌팅에 사용할 수 있고, 협업을 위한 프로세스가 마련되어 있는지 등을 확인할 수 있습니다.

    • 보고서를 제공합니다. 보안 인시던트, 추세 및 성능 메트릭에 대한 시기적절하고 정확한 보고서를 고위 관리 및 이해 관계자에게 제공하여 조직 위험 프로세스를 업데이트합니다.

    자세 관리 팀은 종종 기존 소프트웨어 취약성 관리 역할에서 진화하여 Open Group 제로 트러스트 참조 모델에 설명된 전체 기능, 구성 및 운영 취약성 유형을 해결합니다. 각 유형의 취약성을 통해 권한 없는 사용자(공격자 포함)가 소프트웨어 또는 시스템을 제어하여 비즈니스 자산에 손상을 줄 수 있습니다.

    • 기능 취약성은 소프트웨어 디자인 또는 구현에서 발생합니다. 영향을 받는 소프트웨어를 무단으로 제어할 수 있습니다. 이러한 취약성은 자체 팀이 개발한 소프트웨어의 결함이거나 상용 또는 오픈 소스 소프트웨어의 결함일 수 있습니다(일반적으로 일반적인 취약성 및 노출 식별자에 의해 추적됨).

    • 구성 취약성 은 시스템 기능에 대한 무단 액세스를 허용하는 시스템의 잘못된 구성입니다. 이러한 취약성은 구성 드리프트라고도 하는 지속적인 작업 중에 도입될 수 있습니다. 소프트웨어 및 시스템의 초기 배포 및 구성 중에 또는 공급업체의 약한 보안 기본값에 의해 도입될 수도 있습니다. 일반적인 예는 다음과 같습니다.

      • DNS 레코드 및 그룹 멤버 자격과 같은 항목에 대한 무단 액세스를 허용하는 분리된 개체입니다.

      • 리소스에 대한 과도한 관리 역할 또는 권한

      • 알려진 보안 문제가 있는 약한 인증 프로토콜 또는 암호화 알고리즘을 사용합니다.

      • 약한 기본 구성 또는 기본 암호입니다.

    • 운영 취약성 은 시스템의 무단 액세스 또는 제어를 허용하는 표준 운영 프로세스 및 사례의 약점입니다. 예를 들면 다음과 같습니다.

      • 관리자가 자신의 개별 계정 대신 공유 계정을 사용하여 권한 있는 작업을 수행합니다.

      • "browse-up" 구성을 사용하면 공격자가 악용할 수 있는 권한 상승 경로를 만들 수 있습니다. 이 취약성은 높은 권한의 관리 계정이 낮은 신뢰 사용자 디바이스 및 워크스테이션(예: 표준 사용자 워크스테이션 및 사용자 소유 디바이스)에 로그인할 때 발생하며, 때로는 이러한 위험을 효과적으로 완화하지 않는 점프 서버를 통해 발생합니다. 자세한 내용은 권한 있는 액세스 및 권한 있는 액세스 디바이스 보안을 참조 하세요.

보안 작업(SecOps/SOC)

SecOps 팀은 SOC(보안 운영 센터)라고도 합니다. SecOps 팀은 조직의 자산에 대한 악의적인 액세스를 신속하게 찾고 제거하는 데 중점을 둡니다. 기술 운영 및 엔지니어링 팀과 긴밀한 파트너십을 맺고 있습니다. SecOps 역할은 기존 IT, OT(운영 기술) 및 IoT(사물 인터넷)를 포함하여 조직의 모든 기술에서 작동할 수 있습니다. 다음은 클라우드 팀과 가장 자주 상호 작용하는 SecOps 역할입니다.

  • 심사 분석가(계층 1). 잘 알려진 공격 기술에 대한 인시던트 감지에 대응하고 문서화된 절차를 따라 신속하게 해결하거나 적절하게 조사 분석가에게 에스컬레이션합니다. SecOps 범위 및 완성도 수준에 따라 전자 메일, 엔드포인트 맬웨어 방지 솔루션, 클라우드 서비스, 네트워크 검색 또는 기타 기술 시스템의 검색 및 경고가 포함될 수 있습니다.

  • 조사 분석가(계층 2). 더 많은 경험과 전문 지식이 필요한 더 높은 복잡성 및 심각도 인시던트 조사에 대응합니다(잘 문서화된 해결 절차 외). 이 팀은 일반적으로 살아있는 인간 적들이 수행하는 공격 및 여러 시스템에 영향을 주는 공격을 조사합니다. 기술 운영 및 엔지니어링 팀과 긴밀한 파트너십을 맺고 인시던트 조사 및 해결을 위해 노력하고 있습니다.

  • 위협을 헌팅합니다. 표준 검색 메커니즘을 회피한 기술 자산 내에서 숨겨진 위협을 사전에 검색합니다. 이 역할은 고급 분석 및 가설 기반 조사를 사용합니다.

  • 위협 인텔리전스 공격자 및 위협에 대한 정보를 수집하여 비즈니스, 기술 및 보안을 비롯한 모든 이해 관계자에게 전파합니다. 위협 인텔리전스 팀은 연구를 수행하고, 결과를 공유하고(공식적이거나 비공식적으로) 클라우드 보안 팀을 비롯한 다양한 이해 관계자에게 배포합니다. 이러한 보안 컨텍스트를 통해 이러한 팀은 디자인, 구현, 테스트 및 운영에서 실제 공격 정보를 사용하고 지속적으로 개선하므로 클라우드 서비스를 공격에 보다 탄력적으로 적용할 수 있습니다.

  • 검색 엔지니어링. 사용자 지정 공격 탐지를 만들고 공급업체 및 광범위한 커뮤니티에서 제공하는 공격 탐지를 사용자 지정합니다. 이러한 사용자 지정 공격 검색은 XDR(확장 검색 및 대응) 도구 및 SIEM(보안 정보 및 이벤트 관리) 도구에서 일반적으로 발견되는 일반적인 공격에 대한 공급업체 제공 검색을 보완합니다. 검색 엔지니어는 클라우드 보안 팀과 협력하여 검색을 설계 및 구현할 수 있는 기회, 이를 지원하는 데 필요한 데이터 및 검색에 대한 응답/복구 절차를 식별합니다.

보안 거버넌스, 위험 및 규정 준수

GRC(보안 거버넌스, 위험 및 규정 준수)는 보안 팀의 기술 작업을 조직의 목표 및 기대와 통합하는 일련의 상호 연결된 분야입니다. 이러한 역할과 팀은 둘 이상의 분야의 하이브리드이거나 개별 역할일 수 있습니다. 클라우드 팀은 클라우드 기술 수명 주기 동안 이러한 각 분야와 상호 작용합니다.

  • 거버넌스 분야는 기본 기능입니다. 거버넌스 팀은 조직이 보안의 모든 측면을 일관되게 구현하도록 하는 데 집중합니다. 의사 결정 권한(누가 어떤 결정을 내리는지)을 설정하고 팀을 연결하고 안내하는 프레임워크를 처리합니다. 효과적인 거버넌스가 없으면 모든 올바른 제어, 정책 및 기술을 가진 조직은 의도된 방어가 잘 구현되지 않거나 완전히 또는 전혀 구현되지 않는 영역을 악용하는 공격자의 피해를 받을 수 있습니다.

  • 위험 관리 분야는 조직의 위험을 평가, 이해 및 완화하는 데 중점을 둡니다. 위험 관리 팀은 조직 전체에서 작업하여 현재 위험을 명확하게 표현하고 최신 상태로 유지합니다. 클라우드 및 위험 팀은 협업하여 클라우드 인프라 및 플랫폼에서 호스트되는 중요한 비즈니스 서비스의 위험을 평가하고 관리해야 합니다. 공급망 보안은 외부 공급업체, 오픈 소스 구성 요소 및 파트너의 위험을 해결합니다.

  • 규정 준수 분야는 시스템과 프로세스가 규정 요구 사항 및 내부 정책을 준수하도록 보장합니다. 이 분야가 없으면 조직은 외부 의무를 준수하지 않는 것과 관련된 위험에 노출될 수 있습니다(벌금, 책임, 일부 시장에서 운영할 수 없는 수익 손실 등). 규정 준수 요구 사항은 일반적으로 공격자 진화 속도를 따라갈 수 없지만 중요한 요구 사항 소스입니다.

이러한 세 분야는 모두 모든 기술 및 시스템에서 작동하여 모든 팀에서 조직의 결과를 이끌어 낼 수 있습니다. 또한 세 가지 모두 서로로부터 얻는 컨텍스트에 의존하며 위협, 비즈니스 및 기술 환경에 대한 현재의 높은 충실도 데이터로부터 상당한 이점을 얻습니다. 또한 이러한 분야는 구현할 수 있는 실행 가능한 비전을 표현하기 위해 아키텍처에 의존하며, 보안 교육 및 정책을 사용하여 규칙을 수립하고 여러 일상적인 결정을 통해 팀을 안내합니다.

클라우드 엔지니어링 및 운영 팀은 GRC 토픽에서 자세 관리 역할, 규정 준수 및 감사 팀, 보안 아키텍처 및 엔지니어링 또는 CISO(최고 정보 보안 책임자) 역할을 사용할 수 있습니다.

보안 교육, 인식 및 정책

조직은 모든 역할이 일상적인 업무에 보안을 효과적으로 적용할 수 있도록 지식, 지침 및 자신감을 갖도록 해야 합니다. 교육 및 인식은 종종 조직의 보안 태세에서 가장 약한 링크이므로 일회성 교육 이벤트로 처리되지 않고 연속적이고 역할을 인식하며 정상적인 작업에 포함되어야 합니다.

강력한 프로그램에는 구조화된 교육, 비공식 멘토링 및 기술 팀 내에서 지정된 보안 챔피언이 포함됩니다. 교육은 피싱 인식, ID 위생, 보안 구성 사례 및 엔지니어링 역할에 대한 안전한 개발 사고방식을 다루어야 합니다. 이러한 노력은 보안 우선 문화를 강화하며, 개인은 보안이 중요한 이유, 예상되는 작업 및 이러한 작업을 올바르게 수행하는 방법을 명확하게 이해합니다.

보안 교육 및 정책은 각 역할이 다음을 이해하는 데 도움이 되어야 합니다.

  • 왜. 보안이 책임과 목표의 맥락에서 중요한 이유입니다. 이러한 이해 없이 개인은 보안의 우선 순위를 해제하고 다른 작업에 집중합니다.
  • 무엇. 해당 역할에 맞는 언어로 설명된 특정 보안 작업 및 기대치가 적용되는 항목입니다. 명확성이 없다면 사람들은 보안이 관련이 없다고 가정합니다.
  • 어떻게. 시스템 패치, 코드 안전하게 검토, 위협 모델 완료 또는 피싱 시도 식별과 같은 필수 보안 작업을 올바르게 수행하는 방법입니다. 실용적인 지침없이, 사람들은 기꺼이 경우에도 실패합니다.

소규모 조직을 위한 최소 실행 가능한 보안 팀

소규모 조직에는 특정 보안 기능에 개인을 바칠 리소스가 부족한 경우가 많습니다. 이러한 환경에서는 최소한의 역할로 필수 책임을 다룹니다. 클라우드 플랫폼 엔지니어링 및 보안 책임을 보안 구성, ID 위생, 모니터링 및 기본 인시던트 대응을 관리하는 단일 함수로 결합합니다. 위협 탐지 최적화, 침투 테스트 또는 규정 준수 검토와 같은 전문 지식 또는 지속적인 검사가 필요한 작업을 관리되는 보안 공급자에게 아웃소싱합니다. 자세 관리, ID 보호, 구성 기준 및 자동화된 정책 적용과 같은 클라우드 네이티브 도구를 사용하여 대규모 팀 없이 일관된 보안 수준을 유지하고 운영 오버헤드를 줄입니다.

예제 시나리오: 팀 간의 일반적인 상호 운용성

조직에서 웹 애플리케이션 방화벽을 배포하고 운영할 때 여러 보안 팀이 협업하여 기존 보안 인프라에 효과적인 배포, 관리 및 통합을 보장해야 합니다. 엔터프라이즈 보안 조직에서 팀 간의 상호 운용성은 다음과 같습니다.

  1. 계획 및 디자인
    1. 거버넌스 팀은 향상된 웹 애플리케이션 보안의 필요성을 식별하고 WAF에 대한 예산을 할당합니다.
    2. 네트워크 보안 설계자는 WAF 배포 전략을 설계하여 기존 보안 제어와 원활하게 통합하고 조직의 보안 아키텍처와 일치하도록 합니다.
  2. 이행
    1. 네트워크 보안 엔지니어는 설계자의 설계에 따라 WAF를 배포하여 특정 웹 애플리케이션을 보호하도록 구성하고 모니터링을 사용하도록 설정합니다.
    2. IAM 엔지니어는 액세스 제어를 설정하여 권한 있는 직원만 WAF를 관리할 수 있도록 합니다.
  3. 모니터링 및 관리
    1. 자세 관리 팀은SOC가 WAF에 대한 모니터링 및 경고를 구성하고 WAF 활동을 추적하도록 대시보드를 설정하는 지침을 제공합니다.
    2. 위협 인텔리전스 및 탐지 엔지니어링 팀은 WAF와 관련된 인시던트에 대한 대응 계획을 개발하고 시뮬레이션을 수행하여 이러한 계획을 테스트하는 데 도움이 됩니다.
  4. 규정 준수 및 위험 관리
    1. 규정 준수 및 위험 관리 책임자는 WAF 배포를 검토하여 규정 요구 사항을 충족하고 정기적인 감사를 수행합니다.
    2. 데이터 보안 엔지니어는 WAF의 로깅 및 데이터 보호 조치가 데이터 개인 정보 보호 규정을 준수하도록 합니다.
  5. 지속적인 개선 및 교육
    1. DevSecOps 엔지니어는 WAF 관리를 CI/CD 파이프라인에 통합하여 업데이트 및 구성이 자동화되고 일관되도록 합니다.
    2. 보안 교육 및 참여 전문가는 모든 관련 담당자가 WAF를 효과적으로 사용하고 관리하는 방법을 이해할 수 있도록 교육 프로그램을 개발하고 제공합니다.
    3. 클라우드 거버넌스 팀 구성원은 WAF 배포 및 관리 프로세스를 검토하여 조직 정책 및 표준에 부합하는지 확인합니다.

이러한 역할은 웹 애플리케이션 방화벽이 올바르게 배포되고 지속적으로 모니터링, 관리 및 개선되어 조직의 웹 애플리케이션이 진화하는 위협으로부터 보호하도록 보장합니다.

다음 단계

클라우드 채택 전략에 보안 통합

  • Last updated on