보안 거버넌스
보안 거버넌스는 비즈니스 우선 순위를 아키텍처, 표준, 정책과 같은 기술 구현과 연결합니다. 거버넌스 팀은 시간이 지남에 따라 보안 태세를 유지하고 개선하기 위해 감독 및 모니터링을 제공합니다. 또한 이러한 팀은 규제 기관의 필요에 따라 규정 준수를 보고합니다.
비즈니스 목표 및 위험은 보안을 위한 최상의 방향을 제공합니다. 이 방향은 보안이 조직의 중요한 문제에 집중하도록 합니다. 또한 위험 관리 프레임워크에서 친숙한 언어 및 프로세스를 사용하여 위험 소유자에게 알릴 수 있습니다.
보안 거버넌스에 대해 자세히 알아보려면 다음 비디오를 시청하세요.
규정 준수 및 보고
외부 보안 요구 사항 및 경우에 따라 내부 정책에 대한 규정 준수 및 보고는 지정된 업계에서 운영하기 위한 기본적인 필수 요소입니다. 필수 요구 사항은 동물원에 있는 곰에게 먹이를 주는 것과 같습니다. 매일 곰에게 먹이를 주지 않으면 곰이 당신을 잡아먹을 수도 있습니다.
아키텍처 및 표준
아키텍처, 표준, 정책은 비즈니스 요구 사항 및 위험에서 기술 환경으로의 중요한 번역을 제공합니다. 클라우드와 온-프레미스를 분할하는 대신 엔터프라이즈 자산 전체에서 통합 보기를 사용하는 것이 좋습니다. 공격자는 내부 프로세스에 신경 쓰지 않고 목표에 대한 저항이 가장 적은 경로를 따릅니다. 여기에는 클라우드 및 온-프레미스 환경 간에 횡적으로 이동하는 것이 포함됩니다. 오늘날 대부분의 기업은 다음을 포괄하는 하이브리드 환경입니다.
- 온-프레미스: 여러 세대의 기술과 상당한 양의 레거시 소프트웨어 및 하드웨어를 포함합니다. 이 기술에는 때때로 잠재적인 생명 또는 안전에 영향을 미치는 물리적 시스템을 제어하는 운영 기술이 포함됩니다.
- 클라우드: 일반적으로 다음을 위한 여러 공급자가 포함됩니다.
- SaaS(Software as a Service) 애플리케이션
- IaaS(Infrastructure as a Service)
- PaaS(Platform as a Service)
보안 상태 관리
희망과 보고 문제는 계획이 아닙니다. 클라우드 시대의 거버넌스에는 다른 팀과 지속적으로 참여하는 활성 구성 요소가 있어야 합니다. 보안 태세 관리는 새로운 기능입니다. 이는 보안 함수의 장기적인 수렴에서 한 걸음 앞으로 나아가는 것을 나타냅니다. 이러한 함수는 취약성 관리 및 보안 규정 준수 보고를 포함하여 “환경이 얼마나 안전한가요?”라는 질문에 대답합니다.
온-프레미스 환경에서 보안 거버넌스는 환경에 대해 얻을 수 있는 데이터의 흐름을 따랐습니다. 이러한 데이터 가져오기 방법은 시간이 걸리고 지속적으로 최신이 아닐 수 있습니다. 이제 클라우드 기술은 현재 보안 상태 및 자산 범위에 대한 주문형 가시성을 제공합니다. 이러한 가시성은 거버넌스를 보다 역동적인 조직으로 크게 전환합니다. 이 조직은 보안 표준을 모니터링하고, 지침을 제공하고, 프로세스를 개선하기 위해 다른 보안 팀과 긴밀한 관계를 제공합니다.
이상적인 상태에서 거버넌스는 지속적인 개선의 핵심입니다. 이러한 개선 사항은 조직 전체에서 보안 태세를 지속적으로 개선하는 데 도움이 됩니다.
거버넌스 성공의 주요 원칙은 다음과 같습니다.
- 자산 및 자산 형식의 연속 검색: 동적 클라우드 환경에서는 정적 인벤토리를 사용할 수 없습니다. 조직은 자산 및 자산 유형에 대한 지속적인 검색에 집중해야 합니다. 클라우드에서 새로운 유형의 서비스가 정기적으로 추가됩니다. 워크로드 소유자는 필요에 따라 애플리케이션 및 서비스의 인스턴스를 동적으로 스핀업 및 다운하여 인벤토리 관리를 동적 분야로 만듭니다. 거버넌스 팀은 이러한 변화 속도를 따라잡기 위해 자산 유형 및 인스턴스를 지속적으로 검색해야 합니다.
- 자산 보안 상태의 지속적인 개선: 거버넌스 팀은 클라우드 및 공격자를 따라잡기 위해 표준을 개선하고 해당 표준을 적용하는 데 집중해야 합니다. IT(정보 기술) 조직은 새로운 위협에 신속하게 대응하고 그에 따라 적응해야 합니다. 공격자는 지속적으로 기술을 발전시키고 있으며, 방어는 지속적으로 개선되고 있으므로 이를 사용하도록 설정해야 할 수도 있습니다. 초기 구성에 필요한 모든 보안을 항상 가져올 수는 없습니다.
- 정책 기반 거버넌스: 이 거버넌스는 리소스 전체에서 규모에 맞게 자동으로 적용되는 정책에서 한 번 수정하여 일관된 실행을 제공합니다. 이 프로세스는 반복되는 수동 작업에 낭비되는 시간과 노력을 제한합니다. Azure Policy 또는 타사 정책 자동화 프레임워크를 사용하여 구현되는 경우가 많습니다.
민첩성을 유지하기 위해 모범 사례 지침은 종종 반복적입니다. 여러 원본의 작은 정보를 다이제스트하여 전체 그림을 만들고 지속적으로 작은 조정을 합니다.
거버넌스 및 보호 분야
보호 분야에는 액세스 제어, 자산 보호, 혁신 보안이 포함됩니다. 보안 거버넌스 팀은 보안 모범 사례 및 제어를 일관되게 실행하기 위한 표준 및 지침을 제공합니다.
이상적인 상태에서 보호 팀은 이러한 컨트롤을 적용하고 컨트롤 적용 시 발생하는 문제와 같이 작동 중인 작업에 대한 피드백을 제공합니다. 그런 다음 팀은 함께 협력하여 최상의 솔루션을 식별합니다.
거버넌스 및 보안 작업
보안 거버넌스 및 보안 작업은 함께 작동하여 완전한 가시성을 제공합니다. 실제 인시던트에서 배운 교훈이 아키텍처, 표준, 정책에 통합되도록 합니다.
거버넌스 및 보안 작업은 상호 보완적인 유형의 가시성을 제공합니다.
- 보안 작업은 활성 공격의 즉각적인 위험에 대한 인사이트를 제공합니다.
- 보안 거버넌스 는 잠재적인 향후 공격 및 공격 벡터로 인한 위험의 광범위하거나 긴 보기를 제공합니다.
거버넌스 기능 내의 보안 아키텍트는 인시던트에서 배운 교훈을 식별하는 데 도움이 됩니다. 예를 들어 주요 인시던트 근본 원인이 있습니다. 기업 전체에서 일관된 애플리케이션을 보장하기 위해 조직의 표준에 대한 교훈을 캡처합니다.
자세한 내용은 보안 통합을 참조하세요.
참고
일부 조직에서는 보안 작업에서 보안 상태 모니터링을 수행합니다. 거버넌스에서 이 모니터링을 수행하는 것이 좋습니다. 이 배치는 표준을 적용하는 IT 엔지니어링 및 운영 팀과 더 나은 관계를 만듭니다. 이 관계는 종종 더 높은 품질의 통신과 더 나은 보안 결과를 가져옵니다. 그러지 않으면 표준의 실제 영향을 전혀 볼 수 없는 거버넌스 팀이 있습니다.
다음 단계
다음 분야는 혁신 보안입니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기