다음을 통해 공유


보안 디자인 원칙

Well-Architected 워크로드는 제로 트러스트 접근 방식으로 빌드되어야 합니다. 보안 워크로드는 공격에 탄력 적이며 비즈니스 목표를 달성하는 것 외에도 기밀성, 무결성 및 가용성 ( CIA 트라이어드라고도 함)의 상호 연관된 보안 원칙을 통합합니다. 모든 보안 인시던트는 워크로드 또는 organization 브랜드와 평판을 손상시키는 주요 위반이 될 가능성이 있습니다. 워크로드에 대한 전체 전략의 보안 효율성을 측정하려면 다음 질문부터 시작합니다.

  • 방어 투자는 공격자가 워크로드를 손상시키지 않도록 의미 있는 비용과 마찰을 제공합니까?

  • 보안 조치가 인시던트 폭발 반경을 제한하는 데 효과적일까요?

  • 공격자에게 워크로드를 제어하는 것이 어떻게 유용할 수 있는지 알고 있나요? 워크로드 및 해당 데이터가 도난당하거나, 사용할 수 없거나, 변조된 경우 비즈니스에 미치는 영향을 이해하시나요?

  • 워크로드 및 작업이 중단을 신속하게 감지, 대응 및 복구할 수 있나요?

시스템을 디자인할 때 Microsoft 제로 트러스트 모델을 나침반으로 사용하여 보안 위험을 완화합니다.

  • 신뢰할 수 있는 ID만예상된 위치에서 시작되는 의도된 및 허용된 작업을 수행하도록 명시적으로 확인합니다. 이렇게 보호하면 공격자가 합법적인 사용자 및 계정을 가장하기가 더 어려워집니다.

  • 올바른 ID, 올바른 권한 집합, 적절한 기간올바른 자산에 대해 최소 권한 액세스를 사용합니다. 사용 권한을 제한하면 공격자가 합법적인 사용자에게 필요하지 않은 권한을 남용하지 못하게 할 수 있습니다.

  • 보안 제어 위반을 가정하고 기본 방어 계층이 실패할 경우 위험 및 손상을 제한하는 보정 컨트롤을 설계합니다. 이렇게 하면 성공에 관심이 있는 공격자처럼 생각하여 워크로드를 더 잘 방어할 수 있습니다(이를 얻는 방법에 관계없이).

보안은 일회성 작업이 아닙니다. 이 지침을 반복적으로 구현해야 합니다. 자동화된 공격 키트에 개발 및 추가됨에 따라 혁신적인 공격 벡터에 지속적으로 액세스하는 공격자로부터 워크로드를 안전하게 유지할 수 있도록 방어 및 보안 지식을 지속적으로 개선합니다.

디자인 원칙은 공격자의 시도가 지속적으로 진화함에 따라 워크로드의 보안 상태를 지속적으로 개선하는 데 도움이 되는 지속적인 보안 사고방식을 설정하기 위한 것입니다. 이러한 원칙은 아키텍처, 디자인 선택 사항 및 운영 프로세스의 보안을 안내해야 합니다. 권장 접근 방식부터 시작하고 일련의 보안 요구 사항에 대한 이점을 정당화합니다. 전략을 설정한 후 보안 검사 목록을 다음 단계로 사용하여 작업을 진행합니다.

이러한 원칙이 제대로 적용되지 않으면 비즈니스 운영 및 수익에 부정적인 영향을 미칠 수 있습니다. 일부 결과는 규정 워크로드에 대한 처벌과 같이 명백할 수 있습니다. 다른 사람들은 그렇게 명확하지 않을 수 있으며 감지되기 전에 지속적인 보안 문제가 발생할 수 있습니다.

데이터 반출과 같은 일부 공격 벡터가 안정성에 영향을 주지 않는다는 점을 감안할 때 많은 중요 업무용 워크로드에서 보안은 안정성과 함께 주요 관심사입니다. 보안 중심 디자인은 실패 지점을 도입하고 운영 복잡성을 증가시킬 수 있으므로 보안 및 안정성은 워크로드를 반대 방향으로 끌어올 수 있습니다. 안정성에 대한 보안의 영향은 종종 간접적인 것으로, 운영 제약 조건을 통해 도입됩니다. 보안과 안정성 간의 절충을 신중하게 고려합니다.

이러한 원칙에 따라 보안 효율성을 개선하고 워크로드 자산을 강화하며 사용자와의 신뢰를 구축할 수 있습니다.

보안 준비 계획

목표 아이콘 최소한의 마찰로 아키텍처 설계 결정 및 운영에서 보안 사례를 채택하고 구현하기 위해 노력합니다.

워크로드 소유자는 자산을 보호하기 위해 organization 공동 책임이 있습니다. 비즈니스 우선 순위에 맞는 보안 준비 계획을 만듭니다. 이는 잘 정의된 프로세스, 적절한 투자 및 적절한 책임으로 이어질 것입니다. 이 계획은 자산 보호에 대한 책임도 공유하는 organization 워크로드 요구 사항을 제공해야 합니다. 보안 계획은 안정성, 상태 모델링 및 자체 보존 전략에 영향을 주어야 합니다.

조직 자산 외에도 워크로드 자체는 침입 및 반출 공격으로부터 보호되어야 합니다. 제로 트러스트 CIA 트라이어드의 모든 측면을 계획에 고려해야 합니다.

기능적 및 비기능적 요구 사항, 예산 제약 조건 및 기타 고려 사항은 보안 투자를 제한하거나 보증을 희석해서는 안 됩니다. 동시에 이러한 제약 조건 및 제한을 염두에 두고 보안 투자를 엔지니어링하고 계획해야 합니다.

접근 방식 혜택
세분화를 전략으로 사용하여 워크로드 환경, 프로세스 및 팀 구조에서 보안 경계를 계획하여 액세스 및 기능을 격리합니다.

세분화 전략은 비즈니스 요구 사항에 따라 좌우되어야 합니다. 구성 요소, 노동 분담, 개인 정보 보호 문제 및 기타 요인에 대한 중요도를 기반으로 할 수 있습니다.
역할을 정의하고 명확한 책임 라인을 설정하여 운영 마찰을 최소화할 수 있습니다. 또한 이 연습은 특히 중요한 영향을 미치는 계정의 각 역할에 대한 액세스 수준을 식별하는 데 도움이 됩니다.

격리를 사용하면 중요한 흐름의 노출을 액세스가 필요한 역할 및 자산으로만 제한할 수 있습니다. 과도한 노출은 실수로 정보 흐름 공개로 이어질 수 있습니다.

요약하면 각 세그먼트의 요구 사항에 따라 보안 작업의 크기를 조정할 수 있습니다.
organization 요구 사항 및 워크로드의 사용 사례를 충족하는 역할 기반 보안 교육을 통해 지속적으로 기술을 빌드합니다. 고도로 숙련된 팀은 시스템을 악용하는 새로운 방법을 지속적으로 찾는 공격자에 대해 효과적인 보안 제어 를 설계, 구현 및 모니터링할 수 있습니다.

조직 전체 교육은 일반적으로 공통 요소를 보호하기 위한 광범위한 기술 집합을 개발하는 데 중점을 둡니다. 그러나 역할 기반 교육을 통해 워크로드 문제를 해결하는 플랫폼 제품 및 보안 기능에 대한 심층적인 전문 지식을 개발하는 데 집중합니다.

좋은 디자인과 효과적인 작업을 통해 악의적 사용자를 방어하기 위해 두 가지 방법을 모두 구현해야 합니다.
워크로드에 대한 인시던트 대응 계획이 있는지 확인합니다.

준비, 탐지, 억제, 완화 및 인시던트 후 활동에 대한 표준 운영 절차를 정의하는 업계 프레임워크를 사용합니다.
위기 당시 혼란은 피해야 합니다.

잘 문서화된 계획이 있는 경우 책임 있는 역할은 불확실한 작업에 시간을 낭비하지 않고 실행에 집중할 수 있습니다. 또한 포괄적인 계획을 통해 모든 수정 요구 사항이 충족되도록 할 수 있습니다.
조직 정책, 규정 준수 및 업계 표준과 같은 워크로드 팀 외부의 영향으로 인해 적용되는 보안 규정 준수 요구 사항을 이해하여 보안 태세를 강화합니다. 규정 준수 요구 사항에 대한 Clarity 올바른 보안 보증을 설계하고 규정 미준수 문제를 방지하는 데 도움이 되며 이로 인해 벌금이 부과될 수 있습니다.

업계 표준은 기준을 제공하고 도구, 정책, 보안 보호, 지침, 위험 관리 접근 방식 및 교육 선택에 영향을 줄 수 있습니다.

워크로드가 규정 준수를 준수한다는 것을 알고 있는 경우 사용자 기반 에 대한 신뢰를 심어줄 수 있습니다.
워크로드의 수명 주기 및 운영 전반에 걸쳐 팀 수준 보안 표준을 정의하고 적용합니다.

코딩, 제어된 승인, 릴리스 관리, 데이터 보호 및 보존과 같은 작업에서 일관된 사례를 위해 노력합니다.
적절한 보안 사례를 정의하면 과실 및 잠재적 오류에 대한 노출 영역을 최소화 할 수 있습니다. 팀은 노력을 최적화할 것이며 접근 방식이 더 일관되기 때문에 결과를 예측할 수 있습니다.

시간이 지남에 따라 보안 표준을 준수하면 자동화를 포함하여 개선 기회를 식별할 수 있으므로 노력을 더욱 간소화하고 일관성을 높일 수 있습니다.
인시던트 대응을 organization SOC(Security Operation Center) 중앙 집중식 함수에 맞춥니다. 인시던트 대응 기능을 중앙 집중화하면 실시간으로 인시던트 감지할 수 있는 전문 IT 전문가를 활용하여 가능한 한 빨리 잠재적인 위협을 해결할 수 있습니다.

기밀성을 보호하기 위한 디자인

목표 아이콘 액세스 제한 및 난독 처리 기술을 통해 개인 정보, 규정, 애플리케이션 및 독점 정보에 대한 노출을 방지합니다.

워크로드 데이터는 사용자, 사용량, 구성, 규정 준수, 지적 재산권 등에 따라 분류할 수 있습니다. 해당 데이터는 설정된 신뢰 경계를 넘어 공유하거나 액세스할 수 없습니다. 기밀성을 보호하기 위한 노력은 액세스 제어, 불투명도 및 데이터 및 시스템과 관련된 활동의 감사 내역 유지에 중점을 두어야 합니다.

접근 방식 혜택
알아야 할 경우에만 액세스 권한을 부여하는 강력한 액세스 제어 를 구현합니다. 최소 권한.

워크로드는 무단 액세스 및 금지된 활동으로부터 보호됩니다. 신뢰할 수 있는 ID에서 액세스하는 경우에도 통신 경로가 제한된 기간 동안 열려 있기 때문에 액세스 권한 및 노출 시간이 최소화됩니다 .
형식, 민감도 및 잠재적 위험에 따라 데이터를 분류합니다. 각각에 대한 기밀성 수준을 할당합니다.

식별된 수준의 scope 시스템 구성 요소를 포함합니다.
명시적으로 확인.

이 평가는 보안 조치의 크기를 조정하는 데 도움이 됩니다.

또한 잠재적 영향 및/또는 위험에 노출되는 데이터 및 구성 요소를 식별할 수 있습니다. 이 연습은 정보 보호 전략에 명확성 을 더하고 규약을 보장하는 데 도움이 됩니다.
암호화를 사용하여 미사용, 전송 중 및 처리 중에 데이터를 보호합니다. 할당된 기밀성 수준에서 전략을 기반으로 합니다. 위반 가정.

공격자가 액세스 권한을 얻더라도 제대로 암호화된 중요한 데이터를 읽을 수 없습니다 .

중요한 데이터에는 시스템 내에서 추가 액세스 권한을 얻는 데 사용되는 구성 정보가 포함됩니다. 데이터 암호화는 위험을 포함하는 데 도움이 될 수 있습니다.
정보의 부당한 노출을 유발할 수 있는 악용을 방지합니다. 명시적으로 확인.

인증 및 권한 부여 구현, 코드, 구성, 작업 및 시스템 사용자의 사회적 습관에서 비롯된 취약성을 최소화하는 것이 중요합니다.

최신 보안 조치를 사용하면 알려진 보안 취약성 이 시스템에 들어오지 못하도록 차단할 수 있습니다. 또한 개발 주기 전반에 걸쳐 일상적인 작업을 구현하고 지속적으로 보안 보증을 개선하여 시간이 지남에 따라 나타날 수 있는 새로운 취약성을 완화 할 수 있습니다.
악의적이거나 실수로 데이터에 액세스하여 발생하는 데이터 반출을 방지합니다. 위반 가정.

무단 데이터 전송을 차단하여 폭발 반경을 포함할 수 있습니다. 또한 네트워킹, ID 및 암호화에 적용되는 컨트롤은 다양한 계층의 데이터를 보호합니다.
데이터가 시스템의 다양한 구성 요소를 통해 흐를 때 기밀성 수준을 유지합니다. 위반 가정.

시스템 전체에서 기밀성 수준을 적용하면 일관된 수준의 강화를 제공할 수 있습니다. 이렇게 하면 데이터를 더 낮은 보안 계층으로 이동할 수 있는 취약성을 방지 할 수 있습니다.
모든 유형의 액세스 활동에 대한 감사 내역 을 유지 관리합니다. 위반 가정.

감사 로그는 인시던트 발생 시 더 빠른 검색 및 복구 를 지원하고 지속적인 보안 모니터링에 도움이 됩니다.

무결성을 보호하기 위한 디자인

목표 아이콘 설계, 구현, 운영 및 데이터의 손상을 방지하여 시스템이 의도한 유틸리티를 제공하지 못하게 하거나 규정된 제한을 벗어나 작동할 수 있는 중단을 방지합니다. 시스템은 워크로드 수명 주기 내내 정보 보증을 제공해야 합니다.

핵심은 비즈니스 논리, 흐름, 배포 프로세스, 데이터 및 운영 체제 및 부팅 시퀀스와 같은 하위 스택 구성 요소의 변조를 방지하는 컨트롤을 구현하는 것입니다. 무결성이 부족하면 기밀성 및 가용성 위반으로 이어질 수 있는 취약성이 발생할 수 있습니다.

접근 방식 혜택
시스템에 대한 액세스를 인증하고 권한을 부여하는 강력한 액세스 제어를 구현합니다.

권한, scope 및 시간에 따라 액세스를 최소화합니다.
최소 권한.

컨트롤의 강도에 따라 승인되지 않은 수정으로 인한 위험을 방지하거나 줄일 수 있습니다. 이렇게 하면 데이터가 일관되고 신뢰할 수 있도록 할 수 있습니다.

액세스를 최소화하면 잠재적 손상의 범위가 제한됩니다.
취약성으로부터 지속적으로 보호하고 공급망에서 이를 감지하여 공격자가 소프트웨어 오류를 인프라, 빌드 시스템, 도구, 라이브러리 및 기타 종속성에 주입하지 못하도록 차단합니다.

공급망은 빌드 시간 및 런타임 중에 취약성을 검색해야 합니다.
위반 가정.

소프트웨어의 출처를 파악하고 수명 주기 동안 소프트웨어의 신뢰성을 확인하면 예측 가능성을 제공할 수 있습니다. 미리 취약성에 대해 잘 알고 있으므로 사전에 수정하고 프로덕션 환경에서 시스템을 안전하게 유지할 수 있습니다.
증명, 코드 서명, 인증서 및 암호화와 같은 암호화 기술을 사용하여 신뢰를 설정하고 확인합니다.

신뢰할 수 있는 암호 해독을 허용하여 이러한 메커니즘을 보호합니다.
명시적으로 최소 권한을확인합니다.

신뢰할 수 있는 원본에서 데이터 또는 시스템 액세스에 대한 변경 내용을 확인한다는 것을 알 수 있습니다.

악의적인 행위자가 전송 중에 암호화된 데이터를 가로채더라도 행위자가 콘텐츠를 잠금 해제하거나 해독할 수 없습니다. 디지털 서명을 사용하여 전송 중에 데이터가 변조되지 않도록 할 수 있습니다.
데이터가 복제되거나 전송될 때 백업 데이터가 변경 불가능하고 암호화되는지 확인합니다. 명시적으로 확인합니다.

백업 데이터가 실수로 또는 악의적으로 변경되지 않았다는 확신을 가지고 데이터를 복구할 수 있습니다.
워크로드가 의도한 한도 및 목적을 벗어나 작동할 수 있도록 하는 시스템 구현을 피하거나 완화합니다. 명시적으로 확인합니다.

시스템에 사용량이 의도한 제한 및 목적에 부합하는지 여부를 검사 강력한 보호 장치가 있는 경우 컴퓨팅, 네트워킹 및 데이터 저장소의 잠재적인 남용 또는 변조에 대한 scope 줄어듭니다.

가용성을 보호하기 위한 디자인

목표 아이콘 강력한 보안 제어를 사용하여 보안 인시던트가 발생할 경우 시스템 및 워크로드 가동 중지 시간 및 저하를 방지하거나 최소화합니다. 인시던트 중과 시스템이 복구된 후 데이터 무결성을 유지해야 합니다.

가용성 아키텍처 선택 항목과 보안 아키텍처 선택 항목의 균형을 유지해야 합니다. 시스템에는 사용자가 데이터에 액세스할 수 있고 데이터에 연결할 수 있도록 가용성 보장이 있어야 합니다. 보안 관점에서 사용자는 허용된 액세스 scope 내에서 작동해야 하며 데이터를 신뢰할 수 있어야 합니다. 보안 제어는 잘못된 행위자를 차단해야 하지만 합법적인 사용자가 시스템 및 데이터에 액세스하는 것을 차단해서는 안 됩니다.

접근 방식 혜택
손상된 ID가 액세스를 오용하여 시스템을 제어하지 못하도록 방지합니다.

위험 노출을 최소화하기 위해 지나치게 널리 퍼진 scope 및 시간 제한을 확인합니다.
최소 권한.

이 전략은 중요한 리소스 에 대한 과도한 액세스 권한, 불필요하거나 오용된 액세스 권한의 위험을 완화 합니다. 위험에는 무단 수정 및 리소스 삭제도 포함됩니다. 가능한 한 플랫폼 제공 JIT(Just-In-Time), JEA(Just-Enough-Access) 및 시간 기반 보안 모드를 활용하여 대기 권한을 대체합니다.
보안 제어 및 디자인 패턴을 사용하여 공격 및 코드 결함이 리소스 소모를 일으키고 액세스를 차단하는 것을 방지 합니다. 명시적으로 확인.

시스템에서 DDoS(분산 서비스 거부) 공격과 같은 악의적인 작업으로 인해 가동 중지 시간이 발생하지 않습니다 .
애플리케이션 코드, 네트워킹 프로토콜, ID 시스템, 맬웨어 보호 및 기타 영역의 취약성을 악용하는 공격 벡터에 대한 예방 조치를 구현합니다. 위반 가정.

코드 스캐너를 구현하고, 최신 보안 패치를 적용하고, 소프트웨어를 업데이트하고, 지속적으로 효과적인 맬웨어 방지 프로그램을 사용하여 시스템을 보호합니다.

비즈니스 연속성을 보장하기 위해 공격 표면을 줄일 수 있습니다.
위험에 취약한 시스템의 중요한 구성 요소 및 흐름에 대한 보안 제어의 우선 순위를 지정합니다. 위반을 가정하고 명시적으로 확인합니다.

정기적인 검색 및 우선 순위 지정 연습은 시스템의 중요한 측면에 보안 전문 지식을 적용하는 데 도움이 될 수 있습니다. 가장 가능성이 높고 해로운 위협에 집중하고 가장 주의가 필요한 영역에서 위험 완화를 시작할 수 있습니다.
보안 제어 및 백업 빈도를 포함하여 기본 환경에서와 동일한 수준의 보안 엄격함을 복구 리소스 및 프로세스 에 적용합니다. 위반 가정.

재해 복구에서 사용할 수 있는 안전한 시스템 상태가 보존되어 있어야 합니다. 이렇게 하면 보안 보조 시스템 또는 위치로 장애 조치(failover)하고 위협이 발생하지 않는 백업을 복원할 수 있습니다.

잘 설계된 프로세스는 보안 인시던트가 복구 프로세스를 방해하지 않도록 방지할 수 있습니다. 손상된 백업 데이터 또는 해독할 수 없는 암호화된 데이터는 복구 속도를 늦출 수 있습니다.

보안 태세 유지 및 발전

목표 아이콘 지속적인 개선을 통합하고 경계를 적용하여 공격 전략을 지속적으로 발전시키고 있는 공격자보다 앞서나갈 수 있습니다.

보안 태세는 시간이 지남에 따라 저하되어서는 안 됩니다. 새로운 중단이 보다 효율적으로 처리되도록 보안 작업을 지속적으로 개선해야 합니다. 업계 표준에 정의된 단계에 맞게 개선 사항을 조정하려고 노력합니다. 이렇게 하면 더 나은 준비, 인시던트 검색 시간 단축, 효과적인 억제 및 완화가 발생합니다. 지속적인 개선은 과거 인시던트에서 배운 교훈을 기반으로 해야 합니다.

진화하는 위협에 직면하여 보안 태세를 지속적으로 개선하기 위해 보안 태세를 측정하고, 정책을 적용하여 해당 상태를 유지 관리하고, 보안 완화 및 보상 컨트롤의 유효성을 정기적으로 검사하는 것이 중요합니다.

접근 방식 혜택
리소스, 위치, 종속성, 소유자 및 보안과 관련된 기타 메타데이터에 대한 기밀 정보를 포함하는 포괄적인 자산 인벤토리를 만들고 유지 관리합니다.

가능한 한 인벤토리 를 자동화 하여 시스템에서 데이터를 파생합니다.
잘 구성된 인벤토리는 환경에 대한 전체적인 보기를 제공하므로 특히 인시던트 후 활동 중에 공격자에게 유리한 위치에 있습니다.

또한 통신, 중요한 구성 요소의 유지 관리 및 분리된 리소스의 서비스 해제를 촉진하는 비즈니스 리듬을 만듭니다.
위협 모델링을 수행 하여 잠재적 위협을 식별하고 완화합니다. 심각도 수준에 따라 우선 순위가 지정된 공격 벡터에 대한 보고서가 표시됩니다. 위협 및 취약성을 신속하게 식별하고 대책을 설정할 수 있습니다.
정기적으로 데이터를 캡처하여 설정된 보안 기준에 대해 현재 상태를 정량화 하고 수정에 대한 우선 순위를 설정합니다.

보안 태세 관리를 위한 플랫폼 제공 기능과 외부 및 내부 조직에서 적용한 규정 준수 적용을 활용합니다.
영역에 초점을 맞추기 위해 명확성과 합의를 가져오는 정확한 보고서가 필요합니다. 우선 순위가 가장 높은 항목부터 시작하여 기술 수정을 즉시 실행할 수 있습니다. 또한 개선을 위한 기회를 제공하는 격차를 식별합니다.

적용을 구현하면 위반 및 회귀를 방지하여 보안 상태를 유지하는 데 도움이 됩니다.
시스템을 윤리적으로 해킹하려는 워크로드 팀 외부의 전문가가 수행하는 정기적인 보안 테스트를 실행합니다.

일상적인 통합 취약성 검사를 수행하여 인프라, 종속성 및 애플리케이션 코드에서 악용을 검색합니다.
이러한 테스트를 통해 침투 테스트와 같은 기술을 사용하여 실제 공격을 시뮬레이션하여 보안 방어의 유효성을 검사할 수 있습니다.

위협은 변경 관리의 일부로 도입될 수 있습니다. 스캐너를 배포 파이프라인에 통합하면 취약성을 자동으로 검색하고 취약성이 제거될 때까지 사용량을 격리할 수 있습니다.
신속하고 효과적인 보안 작업을 사용하여 검색, 대응 및 복구합니다. 이 방법의 주요 이점은 공격 중과 공격 후 CIA 트라이어드의 보안 보증을 유지하거나 복원 할 수 있다는 것입니다.

조사를 시작하고 적절한 조치를 취할 수 있도록 위협이 감지되는 즉시 경고를 받아야 합니다.
근본 원인 분석, 사후 분석 및 인시던트 보고서와 같은 인시던트 후 활동을 수행합니다. 이러한 활동은 위반의 영향과 해결 조치에 대한 인사이트를 제공하여 방어 및 운영 개선을 추진합니다.
최신 상태를 유지하고 최신 상태를 유지합니다.

업데이트, 패치 및 보안 수정 사항을 최신 상태로 유지합니다.

시스템을 지속적으로 평가하고 테스트 작업의 감사 보고서, 벤치마킹 및 단원에 따라 시스템을 개선합니다. 자동화를 적절하게 고려합니다.

위협의 동적 검색을 위해 보안 분석에서 제공하는 위협 인텔리전스를 사용합니다.

정기적으로 워크로드의 SDL(보안 개발 수명 주기) 모범 사례 준수를 검토합니다.
시간이 지남에 따라 보안 상태가 저하되지 않도록 할 수 있습니다.

실제 공격의 결과를 통합하고 활동을 테스트하면 새로운 취약성 범주를 지속적으로 개선하고 악용하는 공격자를 방지할 수 있습니다.

반복적인 작업을 자동화하면 위험을 초래할 수 있는 사람의 오류가 발생할 가능성이 줄어듭니다 .

SDL 검토는 보안 기능에 대한 명확성을 제공합니다. SDL은 원본, 사용량, 운영 약점 및 기타 요인을 다루는 워크로드 자산 및 해당 보안 보고서의 인벤토리를 유지하는 데 도움이 될 수 있습니다.

다음 단계