랜딩 존 보안 개선

  • 아티클

워크로드 또는 워크로드를 호스트하는 랜딩 존이 중요한 데이터 또는 중요한 시스템에 액세스해야 하는 경우 데이터와 자산을 보호하는 것이 중요합니다.

보안

준비 상태를 종료할 때 환경의 보안을 유지해야 하는 지속적인 책임이 있습니다. 클라우드 보안은 정적 대상이 아닌 증분 프로세스이기도 합니다. 보안 종료 상태를 구상할 때 목표 및 주요 결과에 집중합니다. 인간 분야의 역할 및 책임에 대한 매핑과 함께 CAF 보안 방법론 분야에 개념, 프레임워크, 표준을 매핑합니다. 보안 방법론은 지침을 제공합니다.

아래에서는 세부 정보에 대한 링크와 함께 이 지침의 개요를 제공합니다.

위험 인사이트

비즈니스 운영에는 보안 위험이 있습니다. 보안 팀은 비즈니스를 이해하고 보안 사례를 사용하여 적절한 계획을 수립하고 조치를 취할 위험을 인식함으로써 보안 위험이 프레임워크에 어떻게 부합하는지 의사 결정자에게 알리고 조언해야 합니다.

  • 사이버 보안 위험이란?: 통화, 내부 정보 또는 기술을 훔치려는 공격자에 의한 비즈니스의 모든 잠재적 손상 또는 파괴입니다.
  • 보안 위험 관리 조정: 사이버 보안과 조직 리더십 사이를 연결하는 데 투자하고, 비즈니스 친화적인 용어를 사용하여 보안 위협을 설명하고, 비즈니스 전반의 모든 사람들과 적극적으로 의사 소통하면서 그들의 의견을 경청합니다.
  • 사이버 보안 위험 이해: 돈, 정보 또는 기술을 도용하고 다양한 공격 유형의 잠재적 영향을 식별하기 위한 공격자의 동기와 행동 패턴을 이해합니다.

보안 통합

보안이 조직의 관심사이며 단일 그룹에 국한되지 않는지 확인합니다. 보안 통합은 비즈니스 프로세스와의 마찰을 최소화하면서 모든 사람의 역할에 보안을 통합하는 방법에 대한 지침을 제공합니다. 구체적인 지침에는 다음이 포함됩니다.

  • 관계 정상화: 모든 팀이 보안 팀과 통합되고 보안 목표에 대한 이해를 공유하도록 합니다. 또한 적절한 수준의 보안 제어를 찾아 제어 수준이 비즈니스 가치보다 크지 않도록 합니다.
  • IT 및 비즈니스 운영과 통합: 보안 업데이트 구현과 모든 보안 프로세스가 현재 비즈니스 및 향후 잠재적인 보안 위험에 어떤 영향을 미치는 지에 대한 매핑 사이에서 균형을 맞춥니다.
  • 보안 팀 통합: 활성 위협에 대응하고, 보안을 동적 분야로 실행하여 조직의 보안 태세를 지속적으로 개선하면서 사일로에서 운영하지 않도록 합니다.

비즈니스 복원력

조직은 보안을 완벽하게 유지할 수는 없지만 인시던트 전, 도중 및 후에 보안 위험의 전체 수명 주기를 투자하는 데 있어 비즈니스 복원력에 대한 실용적인 접근 방식은 여전히 존재합니다.

  • 복원력 목표: 비즈니스를 빠르게 혁신하고, 영향을 제한하며, 항상 기술을 채택할 수 있는 안전한 방법을 모색할 수 있도록 하는 데 집중합니다.
  • 보안 복원력 및 위반 가정: 보안 위반 또는 손상이 제로 트러스트의 핵심 원칙을 따르고 실용적인 보안 동작을 실행하여 공격을 방지하고, 손상을 제한하고, 신속하게 복구하도록 가정합니다.

Access Control

사용자 환경과 보안 보증을 모두 조정하는 액세스 제어 전략을 만듭니다.

  • 보안 경계에서 제로 트러스트까지: 클라우드에서 작업하고 새 기술을 사용할 때 보안 보증을 설정하고 개선하기 위한 액세스 제어의 경우 제로 트러스트 접근 방식을 수용합니다.
  • 최신 액세스 제어: 포괄적이고 일관되며 유연한 액세스 제어 전략을 수립합니다. 여러 워크로드, 클라우드, 다양한 비즈니스 민감도 수준에 대한 단일 전술 또는 기술을 초월합니다.
  • 알려진, 신뢰할 수 있는, 허용된: 동적 3단계 프로세스에 따라 알려진 인증인지 확인하고, 사용자 또는 디바이스를 신뢰하며, 애플리케이션, 서비스 또는 데이터에 대한 적절한 권한을 허용합니다.
  • 데이터 기반 액세스 결정: 명시적 유효성 검사를 수행하기 위해 사용자 및 디바이스의 다양한 데이터에서 정보에 입각한 결정을 내립니다.
  • 구분: 보호하기 위해 분리: 성공적인 공격의 손해를 포함하도록 별도의 세그먼트로 내부 환경의 경계를 만듭니다.
  • 격리: 방화벽 방지 및 제거: 사람, 프로세스, 기술로 구성된 중요 비즈니스용 자산에 대해 극단적인 형태의 분할을 디자인합니다.

보안 운영

조직을 보호하려면 위험을 줄이고 신속하게 대응 및 복구하는 방식으로 보안 작업을 설정하고 DevOps 프로세스의 보안 분야를 따릅니다.

  • 사용자 및 프로세스: 포렌식 조사 역할에 많은 경력이 있는 비 기술자를 포함하고 교육하여 가장 가치 있는 자산으로 사용할 수 있는 도구를 가진 사람들에게 힘을 실어주고 사고 포트폴리오를 다각화하는 문화를 만듭니다.
  • 보안 운영 모델: 인시던트 관리, 인시던트 준비, 위협 인텔리전스의 결과에 초점을 맞춥니다. 하위 팀 간의 결과를 위임하여 대량 및 복잡한 인시던트를 심사, 조사, 헌팅합니다.
  • SecOps 비즈니스 터치포인트: 주요 인시던트를 알리고 중요한 시스템이 미치는 영향을 결정하기 위해 비즈니스 리더십과 상호 작용합니다. 조직의 위험을 줄이기 위해 지속적으로 공동 대응합니다.
  • SecOps 현대화: 플랫폼 적용 범위, ID 중심 보안, IoT, OT 디바이스 및 클라우드의 관련 원격 분석과 관련된 추세를 따라 보안 작업을 개선합니다.

자산 보호

각 자산 유형에 고유한 보안 컨트롤을 구현하여 모든 물리적 및 가상 항목을 포함하는 중요 비즈니스용 자산을 보호합니다. 정책, 표준, 아키텍처를 충족하도록 예방 및 검색 보호를 일관되게 실행합니다.

  • 보안 유지: 브라운필드 자산에 현재 컨트롤을 적용하고 그린필드 자산이 최신 표준으로 설정되도록 하여 조직의 최신 보안 표준 및 정책에 리소스를 적용합니다.
  • 보안 유지: 비즈니스, 기술, 보안 요구 사항이 빠르게 변화함에 따라 클라우드를 지속적으로 개선하고 수명 종료 소프트웨어 업그레이드 또는 사용 중지 계획을 수립합니다.
  • 시작: 먼저 잘 알려진 클라우드 리소스에 집중하여 자산 보호를 시작하고 보안 구성에는 잘 알려져 있고 검증된 공급업체/업계 기준을 사용합니다.
  • 주요 정보: 책임 있는 팀의 핵심 요소를 사용하여 클라우드 탄력성 워크로드 요구 사항 및 디자인 컨트롤과 같은 엔터프라이즈 차원의 자산을 관리하여 모범 사례를 식별합니다. 자산 보호의 비즈니스 가치를 측정하고 비용 및 수동 반복을 방지하기 위해 자동화된 정책을 장려합니다.

보안 거버넌스

비즈니스 목표와 위험을 사용하여 보안에 가장 적합한 방향을 결정함으로써 시간이 지남에 따라 보안 태세를 유지하고 개선할 수 있도록 보안 거버넌스를 통해 감독 및 모니터링을 수행합니다.

  • 규정 준수 및 보고: 외부 및 내부 보안 정책이 지정된 업계의 필수 요구 사항을 충족해야 합니다.
  • 아키텍처 및 표준: 대부분의 엔터프라이즈는 온-프레미스 및 클라우드 리소스를 모두 포함하는 하이브리드 환경이므로 엔터프라이즈 자산 전체에서 통합 보기를 만듭니다.
  • 보안 태세 관리: 거버넌스를 계획하여 보안 표준을 모니터링하고, 지침을 제공하고, 프로세스를 개선합니다. 정책 및 지속적인 개선을 통해 주도적인 거버넌스로 민첩성을 유지합니다.
  • 거버넌스 및 보호 분야: 보안 제어를 적용하고 피드백을 제공하여 최상의 솔루션을 식별합니다.
  • 거버넌스 및 보안 운영: 인시던트에서 배운 교훈이 보안 운영 및 거버넌스에 통합되었는지 확인합니다.

혁신 보안

혁신 보안을 염두에 두고 새로운 애플리케이션이 개발됨에 따라 사이버 공격으로부터 혁신의 프로세스와 데이터를 보호합니다.

  • DevSecOps란?: DevOps에서 이미 결합된 개발 및 운영 프로세스에 보안을 통합하여 혁신 프로세스의 위험을 완화합니다.
  • 초기 단계에 보안 설계: DevOps 수명 주기의 모든 단계에서 보안을 포함하고 혁신 속도, 안정성, 복원력에 맞추어 팀을 조정합니다.
  • 왜 DevSecOps인가?: 조직 내 모든 IT 인프라의 약점을 악용하는 공격자를 방어하는 DevOps 프로세스를 보호하는 것은 결국 고객을 보호하는 것입니다.
  • DevSecOps 경험: 대부분의 조직처럼 2단계 프로세스로 아이디어 인큐베이션 및 DevOps를 사용합니다. MVP(실행 가능한 최소 제품) 요구 사항을 파악하고, 리더십 기술을 사용하여 팀 충돌을 해결하고, 기존 프로세스 및 도구의 보안을 통합합니다.
  • 여정 탐색에 대한 팁: 보안을 혁신할 때 여정 전체에서 교육, 시간, 자원 조달, 전반적으로 변화하는 IT 운영 특성과 관련된 일반적인 과제가 있습니다.

DevSecOps 컨트롤

DevSecOps 컨트롤을 만들 때 CI/CD(연속 통합 및 지속적인 업데이트)의 각 단계에 보안을 추가합니다.

  • 계획 및 개발: 최신 개발 방법론의 계획 단계에 보안을 적용하여 위협 모델링, IDE 보안 플러그 인/사전 커밋, 피어 검토를 구현합니다.
  • 코드 커밋: 취약성 검사 기능을 평가하고 중앙 집중식 리포지토리에 구현하여 위험을 찾아내고 수정합니다.
  • 빌드 및 테스트: 기존 환경을 다시 배포하거나 업그레이드하는 데 많은 시간을 소비하지 않고 보안 코드를 빌드하고 배포하는 프로세스의 자동화와 표준화를 위해 빌드 및 릴리스 파이프라인을 사용합니다.
  • 프로덕션으로 이동하여 운영: 솔루션을 프로덕션으로 가져올 때 보안 상태를 감독하고 관리합니다. 팀이 해결할 위험 및 취약성을 찾을 수 있도록 인프라 검사 도구 및 침투 테스트 사례를 사용합니다.

테스트 기반 개발 주기

보안 향상을 시작하기 전에 "완료 정의" 및 모든 "수용 조건"을 이해하는 것이 중요합니다. 자세한 내용은 랜딩 존의 테스트 기반 개발Azure의 테스트 기반 개발에 대한 문서를 참조하세요.

다음 단계

중요한 애플리케이션을 지원하기 위해 랜딩 존 작업을 개선하는 방법을 이해합니다.

랜딩 존 작업 개선