Azure용 Microsoft 클라우드 채택 프레임워크의 보안

  • 아티클

클라우드 채택이 여정인 것처럼 클라우드 보안은 정적 대상이 아니라 증분 진행 및 완성도의 지속적인 여정입니다.

보안 종료 상태 구상

목적지가 없는 여행은 방황일 뿐입니다. 이 접근 방식은 결국 깨달음으로 이어질 수 있지만 비즈니스 목표와 제약 조건에는 종종 목표와 주요 결과에 집중해야 합니다.

보안 방법론은 시간이 지남에 따라 보안 프로그램의 개선을 안내하는 완전한 종료 상태에 대한 비전을 제공합니다. 다음 시각적 개체는 보안이 더 큰 organization 통합되는 주요 방법을 매핑하고 보안 내의 분야를 보여 줍니다.

CAF 보안 방법론 비즈니스 조정 및 보안 분야를 보여 주는 시각적 개체입니다.

이 클라우드 채택 프레임워크 프로세스, 모범 사례, 모델 및 환경에 대한 명확성을 제공하여 이 보안 여정을 안내합니다. 이 지침은 실제 고객의 교훈과 실제 경험, Microsoft의 보안 경험을 기반으로 하며 NIST, 오픈 그룹 및 CIS(인터넷 보안 센터)와 같은 조직과 협력합니다.

다음 비디오에서는 보안 방법론이 시간이 지남에 따라 보안 향상을 안내하는 방법을 보여 줍니다.

개념, 프레임워크 및 표준에 매핑

보안은 독립 실행형 조직 분야이며 다른 분야에 통합되거나 오버레이되는 특성입니다. 세부 정보를 정확하게 정의하고 매핑하는 것은 어렵습니다. 보안 업계는 다양한 프레임워크를 사용하여 제어를 운영하고, 위험을 포착하고, 제어를 계획합니다. CAF 보안 방법론의 분야는 다음과 같은 방법으로 다른 보안 개념 및 지침과 관련이 있습니다.

  • 제로 트러스트: Microsoft는 모든 보안 분야가 위반을 가정하고 명시적으로 확인하고최소 권한 액세스를 사용하는 제로 트러스트 원칙을 따라야 한다고 믿습니다. 이러한 원칙은 모든 건전한 보안 전략을 뒷받침하며 비즈니스 지원 목표와 균형을 유지해야 합니다. 제로 트러스트 가장 눈에 띄는 부분은 액세스 제어에 있으므로 액세스 제어 보안 분야에 대한 설명에서 강조 표시됩니다.

  • 열린 그룹: 이러한 보안 분야는 Microsoft가 적극적으로 참여하는 오픈 그룹이 발행한 핵심 원칙 백서의 제로 트러스트 구성 요소에 밀접하게 매핑됩니다. 주목할 만한 예외는 Microsoft가 혁신 보안 분야를 향상시켜 DevSecOps가 많은 조직에서 이 분야가 얼마나 새롭고 중요하며 혁신적이기 때문에 최상위 요소라는 점입니다.

  • NIST 사이버 보안 프레임워크:NIST 사이버 보안 프레임워크를 사용하는 조직의 경우 프레임워크가 가장 밀접하게 매핑되는 부분을 굵은 텍스트로 강조 표시했습니다. 최신 액세스 제어 및 DevSecOps는 프레임워크의 전체 스펙트럼에 광범위하게 매핑되므로 이러한 항목은 개별적으로 표시되지 않습니다.

역할 및 책임에 매핑

다음 다이어그램에는 보안 프로그램의 역할 및 책임이 요약되어 있습니다.

엔터프라이즈 보안 팀의 책임 및 기능 다이어그램

자세한 내용은 클라우드 보안 기능을 참조하세요.

보안 변환

조직은 클라우드를 채택할 때 정적 보안 프로세스가 클라우드 플랫폼의 변화 속도, 위협 환경 및 보안 기술의 진화를 따라갈 수 없다는 것을 빠르게 알게 됩니다. 보안은 이러한 변화에 맞게 지속적으로 진화하는 접근 방식으로 전환해야 합니다. organization 전체에서 조직 문화와 일상적인 프로세스를 변환합니다.

이 방법론은 보안과 비즈니스 프로세스 및 보안 기술 분야의 통합을 안내합니다. 이러한 프로세스와 분야를 통해 보안 여정에서 의미 있고 지속 가능한 진행을 통해 조직의 위험을 줄일 수 있습니다. 이러한 모든 사례를 한 번에 완벽하게 처리할 수 있는 조직은 거의 없지만 모든 조직은 각 프로세스와 규율을 꾸준히 성숙시켜야 합니다.

드라이버 변경

보안 조직은 두 가지 유형의 주요 변환을 동시에 경험합니다.

  • 비즈니스 위험으로서의 보안: 보안은 순수한 기술 품질 지향 분야의 비즈니스 위험 관리 영역으로 추진되었습니다. 보안을 구동하는 이중 힘은 다음과 같습니다.
    • 디지털 변환: 디지털 공간 증가는 organization 잠재적인 공격 표면을 지속적으로 증가합니다.
    • 위협 환경: 전문 기술과 공격 도구 및 기법의 지속적인 상품화를 통해 산업화된 공격 경제에 힘입어 공격 규모가 커지고 정교해지고 있습니다.
  • 플랫폼 변경: 보안은 클라우드에 대한 기술 플랫폼 변경으로 어려움을 겪고 있습니다. 이러한 변화의 규모는 공장이 자체 발전기를 가동하는 것에서 전력망에 연결하는 것으로 전환하는 것과 같습니다. 보안 팀은 종종 올바른 기본 기술을 가지고 있지만, 매일 사용하는 거의 모든 프로세스와 기술의 변화에 압도됩니다.
  • 기대치의 변화: 지난 10년간 디지털 혁신은 산업 전체를 재정립했습니다. 비즈니스 민첩성, 특히 디지털 혁신과 관련된 민첩성을 갖추지 못하면 시장 선두의 조직도 빠르게 도태될 수 있습니다. 소비자 신뢰도의 손실은 비즈니스에 비슷한 영향을 미칠 수 있습니다. 한때 보안이 "아니요"로 시작하여 프로젝트를 차단하고 organization 보호하는 것이 허용되었습니다. 이제 디지털 트랜스포메이션을 수용해야 하는 긴급성은 참여 모델을 "관련성을 유지하는 데 필요한 작업을 수행하는 동안 안전하게 유지하는 방법에 대해 이야기해 봅시다"로 변경해야 합니다.

가이드 지속적인 변환

비즈니스 및 기술 팀이 보안을 보는 방식을 변환하려면 우선 순위, 프로세스 및 위험 프레임워크에 보안을 조정해야 합니다. 성공을 이끄는 주요 영역은 다음과 같습니다.

  • 문화: 보안 문화는 비즈니스 임무를 방해하지 않고 안전하게 수행하는 데 초점을 맞춰야 합니다. 보안은 organization 문화권의 정규화된 부분이 되어야 합니다. 비즈니스가 운영되는 인터넷은 열려 있으며 악의적 사용자가 언제든지 공격을 시도할 수 있습니다. 이러한 문화적 변화를 위해서는 변화를 전달하고, 행동을 모델링하고, 변화를 강화하기 위해 모든 수준에서 향상된 프로세스, 파트너십 및 지속적인 리더십의 지원이 필요합니다.
  • 위험 소유권: 보안 위험에 대한 책임은 다른 모든 위험을 소유하는 동일한 역할에 할당되어야 합니다. 이 책임은 보안을 scapegoat보다는 신뢰할 수있는 고문 및 주제 전문가가 될 수 있습니다. 보안은 이러한 지도자의 언어로 전달되지만 소유하지 않은 결정에 대해 책임을 지지 않아야 하는 건전하고 균형 잡힌 조언에 대한 책임이 있어야 합니다.
  • 보안 인재: 보안 인재는 만성적인 부족에 있으며 조직은 보안 지식과 기술을 가장 잘 개발하고 배포하는 방법을 계획해야 합니다. 완성도 높은 보안 팀은 기술 보안 기술 세트를 사용하여 직접 보안 팀을 성장시키는 것 외에도 다음 사항에 집중하여 전략을 다양화하고 있습니다.
    • IT 및 비즈니스 내의 기존 팀 내에서 보안 기술 세트 및 지식이 증가하고 있습니다. 이러한 기술은 DevSecOps 접근 방식을 사용하는 DevOps 팀에 특히 중요합니다. 이 기술은 보안 지원 센터, 커뮤니티 내에서 챔피언 식별 및 교육 또는 작업 교환 프로그램과 같은 다양한 형태를 취할 수 있습니다.
    • 보안 팀에 다양한 기술 세트를 도입하면 문제에 대한 새로운 관점 및 프레임워크를 제공하고(예: 비즈니스, 인간 심리 또는 경제) 조직 내에서 보다 나은 관계를 구축합니다.

비즈니스 조정

이러한 변화로 인해 클라우드 채택 프로그램은 다음 세 가지 범주에서 비즈니스 조정에 중점을 두어야 합니다.

  • 위험 인사이트: 보안 인사이트 및 위험 신호 또는 원본을 비즈니스 이니셔티브에 맞게 조정하고 통합합니다. 반복 가능한 프로세스가 이러한 인사이트의 적용에 대해 팀을 교육하고 개선에 대한 책임을 팀에 맡기도록 합니다.
  • 보안 통합: 보안 지식, 기술 및 인사이트를 비즈니스 및 IT 환경의 일상적인 운영에 통합합니다. organization 모든 수준에서 반복 가능한 프로세스와 심층 파트너십을 통합합니다.
  • 운영 복원력: 공격 중에 작업을 계속하여 organization 복원력이 있는지 확인합니다(성능이 저하된 상태인 경우에도). organization 신속하게 전체 작업으로 반송되어야 합니다.

보안 분야

이 변환은 각 보안 분야에 다르게 영향을 줍니다. 이러한 각 분야는 중요하며 투자가 필요합니다. 다음 분야는 클라우드를 채택할 때 빠른 승리를 위한 가장 즉각적인 기회가 있는 순서(대략)입니다.

  • 액세스 제어: 네트워크 및 ID를 적용하면 보안 위반 빈도와 범위를 줄이기 위해 액세스 경계 및 구분이 생성됩니다.
  • 보안 작업: IT 작업을 모니터링하여 위반을 감지, 대응 및 복구합니다. 데이터를 사용하여 위반 위험을 지속적으로 줄입니다.
  • 자산 보호: 인프라, 디바이스, 데이터, 애플리케이션, 네트워크 및 ID와 같은 자산의 보호를 최대화하여 전체 환경에 대한 위험을 최소화합니다.
  • 보안 거버넌스: 위임된 결정은 혁신을 가속화하지만 새로운 위험도 야기합니다. 의사 결정, 구성 및 데이터를 모니터링하여 환경 전체와 포트폴리오의 워크로드 내에서 내린 결정을 제어합니다.
  • 혁신 보안: organization 혁신 속도를 높이기 위해 DevOps 모델을 채택하므로 보안은 DevSecOps 프로세스의 필수적인 부분이 되어야 합니다. 보안 전문 지식과 리소스를 이 고속 주기에 직접 통합합니다. 이 프로세스에는 워크로드 중심 팀에 권한을 부여하기 위해 중앙 집중식 팀에서 일부 의사 결정을 이동하는 작업이 포함됩니다.

기본 원칙

보안 활동은 다음에 대한 이중 포커스에 의해 정렬되고 형성되어야 합니다.

  • 비즈니스 지원: organization 비즈니스 목표 및 위험 프레임워크에 맞게 조정합니다.
  • 보안 보증: 다음과 같은 제로 트러스트 원칙을 적용하는 데 집중합니다.
    • 위반 가정: 구성 요소 또는 시스템에 대한 보안을 설계할 때 organization 다른 리소스가 손상된 것으로 가정하여 공격자가 액세스를 확장할 위험을 줄입니다.
    • 명시적 확인: 트러스트를 가정하는 대신 사용 가능한 모든 데이터 요소를 사용하여 신뢰의 유효성을 명시적으로 검사합니다. 예를 들어 액세스 제어에서 암시적으로 신뢰할 수 있는 내부 네트워크에서 액세스를 허용하는 대신 사용자 ID, 위치, 디바이스 상태, 서비스 또는 워크로드, 데이터 분류 및 변칙의 유효성을 검사합니다.
    • 최소 권한 액세스: JIT/JEA(Just-In-Time 및 Just-Enough-Access), 위험 기반 적응형 정책 및 데이터 보호를 제공하여 데이터 및 생산성을 보호함으로써 손상된 사용자 또는 리소스의 위험을 제한합니다.

다음 단계

보안 방법론은 다음을 포함하는 포괄적인 보안 지침 세트의 일부입니다.