Azure용 Microsoft 클라우드 채택 프레임워크의 보안

클라우드 채택이 하나의 과정이듯이, 클라우드 보안도 정해진 목적지가 아니라 점진적으로 발전시키고 완성도를 높이는 지속적인 과정입니다.

보안 종료 상태 구상

목적지가 없는 여행은 방황일 뿐입니다. 이러한 접근 방식을 통해 결국 깨닫게 되지만, 비즈니스 목표와 제약 조건은 종종 목표와 주요 결과에 집중해야 합니다.

보안 방법론은 완전한 최종 상태에 대한 비전을 제공하여 시간에 따라 보안 프로그램이 개선되도록 안내합니다. 다음 인포그래픽은 보안이 대규모 조직과 여러 분야를 보안 내에 통합하는 주요 방법을 시각적으로 매핑하여 보여줍니다.

CAF 보안 방법

클라우드 채택 프레임워크는 프로세스, 모범 사례, 모델 및 환경을 명확하게 제공하여 이 보안에 대한 보안 경험에 대한 지침을 제공합니다. 이 지침은 실제 고객의 실제 경험, Microsoft의 보안 경험에서 얻은 교훈, 그리고 NIST, The Open Group 및 CIS(Center for Internet Security)와 같은 조직과의 협력을 기반으로 합니다.

다음 비디오를 시청하여 보안 방법론 및 시간이 지남에 따라 보안 향상을 계속하는 데 도움이 되는 방법에 대해 자세히 알아보세요.

개념, 프레임워크 및 표준에 매핑

보안 자체는 독립적 조직 분야이자 다른 분야에 통합되거나 중첩되는 품질/속성입니다. 따라서 세부적으로 정의 및 매핑하기가 어렵습니다. 보안 업계에서는 다양한 프레임워크를 사용하여 위험을 포착하고, 이를 통제할 계획을 세우고, 운영합니다. 다음은 CAF Secure 방법론의 각 분야가 다른 보안 개념 및 지침과 어떻게 관련되는지를 간략하게 요약한 것입니다.

  • 제로 트러스트: Microsoft는 모든 보안 분야가 위반 가정, 명시적 확인, 최소 권한 액세스 사용의 제로 트러스트 원칙을 따라야 한다고 믿고 있습니다. 이러한 원칙은 건전한 보안 전략을 뒷받침하며 비즈니스 지원 목표와 균형을 이루어야 합니다. 제로 트러스트의 가장 먼저 눈에 띄는 부분은 액세스 제어에 있으므로 액세스 제어 보안 분야에 중점적으로 설명되어 있습니다.

  • The Open Group: 이러한 보안 분야는 Microsoft가 적극적으로 참여하는 The Open Group에서 발행한 핵심 원칙 백서의 제로 트러스트 구성 요소에 밀접하게 매핑됩니다. 한 가지 주목할 만한 예외는 많은 조직에서 DevSecOps가 매우 새롭고, 중요하며, 혁신적이기 때문에 Microsoft가 혁신 보안 분야를 상향 조정했다는 것입니다.

  • NIST 사이버 보안 프레임워크:NIST 사이버 보안 프레임워크를 사용하는 조직의 경우 프레임워크가 가장 밀접하게 매핑되는 부분을 굵은 텍스트로 강조 표시했습니다. 최신 액세스 제어 및 DevSecOps는 프레임워크의 전체 스펙트럼에 광범위하게 매핑되므로 이러한 항목은 개별적으로 표시되지 않습니다.

역할 및 책임에 매핑

보안은 고도의 기술적인 분야이지만, 무엇보다도 인간의 오랜 갈등 역사를 반영하는 인간 관련 분야입니다(그러나 컴퓨터와 인터넷으로 업데이트됨). 다음 다이어그램에는 보안 프로그램의 역할 및 책임이 요약되어 있습니다.

엔터프라이즈 보안 팀의 책임/기능 보기

자세한 내용은 클라우드 보안 기능을 참조하세요.

보안 변환

클라우드를 채택한 조직은 정적 보안 프로세스가 클라우드 플랫폼의 변화 속도, 위협 환경, 보안 기술의 발전 속도를 따라잡지 못한다는 사실을 이내 알게 됩니다. 보안은 조직 전체에 걸쳐 조직 문화와 일상적인 프로세스를 변화시킬 이러한 변화에 발맞춰 지속적으로 발전하는 접근 방식으로 전환되어야 합니다.

이러한 변환을 유도하기 위해 이 방법론은 비즈니스 프로세스(맨 위 행) 및 보안 기술 분야(맨 아래 행)와의 보안 통합에 대한 지침을 제공합니다. 이를 통해 조직의 위험을 줄이기 위해 보안 경험에 의미 있고 지속 가능한 진전을 이룹니다. 이러한 모든 것을 한 번에 마스터할 수 있는 조직은 거의 없지만, 모든 조직은 각 프로세스와 분야를 꾸준히 완성시켜 나가야 합니다.

드라이버 변경

보안 조직은 다음의 두 가지 주요 변환 유형을 동시에 경험하고 있습니다.

  • 비즈니스 위험으로서의 보안: 보안은 순수한 기술 품질 지향적 분야에서 비즈니스 위험 관리 영역으로 발전했습니다. 여기에는 다음의 두 가지 요인이 있습니다.
    • 디지털 변환: 디지털 발자국이 증가하면 조직의 잠재적인 공격 노출 영역이 지속적으로 늘어나고 있습니다.
    • 위협 환경: 전문 기술과 공격 도구 및 기법의 지속적인 상품화를 통해 산업화된 공격 경제에 힘입어 공격 규모가 커지고 정교해지고 있습니다.
  • 플랫폼 변경: 보안은 또한 클라우드에 대한 기술 플랫폼 변경으로 고심하고 있습니다. 이러한 변화의 규모는 공장이 자체 발전기를 가동하는 것에서 전력망에 연결하는 것으로 전환하는 것과 같습니다. 보안 팀은 적합한 기본 기술을 가지고 있기도 하지만 매일 사용하는 거의 모든 프로세스와 기술의 변화에 압도당하고 있습니다.
  • 기대치의 변화: 지난 10년간 디지털 혁신은 산업 전체를 재정립했습니다. 비즈니스 민첩성, 특히 디지털 혁신과 관련된 민첩성을 갖추지 못하면 시장 선두의 조직도 빠르게 도태될 수 있습니다. 마찬가지로 소비자 신뢰의 상실은 비즈니스에 이와 유사한 영향을 줄 수 있습니다. 한때는 보안이 프로젝트를 차단하고 조직을 보호하기 위해 “아니요”로 시작하는 것이 허용되었지만, 디지털 트랜스포메이션을 수용해야 하는 시급함은 참여 모델을 “서비스를 유지하면서 안전을 유지하는 방법에 대해 이야기합시다”로 변경해야 합니다.

지속적인 변환 유도

비즈니스 및 기술 팀이 보안을 바라보는 방식을 바꾸려면 보안을 우선 순위, 프로세스, 위험 프레임워크에 맞춰 긴밀하게 조정해야 합니다. 성공으로 이끄는 주요 영역은 다음과 같습니다.

  • 문화: 보안 문화는 비즈니스 임무를 방해하지 않고 안전하게 수행하는 데 초점을 맞춰야 합니다. 동시에, 기업 운영이 인터넷에 개방되어 악의적인 사용자가 언제든지 공격할 수 있음에 따라 보안은 조직 문화의 정규 부분이 되어야 합니다. 이러한 문화적 변화를 위해서는 변화를 전달하고, 행동을 모델링하고, 변화를 강화하기 위해 모든 수준에서 향상된 프로세스, 파트너십 및 지속적인 리더십의 지원이 필요합니다.
  • 위험 처리 권한: 보안 위험에 대한 책임을 다른 모든 위험을 처리하는 역할에 할당하여, 보안 담당자는 희생양이 아닌 신뢰할 수 있는 조언자 및 관련 전문가가 되도록 해야 합니다. 보안 담당자는 리더가 전달하는 건전하고 균형 잡힌 조언에 대해 책임을 져야 하지만, 자신들이 내리지 않은 결정에 대해서는 책임을 지지 않아야 합니다.
  • 보안 인재: 보안 인재는 만성적인 부족 상태에 있으며 조직은 항상 보안 지식과 기술을 최적으로 개발하고 배포하는 방법을 계획해야 합니다. 완성도 높은 보안 팀은 기술 보안 기술 세트를 통해 직접 성장하는 보안 팀 외에도, IT 및 비즈니스의 기존 팀 내에서
    • 보안 기술 세트 및 지식 증대에 집중하여 전략을 다양화하고 있습니다. 이는 DevSecOps 접근 방식을 사용하는 DevOps 팀에게 특히 중요하며, 보안 지원팀, 커뮤니티 내 지지자 식별 및 교육, 작업 스와핑 프로그램 등 다양한 형식을 취할 수 있습니다.
    • 보안 팀에 다양한 기술 세트를 도입하면 문제에 대한 새로운 관점 및 프레임워크를 제공하고(예: 비즈니스, 인간 심리 또는 경제) 조직 내에서 보다 나은 관계를 구축합니다. 망치에게 모든 문제는 못처럼 보입니다.

비즈니스 조정

이러한 변화 때문에 클라우드 도입 프로그램은 세 가지 범주의 비즈니스 조정에 집중해야 합니다.

  • 위험 인사이트: 보안 인사이트 및 위험 신호/소스를 비즈니스 이니셔티브에 조정하고 통합합니다. 반복 가능한 프로세스를 통해 이러한 인사이트의 적용에 대해 모든 팀을 교육하고 팀이 책임지고 개선하도록 합니다.
  • 보안 통합: 반복 가능한 프로세스와 조직의 모든 수준에서 긴밀한 파트너십을 통해 비즈니스 및 IT 환경의 일상적인 운영에 대한 보안 지식, 기술 및 인사이트를 보다 심층적으로 통합합니다.
  • 운영 복원력: 공격 중에도(성능 저하 상태에서도) 운영을 계속할 수 있고 조직이 신속하게 정상 운영 상태로 되돌아갈 수 있도록 조직의 복원력을 갖추는 데 초점을 맞춥니다.

보안 분야

이러한 변환은 각 보안 분야에 서로 다른 영향을 줍니다. 이러한 각 분야는 매우 중요하며 투자가 필요하지만 클라우드를 채택할 때 빠른 승리를 위한 가장 즉각적인 기회가 있는 순서(대략)입니다.

  • 액세스 제어: 네트워크 및 ID를 적용하면 액세스 경계와 구분이 생겨 보안 위반의 빈도와 범위를 줄입니다.
  • 보안 운영: IT 운영을 모니터링하여 위반을 감지, 대응 및 복구합니다. 데이터를 사용하여 위반 위험을 지속적으로 줄이기
  • 자산 보호: 전체 환경에 대한 위험을 최소화하기 위해 모든 자산(인프라, 디바이스, 데이터, 애플리케이션, 네트워크 및 ID)의 보호를 극대화합니다.
  • 보안 거버넌스: 위임된 결정은 혁신을 가속화하지만 새로운 위험도 야기합니다. 의사 결정, 구성 및 데이터를 모니터링하여 전체 환경과 포트폴리오의 모든 워크로드 내에서 내린 결정을 관리합니다.
  • 혁신 보안: 조직이 혁신 속도를 높이기 위해 DevOps 모델을 채택함에 따라 보안은 DevSecOps 프로세스의 필수적인 부분이 되고 보안 전문 지식과 리소스를 이 고속 주기에 직접 통합해야 합니다. 여기에는 워크로드 중심 팀의 역량을 강화하기 위해 중앙 집중식 팀에서 내리는 의사 결정의 일부를 전환하는 것이 포함됩니다.

기본 원칙

모든 보안 활동은 다음 두 가지에 집중되어 조정되고 형성되어야 합니다.

  • 비즈니스 지원: 조직의 비즈니스 목표 및 위험 프레임워크에 맞게 조정
  • 보안 보장: 다음과 같은 제로 트러스트 원칙 적용에 집중
    • 위반 가정: 모든 구성 요소 또는 시스템에 대한 보안을 설계할 때 조직의 다른 리소스가 손상되었다고 가정하고 공격자가 액세스를 확장할 위험을 줄입니다.
    • 명시적 확인: 트러스트에 의존하지 말고 사용 가능한 모든 데이터 포인트를 사용하여 트러스트를 명시적으로 확인합니다. 예를 들어 액세스 제어에서 암시적으로 신뢰할 수 있는 내부 네트워크에서 액세스를 허용하는 대신 사용자 ID, 위치, 디바이스 상태, 서비스 또는 워크로드, 데이터 분류, 변칙을 확인합니다.
    • 최소 권한 액세스: JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 제공하여 사용자 또는 리소스 손상의 위험을 제한하여 데이터와 생산성을 모두 보호합니다.

보안 방법론은 다음을 포함하는 포괄적인 보안 지침 세트의 일부입니다.