1

AWS보안 및규정 준수QUICK레퍼런스가이드

2017

2

개요프로그램산업AWS의 공동 책임 방식 AWS - 클라우드 규정 준수 고객 - 클라우드 내 규정 준수고객 콘텐츠 콘텐츠 저장 위치 비즈니스 연속성보안리소스 파트너 및 Marketplace

교육

19

21

13

9

7

3

1

4

개요

1

개요

규제가 적용되는 워크로드를 클라우드로 마이그레이션하면 , AWS의 다양한 거버넌스 지원 기능을 이용하여 보안 수준을 한층 강화할 수 있습니다 . 클라우드 기반의 거버넌스는 보다 높은 수준의 관리 기능과 보안 제어 및 중앙 자동화를 제공함으로써 초기 비용을 낮추고 , 작업을 간소화하며 민첩성을 높일 수 있습니다 . 클라우드로 마이그레이션한다는 것은 AWS 를 활용하여 직접 유지 관리해야 하는 보안 제어 줄일 수 있다는 의미입니다 .

규정 준수 환경은 적절히 보안이 적용된 환경에서 비롯됩니다 . AWS는 다양한 승인과 인증을 통해 검증된 강력한 인프라 제어 장치를 제공합니다 . 각 인증은 특정 보안 제어 장치가 마련되어 있으며 의도한 대로 작동 중임을 감사자가 확인했다는 의미입니다 . AWS 에서 지원하는 모든 승인 및 인증에 대한 자세한 내용은 AWS 보증 프로그램 페이지를 참조하십시오 .

또 한 AWS 는 Amazon Inspector, AWS Artifact, AWS Service Catalog, AWS CloudTrail, AWS Config, AWS Config Rules 등을 비롯하여 클라우드에서 규정을 준수하는 데 도움이 되는 광범위한 서비스와 도구를 제공합니다 .

2

프로그램

3

프로그램

그림 1: 보증 프로그램

참고 : AWS는 프로그램을 지속적으로 추가하고 있습니다 . AWS 보증 프로그램의 최신 목록은 웹 사이트를 참조하십시오 .

인증 /승인은 외부의 독립적 감사 기관에서 수행합니다 . AWS 인증 , 감사 보고서 또는 규정 준수 증명은 감사 기관의 감사 결과를 기준으로 합니다 .

법률 /규정 /개인 정보 보호 및 준수 /프레임워크는 업계 또는 직무에 고유합니다 . AWS 는 기능 ( 예 : 보안 기능 ) 과 지원 리소스 ( 규정 준수 지침 , 매핑 문서 및 백서 포함 ) 를 제공하여 귀사를 지원합니다 . 이러한 법률 , 규정 및 프로그램에 대한 공식적인 “직접” 인증은 1)

AWS 환경은 지속적인 감사를 받고 있으며 , AWS 인프라와 서비스는 다양한 지역과 업종을 포괄하는 규정 준수 표준 및 산업 인증에 따라 운영하도록 승인을 받았습니다 . 이러한 인증을 통해 AWS 보안 제어 장치의 완성도와 효율성을 확인할 수 있습니다 .

4

프로그램

클라우드 공급자에게 제공되지 않거나 2) AWS 의 현재 공식 인증 / 승인 프로그램으로 이미 증명 가능한 요구 사항 중 일부에 해당합니다 .

가장 많이 이용되는 AWS 프로그램은 다음과 같습니다 .

PCI DSS - PCI DSS(Payment Card Industry Data Security Standards) 는 신용카드 결제를 처리하는 가맹점을 위해 사기를 방지하고 카드 소지자 데이터를 보호하기 위한 엄격한 보안 표준입니다 .

ISO 27001 - ISO 27001 은 널리 채택되는 국제 보안 표준으로서 , 정보 보안 관리 시스템별 요건을 개략적으로 기술합니다 . 정기적인 위험 평가를 기반으로 하여 기업 및 고객 정보를 관리하는 체계적인 접근 방식을 제공합니다 .

SOC - AWS SOC(Service Organization Control) 보고서는 AWS가 주요 규정 준수 통제 항목 및 통제 대상을 어떻게 준수하고 있는지를 입증하는 독립적인 타사 심사 보고서입니다 . 이러한 보고서는 고객과 고객의 감사자가 운영 및 규정 준수를 지원하기 위해 마련된 AWS 통제 항목을 이해하는 데 도움을 주고자 작성되었습니다 . AWS SOC 보고서에는 AWS SOC 1 보고서 , AWS SOC 2: 보안 및 가 용성 보고서 , AWS SOC 2: 기밀성 보고서 , AWS SOC 3: 보안 및 가용성 보고서의 네 가지 유형이 있습니다 .

FedRAMP - 보안 평가 , 인증 및 지속적 모니터링에 대한 표준을 제공하는 미국 정부의 프로그램입니다 . FedRAMP 는 NIST 800-53 보안 제어 표준을 따릅니다 .

5

프로그램

DoD Cloud Security Model(CSM) - 미 국 국 방 정 보 체 계 국(DISA) 에서 발표하여 국방부 (DoD) 보안 요구 사항 가이드 (SRG) 에 규정된 클라우드 컴퓨팅 표준입니다 . 영향 수준에 따라 고유한 아키텍처 요구 사항을 가진 DoD 워크로드 소유자를 위한 인증 프로세스를 제공합니다 .

HIPAA - HIPAA( 건강 보험 양도 및 책임에 관한 법 ) 에는 개인 건강 정보 (PHI) 를 처리하거나 보관하는 조직을 위한 엄격한 보안 및 규정 준수 표준이 포함되어 있습니다 .

각 프로그램에 대한 자세한 내용은 AWS 보증 프로그램 웹페이지를 참조하십시오 .

AWS Artifact

AWS Artifact 포털에서는 AWS 의 보안 및 규정 준수 문서 (감사 결과물 )를 온디맨드 방식으로 액세스할 수 있습니다 . 이 결과물을 사용하여 감사 기관이나 규제 기관에 AWS 인프라 및 서비스에 대한 보안 및 규정 준수를 입증할 수 있습니다 .

감사 결과물의 예로는 SOC(Service Organization Control) 보고서 , PCI(신용카드 업계 ) 보고서 , AWS 보안 제어의 구현 및 운영 효율성을 검증하는 규정 준수 업계와 지역을 포괄하는 인증 기관의 인증 등이 있습니다 .

AWS Management Console에서 직접 AWS Artifact 포털에 액세스할 수 있습니다 .

6

산업

7

산업

• 농업 및 광업

• 분석 및 빅 데이터

• 컴퓨터 전자

• 전자 상거래

• 교육

• 에너지 및 공공설비

• 금융 서비스

• 식품 및 음료

• 게임

• 정부 기관

• 의료 및 생명 과학

• 보험

• 제조

• 미디어 및 엔터테인먼트

• 비영리 기관

• 부동산 및 건설

• 소매 , 도매 , 유통

• 소프트웨어 및 인터넷

• 통신

• 운송 및 물류

• 여행 및 숙박

다음과 같은 산업 분야의 고객들이 규제 준수 요구 사항을 충족하기 위해 AWS 를 이용하고 있습니다 .

88

AWS의 공동 책임 방식

9

AWS의 공동 책임 방식

IT 인프라를 AWS 로 이동하면 그림 2 에 표시된 공동 책임 모델을 사용하게 됩니다 . AWS 는 호스트 운영 체제의 IT 구성 요소 , 가상화 계층 , 서비스가 운영되는 시설의 물리적 보안 등을 운영 , 관리 , 제어하므로 이 공동 모델은 운영 부담을 완화해 줍니다 .

그림 2: 공동 책임 모델

공동 책임 모델은 IT 규제에까지 확대 적용됩니다 . AWS 와 IT 환경 운영 책임을 공유하는 것과 마찬가지로 IT 규제 관리 , 운영 및 검증 책임도 공유합니다 . AWS 는 AWS 환경에 배포된 물리적 인프라와 관련된 통제를 관리함으로써 고객의 운영 부담을 덜어줍니다 . 고객은 AWS 제어 및 규정 준수 설명서를 활용하여 관련 규정 준수 표준에 요구된 제어 평가 및 검증 절차를 실시할 수 있습니다 .

10

AWS - 클라우드 규정 준수

AWS 는 고객이 안전하고 규정을 준수하는 환경을 유지하도록 지원할 책임이 있습니다 . 일반적으로 AWS 는 다음을 수행합니다 .

전 세계의 AWS 서비스 및 시설에서 유비쿼터스 제어 환경을 효율적으로 운영 중인지를 검증합니다 . AWS 제어 환경은 Amazon 의 전체 제어 환경의 다양한 측면을 활용하는 정책 , 프로세스 및 제어 활동을 포함합니다 .

이 집합적인 제어 환경은 AWS 제어 프레임워크의 운영 효과를 지원하는 환경을 구성 및 관리하는 데 필요한 인력 , 프로세스 및 기술을 포괄합니다 . AWS 는 선도적인 클라우드 컴퓨팅 산업 기관에서 확인한 적용 가능한 클라우드 관련 컨트롤을 AWS 제어 프레임워크에 통합했습니다 . AWS 는 구현 가능한 주요 사례를 식별하고 고객이 제어 환경을 관리할 수 있도록 더 효과적으로 지원하기 위해 이러한 산업 그룹을 모니터링합니다 .

고객이 산업 및 정부 요구 사항을 준수하도록 지원할 수 있는 AWS 의 규정 준수 상태를 입증합니다 . AWS 는 외부 인증 기관 및 독립 감사 기관과 협력하여 고객에게 AWS 에서 확립 및 운영하는 정책 , 프로세스 및 컨트롤에 대한 다양한 정보를 제공합니다 .

수천 가지의 보안 제어 요건을 바탕으로 글로벌 표준 및 모범 사례를 준수하는지 모니터링합니다 .

11

고객 - 클라우드 내 규정 준수

기존 데이터 센터와 마찬가지로 고객은 게스트 운영 체제 ( 업데이트 및 보안 패치 포함 ) 및 기타 관련 애플리케이션 소프트웨어를 관리하고 AWS 가 제공하는 보안 그룹 방화벽을 구성할 책임이 있습니다 . 사용하는 서비스 , 서비스를 IT 환경에 통합하는 과정 및 준거법과 규제에 따라 책임 범위가 다르기 때문에 고객은 선택하고자 하는 서비스를 신중하게 고려해야 합니다 .

AWS 리소스를 안전하게 관리하려면 어떤 리소스를 사용 중인지 ( 자산 목록 ), 리소스에 게스트 OS 및 애플리케이션이 안전하게 구성되었는지( 안전한 구성 설정 , 패치 적용 및 맬웨어 방지 소프트웨어 ), 리소스에 대한 변경을 어떻게 제어하고 있는지 ( 변경 관리 ) 를 알고 있어야 합니다 .

고객의 거버넌스 프레임워크에 통합하도록 제공되는 AWS 의 위험 및 규정 준수 프로그램에 대한 정보를 이용할 수 있습니다 .

12

고객 콘텐츠

13

고객 콘텐츠

AWS 는 고객의 콘텐츠에 대한 소유권과 제어권을 고객에게 제공합니다 . 간단하지만 강력한 도구를 사용하여 콘텐츠를 어디에 저장할지 결정하고 , 전송 또는 저장 중인 콘텐츠를 보호하며 , AWS 서비스와 리소스에 대한 사용자의 권한을 관리할 수 있습니다 .

참고 : AWS는 고객과 최종 사용자에게 해당 AWS 서비스를 제공하는 것 외에 어떠한 용도로도 고객 콘텐츠에 액세스하거나 이를 사용하지 않습니다 . AWS는 마케팅 , 광고를 비롯하여 자체적인 목적으로 고객 콘텐츠를 사용하지 않습니다 .

액세스 - AWS 의 고급 액세스 , 암호화 및 로깅 기능 세트 ( 예 : AWS CloudTrail) 를 사용하여 고객 콘텐츠와 AWS 서비스 및 리소스에 대한 액세스를 관리할 수 있습니다 . AWS 에서는 법적으로 필요하고 , AWS 서비스를 유지 관리하며 , 이를 고객과 최종 사용자에게 제공하는 것 외에 고객 콘텐츠에 액세스하거나 이를 사용하지 않습니다 .

스토리지 - 고객이 콘텐츠를 저장할 리전을 선택합니다 . AWS 에서는 법적으로 필요하고 , AWS 서비스를 유지 관리하며 , 이를 고객과 최종 사용자에게 제공하는 것 외에 고객이 지정한 리전 밖으로 고객 콘텐츠를 이동하거나 복제하지 않습니다 . 예를 들어 , 유럽 고객은 EU( 독일 ) 리전에만 AWS 서비스를 전적으로 배포하도록 선택할 수 있습니다 .

14

고객 콘텐츠

보안 - 고객이 콘텐츠 보안 방법을 선택합니다 . AWS 에서는 고객에게 전송 또는 저장되는 고객 콘텐츠에 대한 강력한 암호화를 제공하고 , 고객이 자체 암호화 키로 관리할 수 있는 옵션을 제공합니다 .

고객 콘텐츠의 공개 - AWS 에서는 법을 준수하거나 정부 또는 규제 기관의 유효하고 법적 구속력이 있는 명령을 준수하는 데 필요하지 않는 한 고객 콘텐츠를 공개하지 않습니다 . AWS 는 고객의 콘텐츠를 공개해야 할 경우 고객이 그러한 공개에 대한 보호책을 마련할 수 있도록 먼저 고객에게 알립니다 .

중요 : AWS는 고객에 대한 통지를 금지하고 있거나 Amazon 제품 또는 서비스 사용과 관련해 분명한 불법적 행동의 조짐이 있는 경우 고객 콘텐츠를 공개하기 전에 고객에게 미리 알리지 않습니다 .

보안 보증 - AWS 에서는 고객이 AWS 의 보안 통제 환경을 구성 , 운영 및 활용할 수 있도록 돕기 위해 글로벌 프라이버시 및 데이터 보호 모범 사례를 사용하는 보안 보증 프로그램을 개발했습니다 . 이러한 보안 보호 및 통제 프로세스는 여러 타사의 개별적인 평가로 독립적으로 검증됩니다 .

참고 : AWS가 고객 콘텐츠에 대한 무단 액세스나 공개를 차단하도록 설계된 기술적 및 물리적 통제 장치를 통해 클라우드 보안을 관리하는지 검증하기 위해 독립적인 외부 감사 기관에서 AWS가 산업 표준을 준수함을 인증하고 있습니다 .

15

콘텐츠 저장 위치

AWS 데이터 센터는 전 세계 여러 국가에 클러스터로 구축됩니다 . AWS 에서는 해당 국가에 있는 각 데이터 센터 클러스터를 " 리전 "이라고 부릅니다 . 고객은 전 세계의 다양한 AWS 리전에 액세스할 수 있으며 , 한 리전 , 모든 리전 또는 여러 리전의 조합을 선택하여 사용할 수 있습니다 .

그림 3: 리전

데이터가 물리적으로 위치한 리전에 대해 사용자가 모든 제어권 및 소유권을 유지하므로 현지 규정 및 데이터 상주 요구 사항을 손쉽게 충족할 수 있습니다 . 고객은 콘텐츠를 저장할 AWS 리전을 선택할 수 있습니다 . 이는 특정한 지리적 요구 사항이 있는 경우에 유용합니다 . 예를 들어 , 유럽 고객은 EU( 독일 ) 리전에만 AWS 서비스를 전적으로 배포하도록 선택할 수 있습니다 . 이 경우 고객이 다른 AWS 리전을 선택하지 않는 한 고객 리전은 독일에 저장됩니다 .

16

비즈니스 연속성

AWS 인프라는 높은 수준의 가용성을 제공하며 , 고객에게 탄력적인 IT 아키텍처를 구현하는 데 필요한 기능을 제공합니다 . AWS 시스템은 시스템 또는 하드웨어 장애가 고객에게 미치는 영향을 최소화하도록 설계되었습니다 .

복원성은 자산이 사용하지 못하게 될 가능성을 줄여줍니다 .

복구는 자산을 사용할 수 없을 때 받게 되는 영향을 최소화합니다 .

백업은 의도적이거나 실수로 인한 데이터 손실을 처리하기 위한 전략입니다 .

재해 복구는 재해에 대비하고 이로부터 복구하기 위한 프로세스입니다 . 비즈니스 연속성 또는 재무에 부정적인 영향을 미치는 모든 이벤트는 재해가 될 수 있습니다 . AWS 클라우드는 즉각적인 확장이 가능한 " 파일럿 라이트 " 환경부터 신속한 장애 조치가 가능한 " 상시 대기 " 환경까지 , 다양한 주요 재해 복구 아키텍처를 지원합니다 .

AWS 의 재해 복구에 대해 자세히 알아보려면 https://aws.amazon.com/disaster-recovery/ 를 참조하십시오 .

AWS 데이터 센터는 전 세계 여러 리전에 클러스터 형태로 구축됩니다 . 모든 데이터 센터는 온라인으로 고객 서비스를 제공하며 " 콜드 " 상태인 데이터 센터는 없습니다 . 가동이 중단되는 경우 , 자동화된 프로세스에 따라 고객 데이터 트래픽을 해당 영역에서 운반합니다 .

AWS 는 각 리전 내의 여러 가용 영역뿐 아니라 여러 지리적 리전 내에 인스턴스를 배치하고 데이터를 저장하는 유연성을 고객에게 제공합니다 . 여러 개의 가용 영역에 애플리케이션을 분산함으로써 자연 재해나 시스템 장애 등 대부분의 장애 모드에 직면한 경우에도 시스템을 유지할 수 있습니다 .

17

비즈니스 연속성

고객은 다수의 가용 영역에 다수의 인스턴스를 도입하여 클라우드에 회복력이 매우 높은 시스템을 구축하고 데이터 복제를 구축하여 매우 높은 복구 시간과 복구 시점 목표를 달성할 수 있습니다 .

고객은 AWS 인프라를 기반으로 구축된 정보 시스템의 백업 및 복구를 관리하고 테스트할 책임이 있습니다 . 또한 AWS 인프라를 통해 두 번째 물리적 장소에 대한 반복된 인프라 비용 지불 없이 주요 IT 시스템에 대한 신속한 재해 복구가 가능합니다 . AWS 클라우드는 즉각적인 확장이 가능한 " 파일럿 라이트 " 환경부터 신속한 장애 조치가 가능한 "상시 대기 " 환경까지 , 다양한 주요 재해 복구 아키텍처를 지원합니다 .

18

보안

19

보안

AWS 에서 가장 우선순위가 높은 것이 클라우드 보안입니다 . AWS 보안 센터에서는 AWS 에 관한 보안 및 규정 준수 세부 정보를 제공합니다 .

AWS 는 고객이 처리 및 스토리지와 같은 다양한 기본적 컴퓨팅 리소스를 프로비저닝하는 데 사용하는 글로벌 클라우드 인프라를 운영합니다 . AWS 글로벌 인프라에는 시설 , 네트워크 및 하드웨어 , 그리고 이러한 리소 스 의 프 로비저닝 및 사 용 을 지원하 는 운영 소프트웨어 ( 예 : 호스트 OS, 가상화 소프트웨어 등 ) 가 포함됩니다 . AWS 글로벌 인프라는 다양한 보안 규정 준수 표준과 보안 모범 사례에 따라 설계 및 관리됩니다 . AWS 고객은 세계에서 보안성이 가장 뛰어난 컴퓨팅 인프라 중 하나를 기반으로 웹 아키텍처를 구축하고 있는 것이므로 안심할 수 있습니다 .

20

리소스

21

리소스

AWS 보안 및 규정 준수 Quick 레퍼런스 리소스 허브 (https://aws.amazon.com/compliance/reference/) 에서 본 문서에 참조된 모든 웹 페이지와 백서에 액세스할 수 있습니다 .

파트너 및 Marketplace

교육

AWS 파 트 너 네 트 워 크 (APN) 는 AWS 의 글 로 벌 파 트 너 프로그램입니다 . 이 프로그램은 비즈니스 , 기술 , 마케팅 및 GTM(Go-to-Market) 지원을 제공함으로써 APN 파트너의 성공적인 AWS 기반 비즈니스 또는 솔루션 구축을 지원합니다 . 자세한 내용은 https://aws.amazon.com/partners/ 를 참조하십시오 .

AWS Marketplace 는 AWS 판매자가 AWS 클라우드에서 실행되는 소프트웨어 솔루션을 쉽게 제공할 수 있도록 해주는 영업 채널입니다 . 자세한 내용은 https://aws.amazon.com/marketplace/ 를 참조하십시오 .

이제 막 시작 단계이든 , 기존 IT 기술을 바탕으로 구축하는 단계이거나 클라우드 지식을 강화하기 위해서든 , 그 목적에 상관없이 AWS 교육은 고객과 고객 팀이 클라우드를 보다 효율적으로 사용할 수 있도록 지식을 제공합니다 . 자세한 내용은 https://aws.amazon.com/training/ 을 참조하십시오 .

22