[ 고지 사항 (Disclaimer) ]
본 컨텐츠는 고객의 편의를 위하여 AWS 서비스 설명을 위해 제작, 제공된 것입니다. 만약 AWS 사이트와 컨텐츠 상에서 차이나 불일치가 있을 경우 AWS 사이트 (AWS.amazon.com)가 우선합니다. 또한 AWS 사이트 상에서 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다.
본 문서는 Data Classification — Secure Cloud Adoption (2018, 영문) 내용에 기반하여 작성 되었습니다.
이 문서는 정보 제공의 목적으로만 제공됩니다. 본 문서의 발행일 당시 AWS의 현재 제품 오퍼링 및 실행방법 등을 설명하며, 예고 없이 변경될 수 있습니다. 고객은 본 문서에 포함된 정보나 AWS 제품 또는 서비스의 사용을 독립적으로 평가할 책임이 있으며, 각 정보 및 제품은 명시적이든 묵시적이든 어떠한 종류의 보증 없이 “있는 그대로” 제공됩니다. 본 문서는 AWS, 그 자회사, 공급업체 또는 라이선스 제공자로부터 어떠한 보증, 표현, 계약 약속, 조건 또는 보장을 구성하지 않습니다. 고객에 대한 AWS의 책임 및 의무는 AWS 계약에 의해 관리되며 본 문서는 AWS와 고객 사이의 어떠한 계약에도 속하지 않으며 계약을 변경하지도 않습니다.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
본 문서는 총 2부로 구성되어 있으며 이 글은 2부입니다.
1부 링크 : 데이터 분류 — 안전한 클라우드 도입 1/2
데이터 분류 체계 구현을위한 고객 고려 사항
데이터 분류 체계를 구현하는 것 외에도 데이터 처리 역할을 결정하는 것도 중요합니다. ISO, NIST 및 기타 표준은 데이터 소유자가 자신의 데이터의 가치, 사용, 민감도 및 중요도를 결정하는 데 가장 적합하기 때문에 데이터 소유자에 대한 데이터 분류 책임을 집니다. 위험 관리 의무는 데이터를 처리하는 당사자의 역할에 따라 다릅니다. 즉, 데이터 소유자 (예 : 대행사 및 부처와 같은 콘텐츠를 생성 및 제어하는 컨트롤러) 및 데이터가 아닌 소유자 (예 : 서비스를 제공하기 위해 데이터를 처리하는 프로세서)는 그들이 수행하는 역할에 적합한 요구 사항을 따라야합니다. 데이터 분류와 관련하여 대행사는 데이터 소유자로 일하며 데이터를 분류하고 CSP가 충족 할 것으로 예상되는 보안 인증을 결정해야 합니다.
모든 데이터에 높은 수준의 분류를 적용하는 정부 (실제 위험 상태 임에도 불구하고)는 보안에 대한 위험 기반의 결과 중심 접근 방식을 반영하지 않습니다. 더 높은 수준으로 분류 된 데이터를 보호하려면 더 높은 수준의 관리가 필요합니다. 이는 고객이 보안, 모니터링, 측정, 치료 및 보고 위험에 더 많은 자원을 소비한다는 의미입니다. 필수 임계 값을 충족하지 않는 데이터에 대한 영향이 큰 데이터를 안전하게 관리하는 데 필요한 상당한 리소스를 커밋하는 것은 비현실적입니다. 또한 분류 수준이 낮은 데이터에 대한 추가 제어는 일반 인력, 고객 및 / 또는 구성 요소에 대한 해당 데이터의 가용성, 완전성 또는 적시성에 부정적인 영향을 줄 수 있습니다. 낮은 분류 수준에서 데이터를 처리 할 수 있도록 위험을 관리 할 수 있는 경우 정부는 해당 데이터를 사용하는 방법에 대해 가장 많은 유연성을 경험하게 됩니다.
위험 기반 접근 방식은 데이터의 기밀성, 무결성 또는 가용성 손실의 잠재적 노출 및 결과에 상응하는 보안 조치를 적용하는 것을 의미합니다. 효과적인 데이터 분류 체계는 “높은 워터 마크”접근 방식을 적용하고 특정 데이터 속성이 충족하는 가장 높은 측정 값에 따라 데이터를 분류합니다. 예를 들어, 미국 모델에서 데이터 유형이 기밀성에 대해 “낮음”, 무결성에 대해 “보통”및 가용성에 대해 “낮음”으로 분류 된 경우 데이터 유형은 가장 높은 요소 인 “보통”에 따라 분류됩니다.
데이터 분류 프레임 워크 설정시 고려 사항
정책 입안자들은 3 계층 데이터 분류 체계 채택을 고려할 수 있습니다. 특히 NIST의 데이터 분류 체계는 부문 별, 국가 별 및 국제 인증에서 널리 인정 받고 있습니다. 실제로 필리핀, 인도네시아 등의 정부는 미국 및 영국 모델과 유사한 원칙을 적용하는 데이터 분류 체계를 평가하고 채택하고 있습니다. 그러나 정부는 조직 및 위험 관리 요구에 따라 자체 분류 체계를 개발하는 것이 가장 좋습니다. 정부 기관은 특정 요구, 처리하는 데이터 유형 및 위험 평가에 따라 적절한 클라우드 배포 모델을 선택해야합니다 (아래 표 참조). 데이터 분류에 따라 대행사는 클라우드 환경 내에서 관련 보안 제어 (예 : 암호화)를 적용해야합니다.
위험을 평가하고 보안 제어를 결정할 때 상용 클라우드의 작동 방식과 다양한 서비스가 온-프레미스 환경과 어떻게 다를 수 있는지, 제어 구현의 차이점 및 기존과 비교하여 고려해야 할 대체 제어가 있을 수 있음을 이해하는 것이 중요합니다. IT 구현 대행사가 사용 가능한 수많은 보안 이점 (예 : 가용성 및 복원력 향상, 가시성 및 자동화 개선, 지속적으로 감사 된 인프라)으로 상업용 클라우드를 완전히 평가 한 경우, 대기업은 대부분의 워크로드를 클라우드에 배포 할 수 있음을 알 수 있습니다. 미국과 영국이 한 것과 유사한 특정 분류와 관련하여 전 세계적으로 정부는 상용 클라우드의 기본 보안 이점을 점점 더 활용하고 적절한 데이터 분류 및 보안 제어 구현을 통해 보안 및 규정 준수 요구 사항을 충족하는 것으로 보고 있습니다.
AWS 권장 사항
대부분의 경우 AWS는 3 계층 데이터 분류 방식을 권장합니다 (표 2). 우리는 이것이 정부 및 정부 기관뿐만 아니라 상업 고객에게도 잘 작동한다는 것을 알았습니다. 세 계층의 명명 규칙은 각각에 맞게 조정할 수 있습니다. 그러나보다 복잡한 데이터 환경이있는 조직의 경우 추가 계층을 추가 할 수 있습니다. 여기에는 “분류되지 않은”계층과 별개 이하의 공개 데이터 공개 계층이 포함되거나 표준 “비밀”계층 이상의 매우 민감하고 전략적 데이터 계층이 포함될 수 있습니다.
1 단계 — 재고. 첫 번째 단계는 조직에 존재하는 다양한 데이터 유형의 인벤토리를 수행하는 것입니다. 세부적으로 설명 할 필요는 없지만 조직 내에서 존재하는 유형, 데이터의 위치, 사용 방법 및 규정 준수 정책 또는 정책에 따라 관리되는 데이터 유형에 대해 광범위하게 이해하기에 충분합니다. 인벤토리가 완료되면 데이터 유형을 조직이 채택한 데이터 분류 계층 중 하나로 그룹화 하십시오. 예를 들어, 일반 비즈니스 서신은 분류되지 않은 데이터의 경우 계층 1에 지정 될 수 있고 민감한 계약 정보 및 개인 정보는 공식 데이터의 경우 계층 2에 지정 될 수 있으며 국가 보안 또는 지적 재산은 비밀 데이터의 계층 3에 지정 될 수 있습니다.
2 단계 — 위험 평가 및 분류. 조직은 각 광범위한 데이터 유형에 대해 위험 평가를 수행하고 각 보안 목표에 잠재적 위험 수준 (낮음, 보통 또는 높음)을 할당하는 것이 좋습니다.
-기밀성, 무결성 및 가용성 — 관련 위험 매트릭스 그러면 조직은 세 가지 요소에 걸쳐 높은 워터 마크 수준을 기반으로 데이터 (및 지원 정보 시스템)에 전반적인 위험을 할당 할 수 있습니다. 분류 된 보안 제어는 정보 유형에 대한 위험에 맞춰야하며 지정된 데이터 (예 : PCI)에 대한 필수 준수 요구 사항을 포함해야합니다. 여기에서 데이터 라벨링 및 취급 지침 및 절차가 관리 및 기술 제어의 일부로 개발되고 구현됩니다. 제어를 구현할 때 추가 비용이 발생하고 데이터 및 기능 기회의 가용성을 제한 할 수 있으므로 분류 시스템을 가능한 한 단순하게 유지하고 데이터를 위험 회피 기술로 과도하게 분류하지 않는 것이 중요합니다.
3 단계 — 보안 평가 및 시스템 인증. 보안 제어 구현을 평가하는 품질 보증 프로세스는 지정된 시스템 및 데이터에 대해 적절한 제어가 선택되어 구현되고, 제어가 설계된대로 작동하고 모든 (있는 경우) 준수 요구 사항이 충족되는지 확인해야합니다. 시스템 및 데이터를 담당하는 선임 IT 리더 (CIO 또는 CISO) 또는 조직의 비즈니스 리더에게 권장되며, 보안 평가를 검토하고 조직에서 사용할 수 있도록 시스템을 공식적으로 승인합니다.
4 단계 — 지속적인 모니터링. 항상 존재하는 외부 위협 외에도 정상적인 시스템 운영, 업데이트 및 환경 변경은 보안 제어에 영향을 줄 수 있습니다. 변경 사항이 시스템 보안에 악영향을 미치거나 규정을 준수하지 않도록 시스템 보안을 모니터링하는 자동화 된 수동 수단이 시스템 개발 및 운영에 포함되어야 합니다.
데이터 유지 고려. AWS는 고객이 데이터 분류 접근 방식을 평가하고 데이터를 국가 또는 지역 내에 유지 해야 하는 이유와 그 이유를 준비하도록 권장합니다. 이를 통해 고객은 특정 법적 또는 정책적 지리적 요구 사항이 없는 경우 중요하고 중요한 데이터까지도 자신의 데이터를 다른 곳에 저장 및 / 또는 복제 할 수 있습니다. 이를 통해 재난 발생시 손실 위험을 줄이고 해당 지역에서 사용하지 못할 수 있는 기술 및 기능에 액세스 할 수 있습니다.
데이터 분류를 지원하기 위해 AWS 클라우드 활용
AWS와 같은 클라우드 서비스 제공 업체 (CSP)는 고객이 자체 프로비저닝 한 표준화 된 유틸리티 기반 서비스를 제공합니다. CSP는 고객이 클라우드에서 실행하는 데이터 유형에 대한 가시성을 갖지 않으므로 클라우드 서비스를 제공 할 때 CSP가 다른 고객 데이터와 개인 데이터를 구분하지 않습니다. 클라우드 환경 내에서 데이터를 분류하고 적절한 제어 기능을 구현하는 것은 고객의 책임입니다 (예 : 암호화). 그러나 CSP가 인프라 내에서 구현하는 보안 제어 및 고객은 가장 중요한 데이터 요구 사항을 충족하기 위해 서비스를 사용할 수 있습니다.
AWS 서비스는 “콘텐츠에 구애 받지 않으며”저장되는 콘텐츠 유형에 관계없이 모든 고객에게 동일한 수준의 보안을 제공합니다. AWS는 모든 서비스에서 높은 보안 막대를 채택합니다. 그런 다음 이러한 서비스는 국제 보안 및 규정 준수 “골드”표준에 대한 인증을 위해 대기하며, 이는 클라우드에서 처리 및 저장되는 고객 데이터에 대한 높은 수준의 보호 혜택을 받는 고객을 의미합니다. CSP가 국제적으로 인정받는 ISO 27001,7 PCI DSS, 8 등 국제적으로 인정 된 보안 인증을 통해 입증 할 수 있는 기본 사이버 위생 규칙 (예 : 패치 및 구성 시스템)을 통해 가장 큰 위험 이벤트 및 위협 벡터가 설명됩니다. 서비스 조직 통제 (SOC) 9. CSP를 평가할 때 고객은 이러한 기존 CSP 인증 프레임 워크를 활용하여 CSP (및 CSP 서비스 제공 서비스 내의 서비스)가 데이터 분류 보안 요구 사항을 지원할 수 있는지 여부를 적절히 결정할 수 있도록해야 합니다. 조직에서는 데이터 분류 체계의 각 수준에 대해 기존의 국가, 국제 또는 부문 별 클라우드 인증 및 증명이 인정되는 정책을 구현하여 인증을 간소화하고 클라우드로의 마이그레이션 워크로드를 가속화 할 것을 권장합니다.
AWS는 조직에서 데이터 분류 체계를 쉽게 구현할 수 있는 몇 가지 서비스와 기능을 제공합니다. 예를 들어, Amazon Macie를 사용하면 클라우드에 저장된 중요하고 업무상 중요한 데이터를 인벤토리 화하고 분류 할 수 있습니다 .10 Amazon Macie는 머신 러닝을 사용하여 AWS에 저장된 데이터를 검색, 분류, 레이블 지정 및 보호 규칙을 적용하는 프로세스를 자동화합니다. 이를 통해 사용자 인증 및 액세스 패턴을 포함하여 민감한 정보가 저장된 위치 및 액세스 방법을 보다 잘 이해할 수 있습니다.
데이터 분류를 지원할 수 있는 다른 AWS 서비스 및 기능은 다음과 같습니다.
• 사용자 자격 증명 관리, 권한 설정 및 액세스 권한 부여를 위한 IAM (ID 및 액세스 관리).
• 민감한 데이터를 보호하기 위해 전송 및 휴지 시 암호화
• AWS 생성 키를 사용한 암호화 키 관리를 위한 AWS KMS 또는 AWS CloudHSM 또는 FIPS 140–2 검증을 통한 고유 키 (BYOK)
• 데이터를 생성, 액세스, 복사 / 이동, 수정 및 삭제 한 사람, 대상 및 시기를 추적하는 광범위한 로깅을 위한 AWS CloudTrail
• AWS Systems Manager는 AWS Inspector와 함께 패치와 같은 서비스 운영을 보고 관리하여 취약성 스캔을 수행합니다.
• 지속적인 모니터링 요구 사항을 지원하는 지능형 위협 탐지를 위한 AWS GuardDuty
• 구성 변경을 관리하고 거버넌스 규칙을 구현하는 AWS Config
• 일반적인 공격 경로 (예 : SQL 삽입, 사이트 간 스크립팅 및 DDoS)로부터 웹 애플리케이션을 보호하기위한 AWS 웹 애플리케이션 방화벽 (WAF) 및 AWS Shield.
전체 AWS 보안 서비스 목록을 보려면 https://aws.amazon.com/products/security/를 방문하십시오.
AWS는 IT 인프라 비용을 절감하고 기업의 핵심가치에 더욱 집중할 수 있도록 합니다.
AWS에 대한 자세한 문의사항은 여기를 눌러 주세요.
빌드업웍스는 AWS 컨설팅 파트너로 고객 비즈니스를 최우선으로 하며 고객의 클라우드의 성공적인 시작과 운영을 지원합니다.
