Google Cloud 아키텍처 프레임워크의 이 문서에서는 클라우드 배포의 위험 관리를 위한 권장사항을 설명합니다. 조직에 적용되는 위험을 신중하게 분석하면 필요한 보안 제어를 결정할 수 있습니다. Google Cloud에 워크로드를 배포하기 전에 위험 분석을 완료해야 하며 이후 비즈니스 요구사항, 규제 요건, 조직과 관련된 위협에 따라 정기적으로 분석을 수행해야 합니다.
조직의 위험 파악
Google Cloud에 리소스를 만들고 배포하기 전에 위험 평가를 완료하여 내부 보안 요구사항과 외부 규제 요건을 충족하는 데 필요한 보안 기능을 결정합니다. 위험 평가는 사용자와 관련된 위험 카탈로그를 제공하며 보안 위협을 감지하고 완화할 수 있는 조직의 역량이 얼마나 되는지 알려줍니다.
클라우드 환경의 위험은 이용하는 클라우드 제공업체와의 공유 책임이 있으므로 온프레미스 환경의 위험과는 다릅니다. 예를 들어 온프레미스 환경에서는 사용자가 하드웨어 스택의 취약점을 완화해야 합니다. 반면에 클라우드 환경에서는 이러한 위험이 클라우드 제공업체에 의해 발생합니다.
또한 위험은 Google Cloud 사용 계획에 따라 달라집니다. Google Cloud로 일부 워크로드를 전송하나요? 아니면 모든 워크로드를 전송하나요? 재해 복구 목적으로만 Google Cloud를 사용 중인가요? 하이브리드 클라우드 환경을 설정하고 있나요?
클라우드 환경과 규제 요건에 적용되는 업계 표준 위험 평가 프레임워크를 사용하는 것이 좋습니다. 예를 들어 Cloud Security Alliance(CSA)는 Cloud Controls Matrix(CCM)를 제공합니다. 또한 잠재적인 차이점의 목록을 제공하고 발견된 모든 차이를 해결하기 위한 조치를 제안하는 OWASP 애플리케이션 위협 모델링과 같은 위협 모델이 있습니다. 파트너 디렉터리에서 Google Cloud 위험 평가 수행에 대한 전문가 목록을 확인할 수 있습니다.
위험을 분류하는 데 도움이 되도록 위험 보호 프로그램에 포함된 Risk Manager를 사용하는 것이 좋습니다. (이 프로그램은 현재 미리보기입니다.) Risk Manager는 워크로드를 검사하여 비즈니스 위험을 파악합니다. 해당 세부 보고서는 보안 기준을 제공합니다. 또한 Risk Manager 보고서를 사용하여 위험을 인터넷 보안 센터(CIS) 벤치마크에 설명된 위험과 비교할 수 있습니다.
위험을 카탈로그화한 후에는 위험을 해결하는 방법, 즉 위험을 허용, 방지, 이전 또는 완화할지 결정해야 합니다. 다음 섹션에서는 완화 제어 방법을 설명합니다.
위험 완화
기술 제어, 계약 보호, 제3자 확인 또는 증명을 사용하여 위험을 완화할 수 있습니다. 다음 표에는 새로운 퍼블릭 클라우드 서비스를 도입할 때 이러한 완화 조치를 사용하는 방법이 나와 있습니다.
위험 완화 | 설명 |
---|---|
기술 제어 | 기술 제어는 환경을 보호하기 위해 사용하는 기능 및 기술을 의미합니다. 여기에는 방화벽 및 로깅과 같이 기본 제공되는 클라우드 보안 제어가 포함됩니다. 기술 제어에는 보안 도구를 강화하거나 지원하기 위해 타사 도구를 사용하는 것도 포함될 수 있습니다. 기술 관리에는 두 가지 카테고리가 있습니다.
|
계약 보호 | 계약 보호는 Google Cloud 서비스에 대한 Google의 법적 약속을 의미합니다. Google은 규정 준수 포트폴리오를 유지보수하고 확장하기 위해 최선을 다하고 있습니다. Cloud 데이터 처리 추가 조항(CDPA) 문서에는 ISO 27001, 27017, 27018 인증을 유지하고 SOC 2 및 SOC 3 보고서를 12개월마다 업데이트한다는 Google의 노력이 명시되어 있습니다. DPST 문서에서는 Google 지원 엔지니어의 고객 환경에 대한 액세스를 제한하기 위해 마련된 액세스 제어에 대해 간략하게 설명하고 엄격한 로깅과 승인 절차에 대해 설명합니다. 법률 및 규제 전문가와의 Google Cloud 계약 제어 시스템을 검토하고 요구사항을 충족하는지 확인하는 것이 좋습니다. 자세한 내용은 기술 계정 담당자에게 문의하세요. |
제3자 인증 또는 증명 | 제3자 검증 또는 증명은 클라우드 제공업체가 규정 준수 요구사항을 충족하는지 제3자 공급업체가 감사하는 것을 의미합니다. 예를 들어 Google은 ISO 27017 규정 준수에 대해 제3자의 감사를 받습니다. 현재 Google Cloud 인증 및 증명서는 규정 준수 리소스 센터에서 확인할 수 있습니다. |
다음 단계
다음 리소스를 통해 위험 관리에 대해 자세히 알아보세요.
- 애셋 관리(이 시리즈의 다음 문서)