여러 제어 기능을 통한 위험 관리

Google Cloud 아키텍처 프레임워크의 이 문서에서는 클라우드 배포의 위험 관리를 위한 권장사항을 설명합니다. 조직에 적용되는 위험을 신중하게 분석하면 필요한 보안 제어를 결정할 수 있습니다. Google Cloud에 워크로드를 배포하기 전에 위험 분석을 완료해야 하며 이후 비즈니스 요구사항, 규제 요건, 조직과 관련된 위협에 따라 정기적으로 분석을 수행해야 합니다.

조직의 위험 파악

Google Cloud에 리소스를 만들고 배포하기 전에 위험 평가를 완료하여 내부 보안 요구사항과 외부 규제 요건을 충족하는 데 필요한 보안 기능을 결정합니다. 위험 평가는 사용자와 관련된 위험 카탈로그를 제공하며 보안 위협을 감지하고 완화할 수 있는 조직의 역량이 얼마나 되는지 알려줍니다.

클라우드 환경의 위험은 이용하는 클라우드 제공업체와의 공유 책임이 있으므로 온프레미스 환경의 위험과는 다릅니다. 예를 들어 온프레미스 환경에서는 사용자가 하드웨어 스택의 취약점을 완화해야 합니다. 반면에 클라우드 환경에서는 이러한 위험이 클라우드 제공업체에 의해 발생합니다.

또한 위험은 Google Cloud 사용 계획에 따라 달라집니다. Google Cloud로 일부 워크로드를 전송하나요? 아니면 모든 워크로드를 전송하나요? 재해 복구 목적으로만 Google Cloud를 사용 중인가요? 하이브리드 클라우드 환경을 설정하고 있나요?

클라우드 환경과 규제 요건에 적용되는 업계 표준 위험 평가 프레임워크를 사용하는 것이 좋습니다. 예를 들어 Cloud Security Alliance(CSA)는 Cloud Controls Matrix(CCM)를 제공합니다. 또한 잠재적인 차이점의 목록을 제공하고 발견된 모든 차이를 해결하기 위한 조치를 제안하는 OWASP 애플리케이션 위협 모델링과 같은 위협 모델이 있습니다. 파트너 디렉터리에서 Google Cloud 위험 평가 수행에 대한 전문가 목록을 확인할 수 있습니다.

위험을 분류하는 데 도움이 되도록 위험 보호 프로그램에 포함된 Risk Manager를 사용하는 것이 좋습니다. (이 프로그램은 현재 미리보기입니다.) Risk Manager는 워크로드를 검사하여 비즈니스 위험을 파악합니다. 해당 세부 보고서는 보안 기준을 제공합니다. 또한 Risk Manager 보고서를 사용하여 위험을 인터넷 보안 센터(CIS) 벤치마크에 설명된 위험과 비교할 수 있습니다.

위험을 카탈로그화한 후에는 위험을 해결하는 방법, 즉 위험을 허용, 방지, 이전 또는 완화할지 결정해야 합니다. 다음 섹션에서는 완화 제어 방법을 설명합니다.

위험 완화

기술 제어, 계약 보호, 제3자 확인 또는 증명을 사용하여 위험을 완화할 수 있습니다. 다음 표에는 새로운 퍼블릭 클라우드 서비스를 도입할 때 이러한 완화 조치를 사용하는 방법이 나와 있습니다.

다음 단계

다음 리소스를 통해 위험 관리에 대해 자세히 알아보세요.

• 애셋 관리(이 시리즈의 다음 문서)

• 위험 보호 프로그램

• 규정 준수 리소스 센터

• 클라우드 디지털 혁신의 위험 관리(PDF)