Audit Manager로 클라우드 규정 준수 감사를 Shift-Left 하세요

* 해당 블로그의 원문은 2024년 11월 16일 Google Cloud 블로그(영문)에 게재되었습니다. 

클라우드 규정 준수는 조직에 상당한 규제 및 기술적 과제를 제시할 수 있습니다. 이러한 복잡성에는 종종 고객과 클라우드 제공업체 간의 규정 준수 책임과 책임을 구분하는 것이 포함됩니다.

Google Cloud는 고객의 클라우드 엔지니어링, 규정 준수 및 감사 팀이 직면한 이러한 문제를 이해하고 있으며 이를 더 쉽게 관리할 수 있도록 지원하고자 합니다. 이것이 바로 규정 준수 감사 프로세스를 디지털화하고 간소화하는 데 도움이 되는 Audit Manager 서비스가 정식 출시되어 기쁘게 생각하는 이유입니다.

증거 수집을 위한 수동 프로세스에 의존하는 기존의 규정 준수 방법론은 비효율적이고 오류가 발생하기 쉬우며 리소스를 많이 사용합니다. Gartner® 감사 설문 조사에 따르면 "2024년 주요 우선 순위에 대한 설문 조사에서 감사 책임자(CAE)의 75%가 빠르게 진화하는 사이버 보안 환경에 발맞추는 감사 기능을 최우선 순위로 꼽았으며,

Audit Manager 소개

Audit Manager는 다음을 제공하여 조직이 규정 준수 노력을 가속화하도록 지원할 수 있습니다.

• 명확한 공동 책임 개요: 클라우드 제공업체와 고객 간의 규정 준수 의무를 명확히 하고 워크로드에 맞는 실행 가능한 권장 사항을 제공하는 공동 책임 매트릭스입니다.
• 자동화된 규정 준수 평가: 간단하고 자동화된 방식으로 업계 표준 기술 제어 요구 사항에 대한 워크로드 평가를 수행합니다. Audit Manager는 NIST 800-53, ISO, SOC 및 CSA-CCM을 포함한 널리 사용되는 산업 및 규제 프레임워크를 이미 지원합니다. 지원되는 프레임워크의 전체 목록은 여기에서 확인할 수 있습니다.
• 감사 준비 증거: 규정 준수 주장 및 전반적인 거버넌스 활동을 지원하기 위해 포괄적인 검증 가능한 증거 보고서를 자동으로 생성합니다. Audit Manager는 프레임워크 수준에서 규정 준수에 대한 빠른 실행 요약과 제어 수준 보고서를 사용하여 심층 분석할 수 있는 기능을 제공합니다.
• 실행 가능한 개선 지침: 식별된 각 규정 준수 격차를 신속하게 해결하기 위한 통찰력을 제공합니다.

Audit Manager를 통한 규정 준수 감사 여정

클라우드 규정 준수 감사 프로세스에는 책임 정의, 위험 식별 및 완화, 지원 데이터 수집, 최종 보고서 생성이 포함됩니다. 이 프로세스에는 거버넌스, 위험 및 규정 준수 분석가, 규정 준수 관리자, 개발자 및 감사자가 각자 특정 작업을 수행하면서 협업해야 합니다. Audit Manager는 관련된 모든 역할에 대해 이 프로세스를 간소화하여 작업을 단순화하고 효율성을 향상시키는 데 도움을 줄 수 있습니다.

고객 사례 연구: Deutsche Börse Group 

국제 증권 거래소 조직이자 혁신적인 시장 인프라 제공업체인 Deutsche Börse Group은 2022년 Google Cloud와 전략적 파트너십을 시작했습니다. 클라우드 전환 여정이 순조롭게 진행되고 있으며, 이는 환경에서 규정 준수를 달성하고 문서화해야 하는 과제를 안겨줍니다.

Deutsche Börse Group의 Google Cloud 클라우드 거버넌스 책임자인 Florian Rodeit은 라스베이거스에서 열린 Google Cloud Next 2024 세션에서 Audit Manager에 대해 처음 들었습니다.

"Audit Manager 제품은 많은 잠재력을 가진 자동화 및 감사 제어 수준을 약속합니다. Deutsche Börse Group에서 우리는 프리뷰에 액세스하고 기능을 추가로 살펴보고 공동 솔루션을 구축하게 되어 기뻤습니다."라고 그는 말했습니다.

Audit Manager의 유럽 프리뷰 출시 이후 Deutsche Börse Group과 Google Cloud는 Audit Manager를 통해 클라우드 제어를 자동화하는 방안을 모색하기 위한 협업 프로젝트를 시작했습니다. Deutsche Börse Group은 조직 전체의 클라우드 제어 요구 사항을 관리하기 위해 이미 포괄적인 제어 카탈로그를 만들었습니다. 그들은 Audit Manager에 대한 입력을 생성하기 위해 작성된 규칙 프레임워크에 대해 Cloud Security Alliance의 클라우드 제어 매트릭스를 분석하고 클라우드 관련 제어에 대한 소유권 및 구현 지침을 설정했습니다.

이제 Deutsche Börse Group은 Audit Manager를 사용하여 승인된 지역 외부에 설정된 리소스와 같이 제어 프레임워크에서 벗어난 리소스가 구성되어 있는지 확인할 수 있습니다. 이는 Google Cloud 리소스의 규정 준수 사용에 대한 특정 요구 사항을 지원하는 자동화된 감사 가능한 증거를 제공합니다.

Deutsche Börse Group의 부사장이자 클라우드 거버넌스 전문가인 Benjamin Möller는 협업 프로젝트를 이끌고 있습니다. "앞으로 Audit Manager를 통해 많은 기술적 제어를 자동화하여 규정을 준수하고 있음을 확실히 보장하고 비준수를 신속하게 식별 및 수정하며 감사 증거의 수동 오버헤드를 최소화할 수 있기를 바랍니다. 우리는 합작 투자에서 계속해서 진전을 이루게 되어 기쁩니다."라고 그는 말했습니다.

다음 단계

Audit Manager를 사용하려면 Google Cloud 콘솔에서 직접 도구에 액세스하세요. Google Cloud 콘솔에서 규정 준수 탭으로 이동하여 Audit Manager를 선택합니다. Audit Manager 사용에 대한 포괄적인 가이드는 자세한 제품 문서를 참조하세요. Audit Manager의 사용자 환경을 개선하는 데 도움이 되도록 이 서비스에 대한 의견을 공유해 주시기 바랍니다.