클라우드 보안

클라우드 기반 IT 시스템은 거의 모든 현대 산업에서 중요한 기능을 수행합니다. 회사, 비영리 단체, 정부 및 교육 기관까지도 클라우드를 사용하여 시장 범위를 확장하고 성능을 분석하며 인적 자원을 관리하고 향상된 서비스를 제공합니다. 당연히 효과적인 클라우드 보안 거버넌스는 분산 된 IT의 이점을 얻고 자하는 모든 기업에 필수적입니다.

모든 IT 도메인과 마찬가지로 클라우드 컴퓨팅에는 고유 한 보안 문제가 있습니다. 클라우드에서 데이터를 안전하게 유지한다는 아이디어는 오랫동안 불가능한 모순으로 간주되어 왔지만, 광범위한 업계 관행은 효과적인 클라우드 보안을 제공하는 수많은 기술을 보여줍니다. Amazon AWS와 같은 상업용 클라우드 제공자가 FedRAMP 준수를 유지함에 따라 입증 되었기 때문에 효과적인 클라우드 보안은 현실 세계에서 실현 가능하고 실용적입니다.

$config[code] not found

영향을받는 보안 로드맵 차트

확고한 계획이 없으면 IT 보안 프로젝트가 작동하지 않습니다. 클라우드와 관련된 관행은 보호하려는 도메인 및 구현에 따라 달라야합니다.

예를 들어, 지방 정부 기관이 귀하의 장비 또는 BYOD 정책을 가지고 있다고 가정하십시오. 직원들이 개인 스마트 폰, 랩톱 및 태블릿을 사용하여 조직 네트워크에 액세스하지 못하도록 막는 것보다 다른 감독 통제를 제정해야 할 수도 있습니다. 마찬가지로 데이터를 클라우드에 저장하여 권한이있는 사용자가보다 쉽게 액세스 할 수있게하려는 회사는 자체 데이터베이스 및 물리적 서버를 유지 관리하는 것보다 액세스를 모니터링하기 위해 다른 단계를 수행해야 할 수 있습니다.

일부는 클라우드를 안전하게 유지하는 것이 사설 LAN에서 보안을 유지하는 것보다 가능성이 적음을 의미하는 것은 아닙니다. 경험에 따르면 다양한 클라우드 보안 측정의 효용성은 특정 입증 된 방법론을 얼마나 잘 준수하고 있는지에 달려 있습니다. 정부 데이터 및 자산을 사용하는 클라우드 제품 및 서비스의 경우 이러한 최상의 방법은 Federal Risk and Authorization Management Program (FedRAMP)의 일부로 정의됩니다.

연방 위험 관리 및인가 관리 프로그램이란 무엇입니까?

연방 위험 관리 및 인증 관리 프로그램은 연방 기관이 클라우드 컴퓨팅 서비스 및 제품의 효력을 판단하는 데 사용하는 공식 프로세스입니다. 그 중심에는 표준 기술 연구소, NIST, 다양한 특별 간행물 또는 SP, 연방 정보 처리 표준 (FIPS) 문서에 정의 된 표준이 있습니다. 이 표준은 효과적인 클라우드 기반 보호에 중점을 둡니다.

이 프로그램은 많은 일반적인 클라우드 보안 작업에 대한 지침을 제공합니다. 여기에는 사고를 적절하게 처리하고, 법의학 기법을 사용하여 위반 사항을 조사하고, 자원 가용성을 유지하기위한 우연성을 계획하고, 위험을 관리하는 방법을 포함합니다. 또한이 프로그램에는 사례 별 기준으로 클라우드 구현을 평가하는 제 3 자 인증 기관 (Third Party Accreditation Organization) 또는 3PAO에 대한 인증 프로토콜이 포함되어 있습니다. 3PAO 인증 준수를 유지하는 것은 IT 통합 업체 또는 제공 업체가 클라우드에서 정보를 안전하게 지킬 준비가되어 있음을 나타내는 확실한 신호입니다.

효과적인 보안 관행

그렇다면 기업은 상용 클라우드 공급자와 어떻게 데이터를 안전하게 유지할 수 있습니까? 수많은 중요한 기술이 있지만 여기에 언급 할 가치가있는 것은 몇 가지 있습니다.

제공 업체 인증

강력한 업무 관계는 신뢰를 기반으로 구축되지만 선의는 어딘가에서 시작되어야합니다. 클라우드 공급자가 얼마나 잘 설립되어 있더라도 사용자가 규정 준수 및 거버넌스 관행을 인증하는 것이 중요합니다.

정부 IT 보안 표준은 일반적으로 감사 및 채점 전략을 포함합니다. 클라우드 제공 업체의 과거 실적을 확인하는 것은 향후 비즈니스에 적합한 지 여부를 확인하는 좋은 방법입니다..gov 및.mil 전자 메일 주소를 보유한 개인은 다른 공급 업체와 관련된 FedRAMP 보안 패키지에 액세스하여 규정 준수 주장을 뒷받침 할 수 있습니다.

사전 역할을 가정하십시오.

Amazon AWS 및 Microsoft Azure와 같은 서비스가 확립 된 표준을 준수한다고 공언하더라도 포괄적 인 클라우드 보안은 한 곳 이상을 필요로합니다. 구입 한 클라우드 서비스 패키지에 따라 공급자의 특정 기능 구현을 지시하거나 특정 보안 절차를 따라야한다고 조언해야 할 수 있습니다.

예를 들어, 의료 기기 제조업체 인 경우 건강 보험 이식성 및 책임 성법 (HIPAA)과 같은 법률에서 소비자 건강 데이터를 보호하기위한 추가 조치를 취할 것을 요구할 수 있습니다. 이러한 요구 사항은 귀하의 연방 위험 관리 프로그램 (Federal Risk and Authorization Management Program) 인증을 유지하기 위해 귀하의 공급자가해야하는 것과는 독립적으로 존재합니다.

최소한 조직에서는 클라우드 시스템과의 조직 상호 작용을 보장하는 보안 관행을 유지하는 데 전적으로 책임을집니다. 예를 들어, 직원 및 고객을 위해 보안 암호 정책을 마련해야합니다. 마지막에 공을 떨어 뜨리면 가장 효과적인 클라우드 보안 구현까지도 손상 될 수 있으므로 지금 책임을 맡으십시오.

클라우드 서비스로 수행하는 작업은 궁극적으로 보안 기능의 효율성에 영향을 미칩니다. 직원들은 Skype 나 Gmail을 통해 문서를 공유하는 것과 같은 사기성 IT 관행에 편의를 제공 할 수도 있지만 이러한 겉으로보기에 무해한 행위는주의 깊게 마련된 클라우드 보호 계획을 방해 할 수 있습니다. 직원에게 공인 서비스를 올바르게 사용하는 방법을 교육하는 것 외에도 비공식적 인 데이터 흐름과 관련된 함정을 피하는 방법을 가르쳐야합니다.

위험을 제어하기위한 클라우드 서비스 약관 이해

클라우드에서 데이터를 호스팅한다고해서 반드시 자체 스토리지와 본질적으로 동일한 수당이 부여되는 것은 아닙니다. 일부 제공 업체는 광고를 게재하거나 제품 사용을 분석 할 수 있도록 귀하의 콘텐츠를 트래킹 할 수있는 권리를 보유합니다. 다른 사람들은 기술 지원을 제공하는 과정에서 귀하의 정보에 액세스해야 할 수도 있습니다.

어떤 경우에는 데이터 노출이 큰 문제는 아닙니다. 그러나 개인 식별이 가능한 소비자 정보 또는 지불 데이터를 다루는 경우 타사 액세스로 인해 재난이 발생하는 것을 쉽게 볼 수 있습니다.

원격 시스템이나 데이터베이스에 대한 모든 액세스를 완전히 차단하는 것은 불가능할 수 있습니다. 그럼에도 불구하고 감사 기록 및 시스템 액세스 로그를 공개하는 제공 업체와 협력하면 데이터가 안전하게 유지 관리되는지 여부를 알 수 있습니다. 이러한 지식은 기업이 발생하는 모든 위반의 부정적인 영향을 완화하는 데 도움이됩니다.

보안은 일회성 사건이라고 생각하지 마십시오.

대부분의 지능있는 사람들은 정기적으로 개인 비밀번호를 변경합니다. 클라우드 기반 IT 보안에 대해 부지런해야하지 않습니까?

공급자의 준수 전략에 따라자가 감사를 수행하는 빈도와 관계없이 일상적인 평가를 위해 자신의 표준 집합을 정의하거나 채택해야합니다. 또한 컴플라이언스 요건을 준수하는 경우 클라우드 제공 업체가 일관되게 실패하지 않더라도 의무를 이행 할 수 있도록 엄격한 처방을 정하는 것이 좋습니다.