클라우드 컴퓨팅
산업 제조
클라우드 자산을 보호하려는 모든 회사에는 클라우드 보안 정책이 필요합니다. 정책은 클라우드 데이터를 안전하게 유지하고 위협과 문제에 신속하게 대응할 수 있는 능력을 부여합니다.
이 문서에서는 클라우드 보안 정책의 가치를 설명합니다. 이러한 정책이 다루는 내용, 정책이 제공하는 혜택 및 비즈니스를 위한 정책 작성 방법을 알아보려면 계속 읽으십시오.
클라우드 보안 정책은 회사가 클라우드에서 운영하는 공식 지침입니다. 이 지침은 보안 전략을 정의하고 클라우드 자산의 안전과 관련된 모든 결정을 안내합니다. 클라우드 보안 정책은 다음을 지정합니다.
클라우드 보안 정책은 회사 보안 프로그램의 중요한 구성 요소입니다. 정책은 정보의 무결성과 개인 정보를 보호하고 팀이 신속하게 올바른 결정을 내리는 데 도움이 됩니다.
클라우드 컴퓨팅은 많은 이점을 제공하지만 이러한 서비스에는 몇 가지 안전 문제가 있습니다.
클라우드 컴퓨팅의 위험은 네트워크의 모든 부서와 장치에 영향을 미칩니다. 따라서 보호는 강력하고 다양하며 포괄적이어야 합니다. 안정적인 클라우드 보안 정책은 이러한 모든 특성을 제공합니다. 회사가 클라우드 서비스에 의존하는 경우 요약된 관행은 클라우드 데이터를 보호하는 데 필요한 수준의 가시성과 제어를 부여합니다.
클라우드 보안 표준은 보안 정책 실행을 지원하는 프로세스를 정의합니다. 보안 정책과 표준은 함께 작동하고 서로를 보완합니다.
표준은 회사 클라우드 컴퓨팅의 다음 측면을 다룹니다.
일반적으로 정책 규칙은 정적입니다. 표준은 동적이므로 최신 기술과 사이버 위협에 발맞추기 위해 자주 수정해야 합니다.
이 두 가지 중요한 용어의 핵심 차이점에 대한 심층 분석은 보안 대 규정 준수 문서를 참조하세요.
정책 생성을 시작하기 전에 클라우드 작업을 완전히 파악해야 합니다. 이를 해결하기 위한 정책을 작성하기 전에 시스템을 파악하면 불필요한 수정을 방지할 수 있습니다.
회사에서 일부 개인 정보 보호 또는 규정 준수 규정을 준수해야 하는 경우 클라우드 보안 정책에 미치는 영향을 고려하십시오. 모든 클라우드 기반 활동은 법적 의무를 준수해야 합니다.
공급자마다 다른 수준의 보안 제어를 제공합니다. 파트너의 보안 관행을 검사하고 제안에 맞는 솔루션을 구성하십시오.
직원에 대한 명확한 역할을 지정하고 애플리케이션 및 데이터에 대한 액세스를 설정합니다. 직원이 작업을 수행하는 데 필요한 자산에만 액세스할 수 있도록 합니다. 또한 회사에서 액세스를 기록하고 검토하는 방법을 정의합니다.
회사 데이터를 보호할 방법을 결정합니다. 대부분의 기업은 클라우드와 인터넷을 통해 이동하는 모든 민감한 데이터를 암호화하기로 선택합니다. 또한 내부 및 외부 데이터 저장소에 대한 보안 규칙을 문서화해야 합니다.
일반적으로 공급자는 서비스의 일부로 API(응용 프로그램 인터페이스)를 제공합니다. API를 사용하여 암호화 및 데이터 손실 방지(DLP) 정책을 시행하는 것이 좋습니다.
감염된 단일 엔드포인트는 여러 클라우드에서 데이터 침해로 이어질 수 있습니다. 따라서 이 문제를 방지하려면 클라우드 연결과 관련된 명확한 규칙을 설정해야 합니다. 이 단계에는 SSL(Secure Socket Layer), 네트워크 트래픽 검색 및 모니터링 규칙이 포함됩니다.
정책은 예방만 포함해서는 안 됩니다. 팀이 데이터 침해를 처리하고, 보고 프로세스를 간략하게 설명하고, 포렌식 기능을 지정하는 이상적인 방법을 고려하십시오. 재해 복구를 위한 프로토콜을 설정하는 경우에도 도움이 됩니다.
여러 개의 안전 솔루션이 있는 경우 팀에서 해당 솔루션을 적절하게 통합해야 합니다. 잘못 결합된 솔루션은 취약성을 생성하므로 회사의 보안 장치를 통합하고 활용할 방법을 찾으십시오.
정기적인 검토를 수행하고 구성 요소를 업그레이드하여 최신 위협보다 앞서 나가십시오. 또한 공급업체의 SLA를 정기적으로 확인하여 문제가 있는 업데이트로 인해 눈이 멀어지는 일이 없도록 하세요.
모든 직원은 정책을 이해할 수 있어야 합니다. 지나치게 복잡하지 않도록 하고 지침을 명확하고 간결하게 만드십시오. 단순하게 유지하면 모든 작업자가 규칙을 준수하는 데 도움이 되며 교육 비용도 절감됩니다.
인텐트 정의로 모든 정책을 시작합니다. 의도는 근로자가 규정을 이해하고 탐색할 수 있도록 규정의 요점을 명확하게 설명해야 합니다.
정책 시행 및 준수를 담당하는 모든 팀은 지침에 대한 전체 액세스 권한을 가져야 합니다. 관련된 사람들이 규칙을 읽고 이해했으며 준수하기로 동의했다는 기록을 만드십시오.
내부 통제 규정은 클라우드 자산에 대한 무단 액세스를 방지합니다. 제로 트러스트 모델을 따르고 리소스가 실제로 필요한 개인에게만 액세스를 허용하세요. 일부 작업자는 보고서 실행을 담당하는 작업자와 같이 읽기 전용 액세스 권한이 필요합니다. 다른 사용자는 VM 다시 시작과 같은 일부 작업을 수행할 수 있어야 하지만 VM 또는 리소스를 수정할 수 있는 권한을 부여할 이유가 없습니다.
월간 데이터 암호화 업데이트를 예약합니다. 정기적인 업데이트는 클라우드 리소스의 안전을 보장하므로 모든 것이 최신 상태임을 알고 안심할 수 있습니다.
모니터링은 정책의 주요 측면 중 하나여야 합니다. 클라우드 모니터링 도구는 활동 패턴과 잠재적인 취약점을 쉽게 찾아낼 수 있는 방법을 제공합니다.
클라우드 보안 정책으로 회사의 업무 흐름을 방해하지 마십시오. 귀하의 문화에 부합하는 규칙을 만들고 직원이 보다 원활하게 작업할 수 있도록 하십시오. 귀하의 정책이 일상 업무를 너무 많이 방해하면 일부 사람들이 지름길을 택할 가능성이 있습니다.
정책은 단일 팀의 책임이 되어서는 안 됩니다. 최고의 가이드라인은 여러 부서가 함께 협력하는 것입니다.
사업부 전반에 걸쳐 이해 관계자로부터 조언을 수집합니다. 이 전술은 현재 보안 수준에 대한 명확한 그림을 제공하고 보호를 개선하기 위한 올바른 단계를 찾는 데 도움이 됩니다.
정책 수립 과정을 제3자에게 위임하는 것은 실수입니다. 클라우드 서비스 공급자가 작업을 처리할 수 있지만 가장 안전한 클라우드 보안 정책은 내부 노력에서 나옵니다.
관리 그룹을 만들고 개인이 아닌 권한을 할당합니다. 그룹 액세스를 통해 보안을 손상시키지 않으면서 일상적인 작업을 더 쉽게 수행할 수 있습니다.
대부분의 주요 클라우드 공급자는 2FA(2단계 인증) 사용을 허용합니다. 2FA를 사용하여 새로운 배포를 보호하고 악의적인 로그인 시도로부터 더욱 보호하십시오.
일부 워크로드는 단일 지리적 지역의 고객 또는 클라이언트에게만 서비스를 제공합니다. 이러한 시나리오에서는 액세스 제한을 추가하는 것이 좋습니다. 특정 영역 또는 IP 주소에 대한 액세스를 제한하면 해커, 웜 및 기타 위협에 대한 노출이 제한됩니다.
공개 키 인프라(PKI ) 클라우드 보안 정책의 일부입니다. PKI 프로토콜은 공개 및 개인 키를 사용하여 데이터를 교환하기 전에 사용자 ID를 확인합니다. PKI로 전환하면 비밀번호 도난 위험이 제거되고 무차별 대입 공격을 방지할 수 있습니다.
데이터 유출을 수정하는 비용은 적절한 예방 조치의 대가보다 훨씬 큽니다. 클라우드 보안 정책은 클라우드에서 작동할 때 적절한 주의 단계를 제공합니다. 이 정책을 사용하면 불필요한 위험을 감수하지 않고 클라우드의 장점을 활용할 수 있습니다.
클라우드 컴퓨팅
기업이 둘 이상의 제공업체와 협력할 때의 이점을 계속 탐색함에 따라 멀티 클라우드의 인기가 높아지고 있습니다. 멀티 클라우드는 수많은 이점을 제공하지만 여러 공급업체와 클라우드에 의존하는 것도 공격 표면과 전반적인 위험을 증가시킵니다. 회사에서 자산과 데이터를 안전하게 유지하려면 멀티 클라우드 보안을 나중에 고려해야 합니다. 이 문서는 멀티 클라우드 보안 소개입니다. 이 클라우드 컴퓨팅 접근 방식의 고유한 과제. 또한 안전한 멀티 클라우드 설정을 설계하고 유지 관리하는 데 적용할 수 있는 모범 사례 목록도 제공합니다. 멀티 클라
클라우드에 데이터를 저장하면 사내 스토리지 인프라를 구매, 관리 및 유지할 필요가 없습니다. 이러한 편리함에도 불구하고 클라우드 스토리지 보안이 일반적으로 온프레미스 보호보다 우수함에도 불구하고 클라우드 기반 데이터에 대한 제어 부족은 기업의 공통된 문제로 남아 있습니다. 이 문서는 클라우드 스토리지 보안 소개입니다. 클라우드 공급자가 데이터를 보호하는 데 사용하는 기술. 클라우드 기반 데이터를 안전하게 유지하는 다양한 측면에 대해 알아보고 스토리지 보호가 불충분한 공급업체와 최상위 제공업체를 구별하는 방법을 알아보십시오. 보안