AWS 규정 준수 감사 준비를 위한 모범 사례

AWS 환경에서 구축된 시스템의 규정 준수 감사(compliance assessment)를 준비하는 모범 사례에 대한 문제가 나와 해당 개념을 정리해보았다. 

AWS 내부에 구축된 시스템의 규정 준수 평가를 준비할 때 감사를 준비하기 위한 모범 사례 세 가지는 무엇입니까? (세 가지를 선택하세요.)
A. IT 운영 제어에 대한 증거를 수집하세요.
B. 적용 가능한 제3자 감사 AWS 규정 준수 보고서 및 인증을 요청하고 획득합니다.
C. 사전 평가 보안 검토를 위해 AWS 데이터 센터의 규정 준수 및 보안 투어를 요청하고 받으세요.
D. AWS에 시스템 인스턴스 및 엔드포인트에 대한 관련 네트워크 스캔 및 심층 침투 테스트를 수행하도록 요청하고 승인을 받습니다.
E. AWS의 제3자 감사자와 회의 일정을 잡아 귀하의 통제 목표에 맞는 AWS 규정 준수 증거를 제공하십시오.

 

정답: ABD

 

A. IT 운영 통제에 대한 증거 수집 (Gather evidence of your IT operational controls)

• AWS 공동 책임 모델에 따르면, 고객은 클라우드 내(in the cloud)의 보안과 규정 준수에 책임이 있다.
  • AWS 공동 책임 모델
    • AWS: 클라우드 자체의 보안 (데이터센터, 네트워크, 하드웨어)
    • 고객: 클라우드 안에 있는 것들의 보안 (데이터, 애플리케이션, ID 관리, 운영 체제 구성)
• 따라서 자체 IT 운영 통제에 대한 증거를 수집하고 문서화하는 것은 감사 준비의 필수적인 부분이다.
• 암호 정책, 사용자 권한 관리, 시스템 업데이트 절차 등 AWS 안에서 설정한 모든 보안 조치(직접 관리하는 부분)에 대한 문서와 증거를 수집해야 함. 

 

B. 적용 가능한 AWS의 제3자 감사 규정 준수 보고서 및 인증서 요청 및 획득 (Request and obtain applicable third-party audited AWS compliance reports and certifications)

• AWS는 SOC 1, SOC 2, PCI DSS, ISO 27001 등 다양한 글로벌 및 지역 규정 준수 표준에 대한 제3자 인증 보고서 등을 요청하는 것. 이런 보고서는 AWS Artifact 콘솔을 통해 고객이 직접 다운로드할 수 있다.
• 이 문서들은 AWS의 기본 인프라가 보안 기준을 충족한다는 증거를 제공

 

D. 시스템의 인스턴스 및 엔드포인트에 대한 관련 네트워크 스캔 및 심층 침투 테스트를 수행하기 위한 AWS의 승인 요청 및 획득 (Request and obtain approval from AWS to perform relevant network scans and in-depth penetration tests of your system's Instances and endpoints)

• 시스템에 대한 보안 테스트 수행 승인 요청을 받으라는 말과 동일.
• AWS 환경에서 보안 취약점을 찾기 위한 테스트(네트워크 스캔, 침투 테스트 등)를 하기 위해서는 AWS의 허가가 필요하다. 
• 그러나 이러한 활동은 AWS 이용 방침을 준수해야 하며, 일부 테스트 유형은 사전 승인이 필요하다.