NIST

이번 장에서는 AWS의 NIST 인증 여부와, SA가 NIST 관련된 보안적인 부분에서 고려해야 하는 것에 대해서 알아보도록 한다.

NIST 란

NIST(National Institute of Standards and Technology) 800-53 보안 제어는 미연방 보안 시스템에 일반적으로 적용 가능하다.
연방 정보 시스템은 정보 및 정보 시스템의 기밀성, 무결성 및 가용성이 충분히 보호되고 있음을 보장하기 위해 공식 평가 및 인증 절차를 통과해야 한다.
NIST CSF(Cybersecurity Framework)는 분야나 규모와 관계없이 모든 기업이 사용할 수 있는 권장 기준으로서 전 세계적으로 정부와 업계의 지지를 받고 있다.
“Gartner”에 따르면 2015년에 미국 기업의 약 30%가 CSF를 사용하였고 2020년에는 50%에 이를 것으로 예상하고 있다.
2016년부터 연방 기관 FISMA(Federal Information Security Modernization Act) 지표가 CSF를 중심으로 구성되었고 이제 정부 기관은 사이버 보안 행정 명령에 따라 CSF를 구현해야 한다.

Q. AWS는 NIST 800-53 프레임워크를 준수합니까?
Yes. AWS 클라우드 인프라 및 서비스는 NIST 800-53 개정안 4 제어 항목 및 추가적인 FedRAMP 요구 사항에 대해 수행된 타사 테스트를 통해 검증을 받았다. 자세한 내용은 AWS FedRAMP 규정 준수 페이지에서 확인이 가능하다.

Q. AWS 시스템의 NIST 프레임워크 준수와 관련하여 고객의 책임은 무엇입니까?
일부 제어 항목은 AWS에서 상속되지만 제어 항목 대부분은 AWS와 고객 간에 상속을 공유한다.
- 공동 책임: 고객은 자사 소프트웨어 구성 요소의 보안과 구성을 제공하며, AWS는 자체 인프라의 보안을 제공한다.
- 고객 전용 책임: 배포된 애플리케이션, 방화벽 등은 고객의 책임이다. 즉, 클라우드 내부에서의 보안을 구성하고 관리하는 것은 고객의 책임이다.
- AWS 전용 책임: 네트워크, 데이터 스토리지, 시스템 리소스 등 클라우드 인프라와 같이 AWS 클라우드 자체의 보안을 구성하고 관리하는 것은 AWS의 책임이다.

Q. NIST 프레임워크 준수를 실현하는 데 AWS가 어떤 도움을 줄 수 있습니까?
AWS FedRAMP 준수 시스템은 인증을 받았고, 지속적인 모니터링 요구 사항을 준수하고 있다.
AWS 공동 책임 모델에 따라, AWS는 클라우드 자체의 보안을 관리하며, 고객은 클라우드 내부에서의 보안을 책임진다.
AWS “Quick Starts”는 체계적으로 실행할 수 있는 포괄적인 규칙 세트를 통해 보안 기준을 간소화, 자동화 및 구현한다. “Quick Starts”는 고객 조직의 AWS 클라우드 보안 및 규정 준수 목표에 적합한 방식으로 AWS에서 규정 준수를 구현하려는 고객에게 도움이 된다.

Q. NIST CSF를 사용하려면 어떻게 해야 합니까?
공공 및 상업 부문의 조직 모두 NIST Cybersecurity Framework(CSF) 백서를 활용하여 NIST CSF와 비교하여 AWS 환경을 평가하고, 조직에서 구현하고 운영하는 보안 조치를 개선할 수 있다.

[AWS] PCI DSS (0)	2022.12.08