ISMS, ISMS-P 인증을 위한 AWS 서비스
많은 엔터프라이즈 고객들이 온프레미스 환경에서 AWS 환경으로의 마이그레이션을 진행하며 기업의 주요 서비스들 또한 AWS에서 제공되는 사례가 증가하고 있다. ISP와 IDC를 제외하더라도 아래 조건에 해당하는 기업의 경우 ISMS 인증 의무 대상자로 해당 서비스의 기반이 되는 AWS 인프라에 대해서 정보 보호 관리 체계 인증 심사를 진행해야 한다.
- 연간 매출액 또는 세입이 1천 5백억 원 이상인 사업자 대상 의료법 제 3조 5에 따른 상급 종합 병원 및 직전년도 재학생 수가 1만 명 이상인 고등교육법에 따른 학교
- 정보통신서비스 부문 전년도 매출액 1백 억원 이상 기업
- 전년도 직전 3개월 정보통신서비스 일일 평균 이용자수 1백만 명 이상 기업
정보통신망법 제47조 (시행령 제47조 ~ 제54조, 시행 규칙 제 3조) 및 개인정보 보호법 제32조 2 (시행령 제34조 2~8)에 근거하여 위 대상자에 대한 정보 보호 관리 체계 인증 심사는 의무이자 필수이다.
ISMS, ISMS-P 인증을 위한 AWS 서비스에서는 AWS 인프라에 대한 ISMS, ISMS-P 인증 심사에 도움을 주는 AWS 서비스를 안내하고 적용 가능한 솔루션에 대해 논한다.
ISMS-P 통합 인증 항목 중 클라우드 (AWS) 관련 항목은 정보보호 및 개인정보보호 관리체계 인증 기준 중 2. 보호대책 요구사항 내 10항 시스템 및 서비스 보안 관리 2 클라우드 보안 부문에서 확인할 수 있다.
2.10.2 클라우드 보안
인증 기준
클라우드 서비스 이용 시 서비스 유형 (SaaS, PaaS, IaaS)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인 정보가 유출 및 노출되지 않도록 관리자 접근 및 보안 설정 등에 보호대책을 수립 및 이행하여야 한다.
주요 확인 사항
클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서에 반영하고 있는가.
클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립 및 이행하고 있는가.
클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고 관리자 권한에 대한 비인가 접근, 권한 오용 및 남용을 방지할 수 있도록 강화된 인증, 암호화, 접근 통제, 감사기록 등 보호대책을 적용하고 있는가.
클라우드 서비스 보안 설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하고 있는가.
위 항목에 대한 증적 자료의 예시로는 클라우드 서비스 관련 계약서 및 SLA / 클라우드 서비스 위험분석 결과 / 클라우드 서비스 보안 통제 정책 / 클라우드 서비스 관리자 부여 현황 / 클라우드 서비스 구성도 / 클라우드 서비스 보안 설정 현황 / 클라우드 서비스 보안 설정 적정성 검토 이력 총 7개가 있다.
한편 AWS 내에는 ISMS-P 내 2.10.2 클라우드 보안 부문 및 증적 자료 준비에 활용될 수 있는 수많은 서비스가 존재한다.
이번 글에서는 다양한 AWS 보안 서비스 중 WAF-Family (WAF / Firewall Manager / Shield), GuardDuty, SecurityHub 3가지 주제를 먼저 다룬다.
WAF Family (AWS WAF / AWS Firewall Manager / AWS Shield)
AWS WAF는 CloudFront (CDN), Application LoadBalancer, API Gateway AppSync를 Web Exploit, Bot 접근으로부터 보호한다. 이러한 WAF는 Firewall Manager를 통해 방화벽 규칙을 직접 관리할 수 있다. 더불어 AWS Shield는 WAF, Firewall Manager 외에도 Global Accelerator 및 CloudFront Distribution, Route 53 Hosted Zone, Elastic Load Balancer, Elastic IP에 대해서도 DDoS 보호 서비스를 제공한다.
위 구성도는 AWS WAF 및 AWS Firewall Manager, AWS Shield를 활용하여 DDoS로부터 일반적인 웹 서비스 보호하는 솔루션을 보여준다.
AWS WAF, Firewall Manager, Shield는 ISMS, ISMS-P 인증 심사 사항 중 클라우드 보안 설정에 활용할 수 있다. 더불어 WAF, Firewall Manager, Shield 각 서비스의 설정 내역은 보안 설정 내역에 대한 증적 자료로도 사용 가능하다.
Amazon GuardDuty
Amazon GuardDuty는 AWS 계정 및 워크로드 내 악의적인 활동에 대해 모니터링하고 상세 보안 결과 제공한다. EC2, Container, Aurora, S3의 악의적인 활동 및 무단 변경을 지속적으로 모니터링하는 위협 탐지가 가능하며 CloudTrail Event 로그, VPC Flow 로그, EKS Audit 로그, DNS Query 로그 등의 여러 AWS 데이터 소스로부터 수백만 이벤트 분석이 가능하다.
위 구성도는 EKS 사용 사례에서 GuardDuty를 도입하여 의심되는 활동을 모니터링하고, 의심 활동이 발생하는 즉시 Email 및 Slack을 통해 알림을 받을 수 있는 솔루션을 보여준다.
GuardDuty는 ISMS, ISMS-P 인증 항목 중 클라우드 서비스 위험분석 결과를 도출하는데 활용할 수 있다. GuardDuty 설정 현황은 클라우드 서비스에 대한 위험분석 결과 도출 환경의 증적 자료로도 사용 가능하다.
AWS SecurityHub
AWS SecurityHub는 Macie, GuardDuty, Inspector, Firewall Manager, IAM Access Analyzer, System Manager 등의 여러 AWS 서비스에서 감지한 보안 감사 데이터를 통합하고 관리하는 서비스이다. 멀티 어카운트 환경에서 Security Hub를 통해 보안 감사 내역을 통합 관리하고, 이를 Event Bridge, Kinesis Data Firehose, OpenSearch와 통합하여 대시보드 형태로 확인할 수 있다.
위 구성도는 SecurityHub를 활용하여 멀티 어카운트 환경에서의 보안 감사를 관리하고 OpenSearch를 통해 대시보드 형태로 보안 감사 데이터를 확인할 수 있는 솔루션을 보여준다.
SecurityHub는 ISMS, ISMS-P 심사 항목 중 클라우드 서비스 보안 설정 현황에 활용될 수 있다. 특히 SecurityHub는 AWS 내의 멀티 어카운트 환경에 대한 보안 설정 및 감사에 매우 중요한 역할을 한다.
이러한 SecurityHub와 OpenSearch를 조합하여 사용하여 대시보드 형태로 감사 결과를 표현하면 ISMS, ISMS-P 심사 항목 중 클라우드 서비스 위험분석 결과 도출 및 증적 자료 준비에도 도움이 된다.
ISMS, ISMS-P 인증 심사에 활용될 수 있는 AWS 서비스 중 WAF Family (WAF / Firewall Manager / Shield), GuardDuty, SecurityHub 3가지를 먼저 다뤄보았다.
이번에 다루지 못한 클라우드 서비스 보안 통제 정책 / 클라우드 서비스 관리자 부여 현황 / 클라우드 서비스 보안설정 적정성 검토 이력과 관련된 내용은 AWS Services for ISMS-P (Korea) 2 | ISMS, ISMS-P 인증을 위한 AWS 서비스 2 글에서 다뤄질 예정이다.
이 글이 독자의 ISMS, ISMS-P 인증 심사 준비에 도움이 되었길 바란다.
SAINTPARK
Next Article