ISMS, ISMS-P 인증을 위한 AWS 서비스 2
이번 글에서는 AWS Services for ISMS-P (Korea) | ISMS, ISMS-P 인증을 위한 AWS 서비스에서 마저 다루지 못한 클라우드 서비스 보안 통제 정책 / 클라우드 서비스 관리자 부여 현황 / 클라우드 서비스 보안설정 적정성 검토 이력과 관련된 내용을 다룬다.
관련된 AWS 서비스로는 AWS Control Tower, AWS Identity & Access Management, AWS Trusted Advisor, AWS Config가 존재한다.
ISMS, ISMS-P 인증을 위한 AWS 서비스 글이 처음인 경우 아래 글을 읽고 이 글을 읽기 바란다.
AWS Control Tower
AWS Control Tower는 멀티 어카운트 환경에서 각 계정의 활동을 감사하고 이를 제어하는데 최적화된 서비스이다. Control Tower를 통해 각 계정의 AWS 서비스 접근 바운더리를 설정하고 관리하며 별도의 Security OU를 통해 중앙 집중적인 로그 저장 및 감사를 도모할 수 있다.
위 구성도는 AWS Control Tower의 동작 원리와 각 어카운트 및 OU 구성을 보여준다. 여기서 주의할 점은 AWS Organization Owner가 Control Tower 관리 계정은 아니라는 점이다. Control Tower는 AWS Organizations 서비스를 사용하나, 개별 서비스의 관리자는 전부 분리되어 있다. 즉 Control Tower에 계정을 추가하기 위해서는 Organization Owner 계정이 아닌 Control Tower 관리자로 접속해야하며 해당 Organization에 대한 Billing 정보는 별도로 Organization Owner로 접속하여 확인해야 한다. 더불어 Log Archive 및 Audit 계정 또한 Control Tower 관리 계정과는 별개로 존재함을 주지해야한다.
Control Tower는 ISMS, ISMS-P 인증 심사 사항 중에서도 클라우드 서비스 보안통제 정책에 활용될 수 있다. Control Tower를 통해 생성되는 계정은 기본적으로 계정 생성 시 Account Baseline (CloudFormation StackSets)이 실행된다. 각 계정은 해당 Account Baseline을 통해 서비스 접근 권한 설정 및 자동화된 보안 감사 정책이 적용된다. 따라서 이는 ISMS, ISMS-P 주요 확인 사항 중 클라우드 보안통제 정책에 적합하다.
동시에 해당 Control Tower 내 Security OU는 클라우드 서비스 위험 분석을 위한 중앙 집중된 로그 아카이브 구축 사례 (Log Archive Account) 및 위험 행동 분석 및 알림 (Audit Account) 사례로 활용될 수 있다. 이는 클라우드 서비스 위험분석 사례로 활용 가능하다.
AWS Identity & Access Management
AWS Identity and Access Management는 AWS 계정에 대한 사용자를 생성 및 관리하고 각 AWS 리소스 및 서비스에 대한 접근 권한을 제어하는 서비스이다. AWS는 보안 등의 이유로 일반적인 상황에서 AWS Root 계정 사용을 권장하지 않는다. 따라서 IAM을 통해 해당 AWS 계정에 사용자를 추가 생성하고 해당 유저에 적합한 권한을 부여하는 것이 좋다. IAM 유저는 그룹 형태로도 관리 가능하다. 각 목적에 맞는 그룹을 생성하여 (Dev, Audit 등) 각 유저들을 포함시키면 그룹에 정의된 정책에 따라 AWS 리소스 및 서비스에 접근 권한이 부여된다. IAM 역할 (Role)은 각 유저가 특정 상황에 요구되는 권한을 부여하는데 매우 적합하다. IAM Role을 통해 1회성 인증 토큰을 받아 Role에 부여된 권한으로 작업을 수행하고 작업을 마무리하는 것은 권한 최소 부여 정책 준수에 도움이 된다.
위 구성도는 각 IAM 유저와 IAM 유저 그룹 현황 예시를 보여 준다. IAM 유저를 통해 발생한 활동은 CloudTrail에 자동으로 집계된다. 이러한 점을 활용하여 이상 활동이 감지되는 경우 해당 이벤트를 즉시 EventBridge로 전송하고 Amazon SNS를 통해 Email 알림을 받는 형태로 서비스 연동을 구성할 수도 있다.
IAM은 ISMS, ISMS-P 인증 심사 사항 중에서도 클라우드 서비스 관리자 권한 부여 현황 관리에 사용 가능하다. IAM 서비스 내 자격 증명 보고서는 클라우드 서비스 관리자 부여 현황에 대한 증적 자료로 활용될 수 있어 ISMS, ISMS-P 인증 심사에 활용 하는 것을 권장한다.
AWS Trusted Advisor & AWS Config
AWS Trusted Advisor는 비용 최적화, 성능 최적화, 보안, 내결함성 및 서비스 한계를 주기적으로 검사하고 리포트하는 서비스이다. Trusted Advisor는 기본적으로 모든 계정, 모든 지역에 활성화되어 있다.
Trusted Advisor 서비스에 접속하면 아래와 같은 대시보드를 확인할 수 있는데, 우리가 주의깊게 확인해야 하는 부분은 Download all checks (한국어 : 모든 검사 다운로드) 로 비용 최적화 / 성능 최적화 / 보안 / 내결함성 / 서비스 한도 점검에 관련된 모든 항목을 확인할 수 있다. 주기적으로 TA 검사 내역을 새로고침하여 해당 AWS 계정에 대한 권고 사항을 점검하고 이를 활용하면 클라우드 서비스 보안설정 적정성 검토 이력으로 활용할 수 있다.
AWS Config는 AWS 계정 내 존재하는 리소스에 대해 진단하고 감사 및 평가하는 서비스이다. Config 서비스에 접속하면 아래와 같은 대시보드를 확인할 수 있는데, 이를 통해 우리는 해당 Config Rule Set을 준수하지 않는 리소스 및 규정이 준수되지 않은 규칙들을 한 눈에 파악할 수 있다.
Config Rule Set은 각 회사의 사내 정책에 맞춰 Custom Config Rule Set을 생성할 수도 있다. 한편 AWS Config에는 ISMS, ISMS-P 인증을 위한 Config Rule Set도 존재한다.
해당 Rule Set을 활용하면 해당 AWS 계정에 존재하는 리소스에 대해 ISMS, ISMS-P 규정을 준수 여부를 한 번에 파악할 수 있다. 이는 아래 대시보드와 ISMS, ISMS-P에 특화된 클라우드 서비스 보안설정 적정성 검토 방안으로 활용하기 매우 적합하며, 해당 Config Rule Set 결과를 통해 ISMS, ISMS-P 규정 미준수 리소스에 대해 조치를 취하는데 활용 가능하다.
지금까지 ISMS, ISMS-P 인증 심사 중 2.10 클라우드 보안 항목 대비에 도움이 되는 AWS 서비스 10가지를 다뤄보았다.
클라우드 서비스 보안 설정 현황의 AWS WAF / AWS Firewall Manager / AWS Shield / AWS SecurityHub, 클라우드 서비스 위험분석 결과의 Amazon GuardDuty / AWS SecurityHub (중복), 클라우드 서비스 보안 통제 정책의 AWS ControlTower, 클라우드 서비스 관리자 부여 현황의 AWS Identity & Access Management, 클라우드 서비스 보안 설정 적정성 검토 이력의 AWS Trusted Advisor / AWS Config를 독자의 ISMS, ISMS-P 심사 준비에 활용해보길 바란다.
이번 글에 포함되지 않은 클라우드 서비스 구성도 및 클라우드 서비스 관련 계약서 및 SLA는 직접 준비해야 함을 알려드리며, AWS Services for ISMS-P (Korea) | ISMS-P 인증을 위한 AWS 서비스를 마친다.
이 글이 독자의 ISMS, ISMS-P 인증 심사 준비에 도움이 되었길 바란다.
SAINTPARK
Next Article