보안 및 규정 준수를 위한 효과적인 전략 정보

설계 전략 생성

포괄적인 보안 설계 전략은 Identity Management를 통해 보안 보증(보안 주체 인증 및 권한 부여 프로세스)을 제공합니다. ID 관리 서비스를 사용하여 유저, 파트너, 고객, 응용 프로그램, 서비스 및 기타 엔티티에 대한 권한을 인증하고 부여합니다.

또한 온프레미스와 Oracle Cloud Infrastructure에서 호스트되는 리소스 사이에 Oracle Cloud Infrastructure에서 비롯된 네트워크 트래픽 제어, Oracle Cloud Infrastructure와의 트래픽 등을 배치하여 자산을 보호할 수 있습니다. 보안 조치가 없는 경우 공격자가 공용 IP 범위를 스캔하여 액세스 권한을 얻을 수 있습니다. 적절한 네트워크 보안 제어는 클라우드 배포를 시도하는 공격자를 감지, 포함 및 중지하는 데 도움이 되는 심층적인 요소를 제공할 수 있습니다.

또한 성공적인 설계 전략은 Oracle Cloud Infrastructure의 접근 제어, 암호화 및 로깅을 사용하여 민감한 데이터 자산을 분류, 보호 및 모니터링하는 데 유리합니다. 또한 전송 중이거나 보관된 데이터에 대한 제어 기능을 사용할 수 있습니다.

애플리케이션 및 연계된 데이터는 클라우드 플랫폼에서 비즈니스 가치의 기본 저장소로 사용됩니다. 애플리케이션은 사용할 수 있고 무결성이 높은 상태로 제공되어야 하는 비즈니스 프로세스를 캡슐화 및 실행하므로 비즈니스에서 역할을 수행할 수 있습니다. 또한 애플리케이션은 기밀 유지 , 무결성 및 가용성을 높여야 하는 비즈니스 데이터를 저장하고 처리합니다 . 따라서 성공적인 전략은 애플리케이션 및 데이터 보안에 집중하고 사용해야 합니다.

모니터링 및 감사 전략 생성

성공적인 모니터링 전략은 상태 모델링에 집중할 것입니다.

상태 모델링은 모니터링을 통해 작업 부하의 보안 상태를 유지하는 작업을 말합니다. 이러한 활동은 현재 보안 관행이 유효한지 또는 새로운 요구 사항이 있는지 여부를 나타낼 수 있습니다. 상태 모델링에는 다음 범주가 포함될 수 있습니다.

작업 로드와 작업 로드가 실행되는 Infrastructure를 모니터합니다.
감사를 수행합니다.
감사 로그를 사용으로 설정, 획득 및 저장합니다.
보안 픽스를 업데이트 및 패치합니다.
인시던트에 대응합니다.
실제 장애에 기반한 공격 시뮬레이션

최적화 전략 수립

클라우드에서의 보안 운영을 위한 보안 기준이 설정되면 보안 팀은 기존 보안 모범사례에 대한 향상 및 최적화로 이어질 수 있는 클라우드별 보안 프로세스와 제어 기능을 지속적으로 조사해야 합니다.

수천 개의 기업이 클라우드 서비스를 이용해 민첩성을 높이고 IT 서비스 비용을 절감하기 위한 비즈니스 목표를 달성하고 안전하게 운영하고 있습니다. 이 모범 사례 프레임워크는 보안 운영 조직 전반의 패턴에 대한 권장 사항을 제공하여 클라우드 서비스를 안전하게 사용할 수 있도록 필요한 보안 아키텍처, 프로세스 및 제어를 제공합니다. 보안 배치부터 시작하는 것 외에 지속적인 개선 전략을 구현해야 합니다.

보안 설계 원리 따르기

이 설명서의 문서는 Oracle Cloud Infrastructure에서 세 가지 설계, 모니터링 및 최적화 전략을 구현하고 구현 방법에 대한 권장사항을 제공하는 방법을 설명합니다. 이러한 각 권장 사항은 다음 보안 설계 원칙 중 하나 이상을 구현합니다.

이러한 원칙은 이러한 세 가지 주요 전략을 지원하고 클라우드 또는 온프레미스 데이터 센터(또는 이 둘의 하이브리드 조합)에서 호스팅되는 안전하게 설계된 시스템을 설명합니다. 이러한 원칙을 적용하면 보안 아키텍처가 기밀성, 무결성 및 가용성을 유지할 가능성이 크게 증가합니다.

최상의 보안 및 준수 방법은 다음 설계 원칙을 구현합니다.

공격자용 설계: 보안 설계 및 우선 순위 지정은 공격자가 환경을 보는 방식에 초점을 맞춰야 합니다. 이러한 방식은 IT 및 애플리케이션 팀이 이를 보는 방식이 아닙니다. 보안 설계를 알리고 일회성 공격을 시뮬레이션하는 침투 테스트를 통해 이를 테스트합니다. 빨간색 팀을 사용하여 장기적인 영구 공격 그룹을 시뮬레이트합니다. 사용자 환경 내에서 공격자의 측면 이동을 포함할 수 있는 엔터프라이즈 세분화 전략 및 기타 보안 제어를 설계합니다. 공격자가 환경 내에서 리소스의 악용을 받기 위한 잠재적 공격 표면을 적극적으로 측정하고 줄입니다.
- 요구 사항에 따라 권한 제한 대상 리소스 및 필요한 액세스 권한과 관련하여 가능한 세분화된 정책을 작성합니다.
- 네트워크 세분화를 적용합니다. 네트워크 레벨에서 서로 애플리케이션 배치를 격리하도록 트래픽을 제한하고 필요한 모든 네트워크 플로우에 대해 allowlist를 사용합니다. 과다한 허용 트래픽을 최소화합니다.
고유 제어 활용: 타사의 외부 제어를 통해 클라우드 서비스에 내장된 기본 보안 제어 기능을 선호합니다. 기본 보안 제어는 서비스 제공업체가 유지 관리 및 지원되므로 외부 보안 툴을 통합하고 시간이 지남에 따라 해당 통합을 업데이트하는 데 드는 노력을 제거하거나 줄일 수 있습니다.
ID를 기본 액세스 제어로 사용: 클라우드 아키텍처의 리소스에 대한 액세스는 주로 액세스 제어를 위한 ID 기반 인증 및 권한 부여로 제어됩니다. 계정 제어 전략은 네트워크 제어 또는 암호화 키를 직접 사용하는 대신 액세스를 제어하기 위해 ID 시스템에 의존해야 합니다.
책임성: 자산 및 보안 책임에 대한 명확한 소유권을 지정하여 부인 방지를 위해 조치를 추적할 수 있도록 합니다. 또한 엔티티에 필요한 최소 권한(관리 가능한 세분성 레벨)이 부여되었는지 확인해야 합니다.
자동화 구현: 작업 자동화는 위험을 야기할 수 있는 사람의 실수 가능성을 감소시킵니다. 따라서 IT 운영 및 보안 모범 사례 모두를 사람의 실수를 줄일 수 있는 가능한 한 많은 자동화를 통해 숙련된 인간이 자동화를 관리하고 감사하도록 보장할 수 있습니다.
정보 보호에 집중: Intellectual property는 기업 가치의 가장 큰 저장소 중 하나이며, 이 데이터는 클라우드 서비스, 모바일 장치, 워크스테이션 및 협업 플랫폼을 비롯하여(비즈니스 가치를 창출할 수 있는 협업을 방해하지 않음) 어디에도 보호되어야 합니다. 보안 전략은 정보 및 자산을 분류하여 보안 우선 순위를 설정하고, 강력한 액세스 제어 및 암호화 기술을 활용하고, 생산성, 유용성 및 유연성과 같은 비즈니스 요구를 충족하도록 해야 합니다.
복원성을 위한 설계: 보안 전략은 제어가 실패하고 적절하게 설계한다고 가정해야 합니다. 보안 상태를 보다 탄력적으로 유지하려면 다음과 같은 여러 접근 방식이 함께 작동해야 합니다.
- 지속적인 경계: 조직에 위험을 제기할 수 있는 이상하고 잠재적 위협이 적시에 처리되도록 보장합니다.
- 다단계 방어: 기본 보안 제어가 실패할 경우 설계의 추가 컨트롤을 사용하여 조직의 위험을 완화하십시오. 이 설계는 주 통제가 실패할 가능성, 발생할 경우 잠재적 조직 위험 및 추가 제어의 효과(특히 기본 통제가 실패할 가능성이 높은 경우)를 고려해야 합니다.
- 가장자리에서 방어: 효과적인 통합 에지 보안을 고려하여 애플리케이션에 영향을 미치기 전에 위협을 제어합니다. 정보 보안 정책 준수는 매우 중요합니다.
- 최소 권한: 한 계정에서 수행할 수 있는 손상을 제한하기 위한 심층 방어 형태입니다. 계정에는 지정된 작업을 수행하는 데 필요한 최소한의 권한이 부여되어야 합니다. 권한 수준 및 시간별로 액세스를 제한합니다. 이를 통해 계정에 대한 액세스 권한을 얻은 외부 공격자 또는 부주의하게 공격을 하는 내부 직원 등 외부 공격자가 보안 문제를 완화할 수 있습니다.
보안 인수: 액세스 요청을 평가할 때는 무결성을 충분히 검증할 수 있을 때까지 요청한 모든 사용자, 장치 및 응용 프로그램을 신뢰할 수 없는 것으로 간주해야 합니다. 액세스 요청은 요청자의 신뢰 수준 및 대상 리소스의 민감도를 기준으로 조건부로 부여되어야 합니다. 적절한 시도는 신뢰 검증을 강화(예: 다중 요소 인증 요청)하고 알려진 위험(알려진 암호 변경, 맬웨어 감염 해결)을 해결하여 생산성 목표를 달성하기 위한 것입니다.