기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 성숙: 프로세스, 도구 및 위험 조정 및 측정
<a name="mature"></a>

클라우드 보안 모델의 성숙 단계에서는 보안 팀을 AWS 클라우드 채택 프레임워크(AWS CAF) 보안 기능에 맞추고 애자일 프로세스를 도입하는 데 중점을 둡니다. 이러한 조정을 통해 전문 팀은 짧은 스프린트에서 혁신을 가속화하는 동시에 로드맵과 장기 계획을 통합할 수 있습니다. 성숙 단계에서는 IT 운영과의 협업과 심층적이고 특화된 클라우드 기술 스케일 업을 강조합니다. 각 보안 역량은 지표 개발 및 보고 메커니즘과 함께 효율성과 영향을 개선하고 점진적인 변경 사항과 전반적인 영향을 측정하고자 주요 도구와 프로세스를 구현합니다.

**Topics**
+ [프로세스 조정 및 측정](tune-and-measure-processes.md)
+ [조정 및 측정 도구](tune-and-measure-tools.md)
+ [위험 조정 및 측정](tune-and-measure-risk.md)
+ [성숙 단계에서 사용 사례 예제 검토](review-examples.md)

# 프로세스 조정 및 측정
<a name="tune-and-measure-processes"></a>

[애자일 접근 방식](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-program-implementation/approach.html)은 더 많은 유연성과 혁신을 지원하며 새로운 아이디어를 신속하게 테스트하고 구현하는 데 도움이 될 수 있습니다. 보안 팀을 인시던트 대응 담당자 및 취약성 관리자와 같은 특수 역할로 구분됩니다. 역할은 AWS 클라우드 채택 프레임워크(AWS CAF)의 기능에 해당하는 다음 이미지의 범주와 일치해야 합니다. 애자일 접근 방식은 팀이 크게 생각하고, 혁신하며, 단순화하고, 보안의 잠재적 격차를 식별하도록 장려합니다. 이 경우 향후 개선을 위한 사용자 스토리 또는 로드맵 백로그가 생성됩니다.

애자일 프로세스를 사용하면 특정 도구의 기능에만 의존하는 대신 더 동적이고 적응력이 뛰어난 솔루션을 사용할 수 있습니다. *빠른 실패*는 개발 수명 주기를 줄이기 위해 빈번한 증분 테스트를 사용하는 철학이며 애자일 접근 방식의 중요한 부분입니다. 변경하고 테스트한 다음 현재 접근 방식을 계속할지 아니면 대체 접근 방식으로 전환할지 결정합니다. 팀이 이 주기에서 작업하는 경우 클라우드의 빠른 속도 특성을 통해 조직은 최신 상태로 유지할 수 있습니다. 집중 훈련도 중요하며 클라우드 보안의 특정 도메인에 특정한 훈련을 제공해야 합니다.



![\[보안 원칙의 AWS CAF 기능에 해당하는 특수 역할을 생성합니다.\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-mature-processes.png)


**참고**  
이 이미지에는 AWS CAF의 보안 보증 및 보안 거버넌스 기능이 포함되어 있지 않습니다. 이 가이드는 보안 운영에 중점을 두며, 보안 보증 및 거버넌스는 이 가이드의 범위를 벗어납니다. 보안 보증에 대한 자세한 내용은 YouTube의 [AWS re:Inforce 2023 - Scaling compliance with AWS Control Tower](https://youtu.be/m2wjmGvY2pY?si=o_Rf9Rliu86oFkSQ)를 참조하세요.

조직에서 조직이 클라우드의 신속한 개발과 변화를 따라잡는 데 도움이 되는 애자일 접근 방식을 사용합니다. 다음은 클라우드 환경에서 실험 및 반복을 시작하는 몇 가지 방법입니다.
+ 이전 이미지와 같이 AWS CAF에 정의된 범주를 특화합니다.
+ 보다 동적이 되려면 작업 대신 혁신에 집중합니다.
+ 비즈니스를 따라잡을 수 있도록사람이 테스트하고, 빠르게 실패하며, 빠르게 구현하고, 이 주기를 계속 진행함으로써 스프린트에서 빠르게 진행합니다.
+ 지속적인 운영을 지원하기 위해 가능한 경우 클라우드 기반 및 온프레미스 환경을 위한 프로세스를 조정합니다.
+ 개인이 한 영역을 드릴다운하고 이에 집중하게 하려면 광범위한 훈련 대신 집중 훈련을 제공합니다.
+ 사람이 크게 생각하고, '잠재적 가상의 조건'을 조사하며, 백로그(예: 로드맵 또는 격차)를 생성하도록 장려합니다.

# 조정 및 측정 도구
<a name="tune-and-measure-tools"></a>

다양한 보안 도메인에 대한 전문 팀을 수립한 후 서로에 맞게 팀을 조정합니다. [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)는 이를 달성하는 데 도움이 될 수 있습니다. Security Hub CSPM은 프레임워크에 대한 진행 상황을 모니터링하는 중앙 집중식 통합 대시보드를 제공합니다. 또한 많은 타사 도구에 대한 AWS 보안 서비스와 통합됩니다.

NIST 웹 사이트의 국립 표준 기술 연구소(NIST) [사이버 보안 프레임워크](https://www.nist.gov/cyberframework)는 식별, 보호, 감지, 대응 및 복구라는 5가지 기능으로 구성됩니다. 다음 이미지는 각 함수 AWS 서비스 에서 서로 다른를 사용한 다음 통합 보고를 위해 조사 결과를 Security Hub CSPM으로 보내도록 해당 서비스를 구성하는 방법을 보여줍니다. 다른 도구를 사용하기로 선택한 경우 Security Hub CSPM API, AWS Command Line Interface (AWS CLI) 및 AWS Security Finding Format(ASFF)을 사용하여 사용자 지정 통합을 생성할 수 있습니다. Security Hub CSPM과 다른 서비스의 통합에 대한 자세한 내용은 Security Hub CSPM 설명서의 [의 제품 통합 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html)을 참조하세요.



![\[와 통합되는 보안 도구 AWS Security Hub CSPM\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-and-measure-tools.png)


Security Hub CSPM은 이러한 모든 서비스 및 도구와 통합되며 다음을 제공합니다.
+ 업데이트를 표시하고 팀이 제자리에서 반복하는 데 도움이 되는 통합 대시보드를 제공합니다.
+ Amazon [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 및 [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html)와 같은 AWS 보안 서비스와 자동으로 통합됩니다.
+ [https://github.com/prowler-cloud/prowler](https://github.com/prowler-cloud/prowler) 및 [https://github.com/stelligent/cfn_nag](https://github.com/stelligent/cfn_nag)와 같은 서드 파티 도구와의 통합 지원
+ Security Hub CSPM API AWS CLI및 AWS Security Finding Format(ASFF)과 같은 도구와의 사용자 지정 통합 지원

# 위험 조정 및 측정
<a name="tune-and-measure-risk"></a>

걷기 단계의 성숙 단계에서를 사용하여 보안 위험을 AWS Security Hub CSPM 지속적으로 조정하고 측정할 수 있습니다. Security Hub CSPM은 조직의 보안 태세를 지속적으로 평가하고 식별된 문제를 해결하기 위한 조치를 취합니다. Security Hub CSPM은 여러 AWS 계정서비스 및 지원되는 타사 파트너의 보안 조사 결과를 중앙 집중화하고 우선순위를 지정합니다. 그러면 보안 추세를 분석하고 우선순위가 가장 높은 보안 문제를 식별하는 데 도움을 줍니다.

Security Hub CSPM은 수백 개의 보안 검사를 수행하고 AWS 환경에 대한 위험을 기반으로 분류합니다. Security Hub CSPM 콘솔의 통합 대시보드에서 보안 제어와 비교하여 점수를 볼 수 있습니다. 자세한 내용은 Security Hub CSPM 설명서의 [보안 점수 결정을 참조하세요](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-security-score.html). 이 대시보드를 통해 DevSecOps 함수는 실패한 모든 검사, 보안 문제의 심각도, 영향을 받는 AWS 리전 및 리소스를 빠르게 식별할 수 있습니다. 식별되면 DevSecOps 팀이 문제의 우선순위를 지정하고 문제를 해결할 수 있습니다. 문제가 해결되면 Security Hub CSPM은 상태를 자동으로 업데이트합니다.

# 성숙 단계에서 사용 사례 예제 검토
<a name="review-examples"></a>

다음은 성숙 단계에 대한 예제입니다. 이 예제에서는 실제 수준에서 여러 비즈니스 목표를 위한 모델, 도구 및 프로세스를 자세히 살펴봅니다.

## 성숙: 위협 감지 예제
<a name="mature-threat-detection-example"></a>

**감지 제어를 위한 비즈니스 성과:** 위험을 낮추고 클라우드 리소스의 사용 및 개발을 가속화하기 위해 클라우드 인시던트의 가시성과 감지 속도를 높입니다.

**도구:** [https://github.com/awslabs/assisted-log-enabler-for-aws](https://github.com/awslabs/assisted-log-enabler-for-aws)(GitHub)는 보안 인시던트 중간에 로깅을 활성화하는 데 도움이 되는 오픈 소스 도구입니다. 인시던트에 대한 가시성을 빠르게 증대할 수 있습니다.

**사용 사례 샘플:** 다음 다이어그램에 표시된 단일 계정 사용 사례를 고려합니다. 추가 조사가 필요한 이벤트가 있습니다. 로깅이 활성화되어 있는지 확실하지 않습니다. 이 경우 가장 좋은 조치는를 사용하여 모의 실행을 수행하여 활성화 또는 비활성화된 서비스를 Assisted Log Enabler 확인하는 것입니다.는 AWS CloudTrail 추적, DNS 쿼리 로그, VPC 흐름 로그 및 기타 로그를 Assisted Log Enabler 확인합니다. 활성화되지 않은 경우는 이를 Assisted Log Enabler 활성화합니다.는 모든에서 로깅을 확인하고 활성화할 Assisted Log Enabler 수 있습니다 AWS 리전.

Assisted Log Enabler를 스로틀링하여 높이거나 줄일 수도 있습니다. 모의 실행을 완료하고 이벤트를 닫은 후 문제를 해결하면 더 이상 이 수준의 로깅이 필요하지 않다는 것을 깨닫게 됩니다. 배포를 빠르게 정리하여 로깅을 중지할 수 있습니다. 이 기능을 사용하면 Assisted Log Enabler를 분류 도구로 사용할 수 있습니다.



![\[Assisted Log Enabler를 사용하여 로깅이 활성화 또는 비활성화된 서비스를 확인합니다.\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/assisted-log-enabler.png)


Assisted Log Enabler for AWS의 주요 기능은 다음과 같습니다.
+ 단일 계정 또는 다중 계정 환경에서 실행할 수 있습니다.
+ 이를 사용하여 환경에 로그인하기 위한 기준을 설정할 수 있습니다.
+ 모의 실행 기능을 사용하여 현재 상태를 확인하고 로깅이 활성화된 서비스를 확인할 수 있습니다.
+ 로깅을 활성화하려는 서비스를 선택할 수 있습니다.
+ 사용 사례에 맞게 Assisted Log Enabler를 확장하거나 축소할 수 있습니다.

## 성숙: IAM 예제
<a name="mature-iam-example"></a>

**IAM 비즈니스 성과:** 가시성을 자동화하고 모범 사례를 기준으로 측정하여 위험을 지속적으로 줄이고, 안전한 외부 연결을 지원하며, 새 사용자 및 환경을 신속하게 프로비저닝합니다.

**도구:** [AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)를 사용하면 외부 엔터티와 공유되는 리소스를 식별하고, 정책 문법 및 모범 사례를 기준으로 IAM 정책을 검증하며, 과거 액세스 활동을 기반으로 IAM 정책을 생성할 수 있습니다. 계정 및 조직 수준 모두에서 IAM Access Analyzer를 활성화하는 것이 좋습니다.

**서비스 이점:** IAM Access Analyzer는 풍부한 통찰력 있는 조사 결과를 제공합니다. 그리고 외부 엔터티와 공유되는 조직의 리소스 및 계정을 식별할 수 있습니다. 퍼블릭 S3 버킷, 다른 계정과 AWS KMS key 공유된 또는 외부 계정과 공유된 역할과 같은 리소스를 감지하여 조직의 통제를 받지 않는 리소스를 식별할 수 있는 뛰어난 가시성을 제공합니다. IAM 정책을 검증할 뿐만 아니라 자동으로 생성할 수도 있습니다.