클라우드 컴퓨팅 보안 평가

클라우드에 보안 적용

다음 단계:

Overview

클라우드 컴퓨팅은 비용 감소, 자동화, 하드웨어 독립성, 가용성 증대 및 유연성 증가 등 다양한 주요 혜택을 기업에 제공합니다. 클라우드 기술을 사용하면 위험 환경, 영향 받는 기밀성, 개인정보 보호, 무결성, 규정 컴플라이언스, 가용성, 전자 탐색 및 사고 대응, 포렌직도 변화시킵니다. 따라서 적절한 보안 제어가 적용 중인지 확인하는 것이 중요합니다.

주요 장점

  • 클라우드 기반 서비스로의 간편한 전환
    고객이 클라우드 기반 서비스로 전환할 때 보안 허점을 감소시킵니다. Foundstone은 고객의 보안 요구사항을 충족하는 클라우드 솔루션을 설계, 구현 및 평가합니다.
  • 고객이 클라우드 솔루션의 안전성을 신뢰하도록 합니다.
    클라우드 솔루션의 물리적 보안 및 응용 프로그램 보안을 평가합니다. 호스팅 회사 또는 자체 제품 및 솔루션을 호스팅하는 기업은 고객 및 비즈니스 파트너에게 보안에 대한 신뢰성을 부여할 수 있습니다. Foundstone은 평가를 마친 후 신규 및 기존 고객에게 기업의 클라우드 솔루션이 보안 모범사례와 요구사항을 고려하여 구축되었음을 보증하는 인증서를 제공합니다.
  • 다음 단계 권장사항 제시
    이 제공 서비스에는 요약 보고서 카드, 포괄적 클라우드 컴퓨팅 평가 보고서, 다음 단계 권장사항, 반나절 일정의 클라우드 컴퓨팅 평가 프레젠테이션 및 결과 검토 워크숍, 클라이언트 또는 비즈니스 파트너를 위한 인증서가 포함됩니다.

Methodology

Foundstone의 클라우드 컴퓨팅 보안 평가는 IaaS(Infrastructure-as-a-Service), PaaS(Platform-as-a-Service) 및 SaaS(Software-as-a-Service)를 포함한 모든 주요 클라우드 컴퓨팅 아키텍처를 포괄합니다.

클라우드 컴퓨팅 서비스 제공자 또는 사설 클라우드 호스트인 Foundstone은 구현의 물리적 보안 및 응용 프로그램 보안을 평가하는 사용자 정의 계약을 작성합니다. 그런 다음 클라우드 솔루션의 안전성을 증명하는 인증서를 기업의 신규 및 기존 고객에게 제공합니다.

각 계약에 대한 Foundstone의 방법론은 다음이 포함된 전체적인 평가 접근법을 기반으로 합니다.

아키텍처 및 설계 평가
아키텍처 및 설계 평가 단계에서는 Foundstone 컨설턴트가 다음을 검사합니다.

  • 네트워크 토폴로지
  • 주요 자산
  • 데이터 저장 및 운영
  • 시스템의 입출력 엔드포인트
  • 신뢰 경계
  • 액세스 제어
  • 시스템 및 네트워크 격리
  • 클라우드 공급업체에 대한 관리 제어
  • 기업 소유주에 대한 관리 제어

클라우드 인프라 보안 평가
클라우드 인프라 보안 평가에서는 Foundstone 컨설턴트가 논리적 네트워크, 응용 프로그램 및 클라우드에서 호스팅되는 서비스를 검사합니다. 이 평가의 핵심 서버스에는 다음이 포함될 수 있습니다.

  • 내부 및 외부 침투
  • 응용 프로그램 또는 제품 침투
  • 호스트 보안 구성
  • 방화벽 보안
  • VPN 및 원격 액세스 보안
  • 물리적 보안
  • 공격 및 침투
  • 정보 검색
  • 탈취 및 정리

관리, 정책 및 절차 검토
기업이 준수하는 정책, 절차 및 규정이 보안 모범사례에 부합하지 않을 수 있습니다. 공급업체의 정책과 절차를 업계 모범사례 및 기업별 규정 컴플라이언스 요구사항과 비교합니다. 그 결과에 따라 파악된 격차를 해소하기 위한 정책, 절차 및 서비스 법적 계약을 마련할 수 있습니다. 이 검토의 일부에 해당하는 영역에는 다음이 포함됩니다.

  • 법적 계약 및 SLA 검토
  • 전자 탐색 및 정보 관리
  • 정보 및 데이터 주기 관리
  • 컴플라이언스 및 감사
  • 업무 연속성 및 재난 복구 관리
  • 정보 무결성 및 기밀성 보증
  • 운영, 관리 및 액세스 관리 절차
  • 사고 대응 관리 및 포렌직

모든 Foundstone 프로젝트는 입증된 SEP(Security Engagement Process)를 사용하여 관리합니다. 이 프로세스의 주요 측면은 계약의 성공을 위해 기업과 지속적으로 의사소통을 한다는 점입니다. 이 계약의 기간은 클라우드 컴퓨팅 작업 및 프로젝트 범위의 크기와 특성에 따라 달라집니다.