✔ 전자금융에 맞춘 클라우드 준비
-
AWS 기반의 인허가 성공 사례: 전자금융업, 마이데이터업 취득(PayGate, FINDA 등)
-
전자금융감독규정: 클라우드 컴퓨팅 서비스를 이용하고자 하는 경우 따라야하는 절차
-
업무 위 수탁 운영기준을 위하여 AWS는 “Enterprise Agreements” 제공.
-
금융 분야 CSP 안전성 평가로 클라우드 컴퓨팅 서비스 제공자를 평가.
-
금융위원회에서 배포한 클라우드 이용 보안 가이드 참고
-
스타트 업을 위한 AWS Activate 프로그램으로 크레딧을 받아 사용하여 비용 절감 가능
✔ 클라우드 접근 제어
-
AAA 보안 프레임 워크 (인증 Authentication, 인가 Authorization, 감사 Accounting) 이 프레임워크를 위해 AWS IAM과 AWS Cloudtail을 활용할 수 있다.
-
모든 AWS 서비스가 IAM을 통해 API 호출을 인증 및 인가를 받는다.
이는 서비스 및 리소스에 대한 액세스를 안전하게 관리해준다. -
Root 계정의 사용을 최소화 하고 개별 IAM 사용자를 생성하여 적절한 권한을 부여하여 사용을 권장. 그룹별로 일관된 정책 설정 및 관리도 가능하다.
✔ 로그 관리
-
AWS CloudTail을 활용하여 계정 활동과 관련된 작업을 기록하고 지속적으로 모니터링하며 보관. AWS 관리 콘솔 작업 및 API 호출을 기록.
-
Amazon CloudWatch Logs와 통합 가능하여 간편하게 로그 데이터를 수집 및 검색 가능하다. 또한 CloudWatch Event를 통해 알람설정도 가능.
-
로그에서 IAM 계정을 확인하여 누가 어떤 작업을 했는지 확인 가능하다.
✔ 전자침해관리, 침해 사고 대응, 암호화 관리 방안
-
AWS 상의 주요 침해 유형 소개: (AWS 자격 증명 유출로 인한 불법 접근).
-
AWS 람다를 통한 자동 대응 가능.
(인프라 도메인 자동 대응/ 자동 포렌식 / Anomaly Security Group)
(서비스 도메인 자동 대응/ CloudWatch 이벤트) -
보안 침해사고 대응 및 복구절차(시나리오별로 대응 전략, 자동화된 대응 체계 등)
-
AWS는 여러 종류의 침해 대응 관련 백서와 샘플 등을 제공.
-
AWS GuardDuty를 통하여 인스턴스 침해, 어카운트 침해 등을 탐지.
-
AWS Detective를 통하여 사고 원인 조사과 피해 여부 파악 가능.
-
데이터 보안을 위하여 AWS Macie를 이용, 데이터 분류 자동화 가능.
-
전송 채널에 대한 보안은 표준화된 방법을 적용. IPSec VPN(Site-to-Site)적용.
-
클라이언트 측(데이터 암호화) 또는 서버 측(저장소 서비스 암호화) 중 선택 사용. AWS KMS를 이용하여 안전한 암호 키 관리 가능.
✔ 네트워크 보호 및 업무 연속성
-
외부 기관과의 분리 설계 필요 (VPC)
-
VPC 네트워크 접근 통제(Subnet을 기준으로 구분, Security Group으로 2차 네트워크 통제)
-
논리적 망 분리 구조 구현(Public Subnet, Private Subnet)
-
VPC 확장(멀티 VPC) - Shared/Service 용, Prod/Dev 분리 등 전략에 따라 분리
-
AWS 리전은 물리적으로 분리되고 격리된 다수의 가용 영역을 제공.
-
목표 복구 시점, 목표 복구 시간을 기반으로 재해 복구 방안을 구축.
-
업무 연속성을 위해 데이터 백업(중요도에 따라 데이터를 이중화, 정기적인 데이터 복구 수행으로 백업 무결성 확인)
-
데이터 복구를 위한 백업 소프트웨어 Veeam 사용 추천.
