Google Cloud 잘 설계된 프레임워크의 보안, 개인 정보 보호, 규정 준수 요소에서는 보안, 개인 정보 보호, 규정 준수 요구사항을 충족하는 클라우드 워크로드를 설계, 배포, 운영하는 데 도움이 되는 권장사항을 제공합니다.
이 문서는 다양한 보안 전문가와 엔지니어의 요구사항을 충족하고 유용한 통계를 제공하기 위해 작성되었습니다. 다음 표에서는 이 문서의 대상을 설명합니다.
| 대상 | 이 문서에서 제공하는 내용 |
|---|---|
| 최고정보보안책임자 (CISO), 비즈니스 단위 리더, IT 관리자 | 클라우드에서 보안 우수성을 확립하고 유지하며 보안 투자에 대해 정보에 입각한 결정을 내릴 수 있도록 보안 영역을 포괄적으로 파악하기 위한 일반적인 프레임워크입니다. |
| 보안 설계자 및 엔지니어 | 솔루션이 보안, 효율성, 확장성을 위해 설계되도록 지원하는 설계 및 운영 단계의 주요 보안 관행 |
| DevSecOps 팀 | 안전하고 안정적인 인프라를 지원하는 자동화를 계획하기 위해 전반적인 보안 제어를 통합하는 방법에 관한 안내 |
| 규정 준수 담당자 및 위험 관리자 | 규정 준수 의무를 충족하는 데 도움이 되는 보호 장치를 사용하여 위험 관리에 구조화된 접근 방식을 따르기 위한 주요 보안 권장사항 |
Google Cloud 워크로드가 보안, 개인 정보 보호, 규정 준수 요구사항을 충족하도록 하려면 조직의 모든 이해관계자가 공동작업 접근 방식을 채택해야 합니다. 또한 클라우드 보안은 사용자와 Google의 공동 책임임을 인식해야 합니다. 자세한 내용은 Google Cloud의 책임 공유 및 공통된 운명을 참고하세요.
이 주요 분야의 권장사항은 핵심 보안 원칙으로 그룹화됩니다. 각 원칙 기반 추천은 조직에 중요한 하나 이상의 주요 배포 클라우드 보안 집중 영역에 매핑됩니다. 각 추천에서는 조직의 보안 상태를 개선하는 데 도움이 되는Google Cloud 제품 및 기능의 사용과 구성에 관한 안내를 강조합니다.
핵심 원칙
이 보안 원칙의 권장사항은 다음 핵심 보안 원칙 내에 그룹화되어 있습니다. 이 원칙의 모든 요소가 중요합니다. 조직 및 워크로드의 요구사항에 따라 특정 원칙의 우선순위를 지정할 수 있습니다.
- 보안 내재화 설계 구현: 애플리케이션 및 인프라의 초기 설계 단계부터 클라우드 보안 및 네트워크 보안 고려사항을 통합합니다.Google Cloud 에서는 이 원칙을 적용하는 데 도움이 되는 아키텍처 청사진과 권장사항을 제공합니다.
- 제로 트러스트 구현: 신뢰를 지속적으로 확인하여 리소스에 대한 액세스 권한을 부여하는 절대 신뢰하지 말고 항상 확인할 것 접근 방식을 사용합니다. Google Cloud에서는 Chrome Enterprise Premium 및 IAP (Identity-Aware Proxy)와 같은 제품을 통해 이 원칙을 지원합니다.
- 시프트-레프트 보안 구현: 소프트웨어 개발 수명 주기 초기에 보안 제어를 구현합니다. 시스템 변경사항이 적용되기 전에 보안 결함을 방지합니다. 시스템 변경사항이 커밋된 후 보안 버그를 초기에, 빠르게, 안정적으로 감지하고 수정합니다. Google Cloud 는 Cloud Build, Binary Authorization, Artifact Registry와 같은 제품을 통해 이 원칙을 지원합니다.
- 선점형 사이버 방어 구현: 위협 인텔리전스와 같은 강력한 기본 조치를 구현하여 보안에 대한 선제적 접근 방식을 채택합니다. 이 접근 방식을 사용하면 더 효과적인 위협 감지 및 대응을 위한 기반을 구축할 수 있습니다. Google Cloud의 계층화된 보안 제어 접근 방식은 이 원칙과 일치합니다.
- 안전하고 책임감 있게 AI 사용하기: 책임감 있고 안전한 방식으로 AI 시스템을 개발하고 배포합니다. 이 원칙에 대한 권장사항은 Well-Architected Framework의 AI 및 ML 관점과 Google의 안전한 AI 프레임워크 (SAIF)의 안내와 일치합니다.
- 보안을 위해 AI 사용: AI 기능을 사용하여 Security의 Gemini 및 전반적인 플랫폼 보안 기능을 통해 기존 보안 시스템과 프로세스를 개선합니다. AI를 도구로 사용하여 수정 작업의 자동화를 늘리고 보안 위생을 보장하여 다른 시스템의 보안을 강화합니다.
- 규제, 규정 준수, 개인 정보 보호 요구사항 충족: 업계별 규정, 규정 준수 표준, 개인 정보 보호 요구사항을 준수하세요. Google Cloud Assured Workloads, 조직 정책 서비스, 규정 준수 리소스 센터와 같은 제품을 통해 이러한 의무를 충족할 수 있습니다.
조직 보안 마인드셋
성공적인 클라우드 도입 및 운영을 위해서는 보안 중심의 조직적 사고방식이 중요합니다. 이러한 사고방식은 조직의 문화에 깊이 뿌리내려야 하며 앞서 설명한 핵심 보안 원칙에 따라 안내되는 관행에 반영되어야 합니다.
조직의 보안 마인드는 시스템 설계 중에 보안을 고려하고, 제로 트러스트를 가정하며, 개발 프로세스 전반에 보안 기능을 통합하는 것을 강조합니다. 이러한 사고방식에서는 사이버 방어 조치에 대해 사전 대응적으로 생각하고, 보안을 위해 안전하게 AI를 사용하며, 규제, 개인 정보 보호, 규정 준수 요구사항을 고려합니다. 이러한 원칙을 수용하면 조직에서 위협에 선제적으로 대처하고, 중요한 애셋을 보호하며, 책임감 있는 기술 사용을 보장하는 보안 우선 문화를 조성할 수 있습니다.
클라우드 보안의 중점 분야
이 섹션에서는 애플리케이션, 시스템, 데이터의 보안을 계획, 구현, 관리할 때 집중해야 하는 영역을 설명합니다. 이 필라의 각 원칙에 있는 권장사항은 이러한 중점 분야 중 하나 이상과 관련이 있습니다. 이 문서의 나머지 부분에서는 명확성과 맥락을 더하기 위해 권장사항에 해당하는 보안 중점 분야를 명시합니다.
| 초점 영역 | 활동 및 구성요소 | 관련 Google Cloud 제품, 기능, 솔루션 |
|---|---|---|
| 인프라 보안 |
|
|
| ID 및 액세스 관리 |
|
|
| 데이터 보안 |
|
|
| AI 및 ML 보안 |
|
|
| 보안 운영 (SecOps) |
|
|
| 애플리케이션 보안 |
|
|
| 클라우드 거버넌스, 위험 및 규정 준수 |
|
|
| 로깅, 감사, 모니터링 |
|
참여자
저자:
- 웨이드 홈즈 | 글로벌 솔루션 디렉터
- 헥터 디아즈 | 클라우드 보안 설계자
- 카를로스 레오나르도 로사리오 | Google Cloud 보안 전문가
- 존 베이컨 | 파트너 솔루션 설계자
- 사친 칼라 | 글로벌 보안 솔루션 관리자
기타 참여자:
- 안톤 슈바킨 | CISO실 보안 자문 담당자
- 다니엘 리 | 클라우드 보안 설계자
- 필리페 그라시오, 박사 | 고객 엔지니어
- 게리 하름슨 | 수석 설계자
- 지노 펠리치아 | 수석 설계자
- Jose Andrade | 엔터프라이즈 인프라 고객 엔지니어
- 저자: 쿠마르 다나고팔 | 크로스 프로덕트 솔루션 개발자
- 로라 하이엇 | 엔터프라이즈 클라우드 설계자
- 마르완 알 샤위 | 파트너 고객 엔지니어
- 니콜라스 핀토 | 고객 엔지니어, 애플리케이션 현대화 전문가
- Noah McDonald | 클라우드 보안 컨설턴트
- Osvaldo Costa | 네트워킹 전문 고객 엔지니어
- 라디카 카나캄 | 선임 프로그램 관리자, 클라우드 GTM
- 사만다 헤 | 테크니컬 라이터
- Susan Wu | 아웃바운드 제품 관리자