보안 평가 수행은 인프라에 있을 수 있는 취약점을 파악하는 첫 번째 단계입니다. 보안 평가는 보안 감사의 일환이며, 보안 규정 준수를 비롯한 사례와 시스템을 모두 살펴봅니다.

일반적으로 보안 평가는 조직의 물리적 인프라(방화벽, 네트워크, 하드웨어 등)를 검색하여 취약점 및 결함을 식별하는 것을 말합니다. 보안 평가는 보안 감사와 동일하지 않습니다. 보안 감사에는 물리적 인프라에 대한 검토뿐만 아니라 보안 규정 준수를 비롯한 정책 및 표준 운영 절차와 같은 다른 영역도 포함됩니다. 감사를 거친 후에는 시스템 내에서 문제를 해결하는 단계를 결정할 수 있습니다.

보안 감사를 수행하려고 준비할 때 다음과 같이 일반적인 질문을 할 수 있습니다.

1. 귀사는 준수 규정을 준수해야 합니까? 그렇다면 어떤 규정을 준수해야 합니까?
2. 귀사의 감사 간격은 어떻게 됩니까?
3. 귀사의 내부 자체 평가 간격이 어떻게 됩니까?
4. 이전 감사 결과에 대한 액세스 권한이 있고 이전 감사 결과를 살펴본 적이 있습니까?
5. 귀사의 감사 준비를 돕기 위해 타사 감사 회사를 이용합니까? 그렇다면 해당 회사의 가상화에 대한 설비 수준이 어떻게 됩니까?
6. 귀사는 시스템 및 애플리케이션에 대한 취약점 검색을 실행합니까? 언제 얼마나 자주 수행합니까?
7. 귀사의 내부적인 사이버 보안 정책은 무엇입니까?
8. 감사 로깅이 필요에 맞게 구성되어 있습니까? vSphere의 감사 로깅의 내용을 참조하십시오.

어디서부터 시작해야 하는지에 대한 구체적인 지침이나 방향이 없다면, 다음을 수행하여 vSphere 환경에 대한 보안을 신속하게 시작할 수 있습니다.

• 최신 소프트웨어 및 펌웨어 패치를 통해 환경을 최신 상태로 유지
• 모든 계정에 대해 우수한 암호 관리 및 예방 조치 유지
• 벤더가 승인한 보안 권장 사항 검토
• VMware 보안 구성 가이드 참조(vSphere 보안 제어 참조 참조)
• NIST, ISO 등과 같은 정책 프레임워크에서 언제든지 사용이 가능한 검증된 지침을 사용
• PCI, DISA 및 FedRAMP와 같은 규정 준수 프레임워크의 지침 따르기