vSphere 환경의 보안 및 규정 준수

보안과 규정 준수라는 용어는 종종 같은 의미로 사용됩니다. 하지만 이들 용어는 고유하며 개념이 다릅니다.

흔히 정보 보안이라고 생각하는 보안은 일반적으로 기밀성, 무결성 및 가용성을 제공하기 위해 구현하는 기술적, 물리적 및 관리 측면의 제어 집합으로 정의됩니다. 예를 들어 호스트의 보안은 해당 호스트에 로그인할 수 있는 계정과 액세스 수단(SSH, 직접 콘솔 등)을 잠그는 방법으로 유지할 수 있습니다. 이와 대조적으로 규정 준수는 특정 유형의 기술, 벤더 또는 구성에 대해 제한된 지침을 제공하는 여러 규정 프레임워크에 제시된 최소한의 제어를 충족하는 데 필요한 요구 사항 집합입니다. 예를 들어 PCI(지불 카드 산업)에는 조직이 고객 계정 데이터를 사전 예방적으로 보호할 수 있도록 하는 보안 지침이 도입되었습니다.

보안은 데이터 도난, 사이버 공격 또는 무단 액세스의 위험을 줄이는 반면 규정 준수는 정의된 타임라인 내에서 보안 제어가 이루어지고 있다는 증명입니다. 보안은 기본적으로 설계 결정에 요약되며 기술 구성 내에 강조 표시됩니다. 규정 준수는 보안 제어와 특정 요구 사항의 상관 관계를 매핑하는 데 중점을 둡니다. 규정 준수 매핑은 여러 필수 보안 제어를 나열하기 위한 중앙 집중식 보기를 제공합니다. 이러한 보안 제어는 각 제어에 대한 규정 준수 정보(도메인에 지정된 NIST, PCI, FedRAMP, HIPAA 등)를 포함하여 구체화됩니다.

효과적인 사이버 보안 및 규정 준수 프로그램은 세 가지 요소인 사용자, 프로세스 및 기술을 기반으로 구축됩니다. 흔히 기술만으로 모든 사이버 보안 요구를 해결할 수 있다고 오해합니다. 정보 보안 프로그램의 개발 및 실행에 있어서 기술이 크고 중요한 역할을 하는 것은 사실입니다. 하지만 프로세스와 절차, 인식과 교육이 결여된 기술은 조직을 보안 문제에 취약하게 만듭니다.

보안 및 규정 준수 전략을 정의할 때 다음 사항에 유의하십시오.

사용자에게는 일반적인 인식과 교육이 필요한 반면 IT 직원에게는 구체적인 교육이 필요합니다.
조직 내의 활동, 역할 및 설명서를 사용하여 위험을 완화하는 방법을 프로세스에 정의합니다. 프로세스는 사용자가 올바르게 따라야만 효과적입니다.
기술을 사용하면 조직에서 사이버 보안 위험을 방지하거나 그 영향을 줄일 수 있습니다. 어떤 기술을 사용할 것인가는 조직 내의 위험 허용 수준에 따라 다릅니다.

VMware는 감사 가이드와 제품 적용 가능성 가이드가 모두 포함된 규정 준수 키트를 제공하여 규정 준수 및 규정 요건과 구현 가이드 간의 간극을 좁히는 데 도움을 줍니다. 자세한 내용은 https://core.vmware.com/compliance의 내용을 참조하십시오.

규정 준수 용어 정리

규정 준수에는 이해하고 있어야 하는 몇 가지 중요한 용어와 정의가 포함되어 있습니다.

표 1. 규정 준수 용어
용어	정의
CJIS	Criminal Justice Information Services. 규정 준수의 맥락에서 CJIS는 지방, 주 및 연방 형사 사법 및 법 집행 기관이 지문 및 전과 기록 같이 민감한 정보를 보호하기 위해 보안 예방 조치를 수행하는 방법에 대한 보안 정책을 생성합니다.
DISA STIG	Defense Information Systems Agency Security Technical Implementation Guide. DISA(Defense Information Systems Agency)는 미국 국방부(DoD) IT 인프라의 보안 태세를 유지하는 기관입니다. DISA는 Security Technical Implementation Guide, 즉 "STIG"를 개발하고 사용하여 이러한 업무를 수행합니다.
FedRAMP	Federal Risk and Authorization Management Program. FedRAMP는 클라우드 제품 및 서비스에 대한 보안 평가, 권한 부여 및 지속적인 모니터링에 대한 표준화된 접근 방식을 제공하는 정부 차원의 프로그램입니다.
HIPAA	Health Insurance Portability and Accountability Act. 1996년 의회에서 통과된 HIPAA는 다음을 수행합니다. 수백만 명의 미국인 근로자와 그 가족이 직장을 옮기거나 잃은 경우에 건강보험 혜택을 조정하고 계속 받을 수 있도록 합니다. 의료 부정 행위 및 남용을 줄입니다. 의료 정보에 대한 업계 전반의 표준을 전자 청구 및 기타 프로세스에 의무화합니다. 보호 대상 건강 정보의 보호 및 기밀 처리를 요구합니다. "vSphere 보안" 설명서에는 마지막 항목이 가장 중요합니다.
NCCoE	National Cybersecurity Center of Excellence. NCCoE는 미국 기업이 직면하는 사이버 보안 문제에 대한 해결 방법을 찾고 공개적으로 공유하는 미국 정부 조직입니다. NCCoE는 사이버 보안 기술 회사, 기타 연방 기관 및 학계 인사들로 팀을 구성하여 각 문제를 해결합니다.
NIST	National Institute of Standards and Technology. 1901년에 설립된 NIST는 미국 상무부 내의 비규제 연방 기관입니다. NIST의 임무는 경제적 안전을 강화하고 삶의 질을 높이는 방향으로 계측학, 표준 및 기술을 발전시킴으로써 미국의 혁신과 산업 경쟁력을 옹호하는 것입니다.
PAG	Product Applicability Guide. 특정 회사의 솔루션을 참고하여 규정 준수 요구 사항을 해결하려는 조직을 위한 일반적인 지침을 제공하는 설명서입니다.
PCI DSS	Payment Card Industry Data Security Standard(지불 카드 산업 데이터 보안 표준). 신용 카드 정보를 수락, 처리, 저장 또는 전송하는 모든 회사가 안전한 환경을 유지할 수 있도록 설계된 보안 표준 집합입니다.
VVD/VCF 규정 준수 솔루션	VMware Validated Design/VMware Cloud Foundation. VMware Validated Design은 소프트웨어 정의 데이터 센터를 구축하고 운영할 수 있도록 포괄적이고 광범위하게 테스트된 Blueprint를 제공합니다. VVD/VCF 규정 준수 솔루션은 고객이 여러 정부 및 산업 규정에 대한 규정 준수 요구 사항을 충족할 수 있도록 도와줍니다.