일반
Q: AWS Audit Manager란 무엇입니까?
AWS Audit Manager는 AWS 사용량을 지속적으로 감사하여 위험과 규정 및 산업 표준의 준수를 평가하는 방법을 간소화하는 데 도움이 됩니다. Audit Manager는 증거 수집을 자동화함으로써 ‘통제 항목’이라고도 하는 정책, 절차 및 활동의 효과적인 수행 여부를 쉽게 평가할 수 있습니다. 감사 시간이 되면 AWS Audit Manager를 통해 통제 항목에 대한 이해관계자의 검토를 관리함으로써 수동 작업을 대폭 줄이면서 감사 준비 보고서를 작성할 수 있습니다.
Q: AWS Audit Manager의 주요 이점은 무엇입니까?
- AWS 사용량을 통제 항목에 쉽게 매핑 - AWS Audit Manager는 건강보험 양도 및 책임에 관한 법률(HIPAA), 일반 데이터 보호 규정(GDPR) 및 지불 카드 산업 데이터 보안 표준(PCI DSS) 등, 잘 알려진 산업 표준 및 규정에 대한 요구 사항을 제어하기 위한 AWS 리소스 매핑을 포함하여 사전 구축된 프레임워크를 제공합니다.
- 자동화된 증거 수집으로 시간 절감 - AWS Audit Manager는 각 통제 항목 요구 사항에 의해 정의된 증거를 자동으로 수집 및 구성하여 시간을 절감할 수 있습니다.
- 팀 간 협업 간소화 - AWS Audit Manager는 감사 이해관계자 협업을 간소화하는 데 도움이 됩니다. 예를 들어, 위임 기능을 통해 평가의 통제 항목을 주제 전문가(SME)에게 할당하여 검토할 수 있습니다.
- 감사 준비 보고서 생성을 지속적으로 준비 - Audit Manager가 지속적으로 수집하여 안전하게 저장한 증거는 통제 항목에 의해 지정된 요구 사항의 준수를 입증하는 데 필요한 정보 기록으로 사용할 수 있습니다.
- 평가 보고서 및 증거의 무결성 보장 - AWS Audit Manager는 증거를 자체 관리형 스토리지 리포지토리에 저장하면서 최종 사용자에게 읽기 전용 권한을 허가합니다. 감사 준비 보고서를 생성할 때 Audit Manager는 보고서 증거가 변경되지 않은 상태로 유지되었는지 확인할 수 있는 보고서 파일 체크섬을 생성합니다.
Q: AWS Audit Manager는 AWS 사용량을 감사하는 데 어떻게 도움이 됩니까?
AWS Audit Manager의 사전 구축된 프레임워크는 CIS AWS Foundations Benchmark, 일반 데이터 보호 규정(GDPR) 및 지불 카드 산업 데이터 보안 표준(PCI DSS) 등, 산업 표준 또는 규정의 요구 사항에 AWS 리소스 사용량을 매핑하는 데 도움이 됩니다. 또한 고유한 비즈니스 요구 사항을 충족할 수 있도록 프레임워크 및 그 통제 항목을 완전히 사용자 지정할 수도 있습니다.
Q: AWS Audit Manager는 언제 사용해야 합니까?
AWS Audit Manager를 사용하면 수동으로 증거를 수집, 검토 및 관리하는 단계에서 증거 수집을 자동화하고 증거의 관리 연속성을 쉽게 추적할 수 있는 방법을 제공하고 팀워크 협업을 지원하고 증거 보안 및 무결성을 관리하는 데 도움이 되는 솔루션으로 이동할 수 있습니다. 또한 Audit Manager를 사용하여 내부 위험 평가뿐만 아니라 지속적인 감사 및 규정 준수도 지원할 수 있습니다.
Q: AWS Audit Manager 및 AWS Security Hub는 언제 사용합니까?
이 둘은 서로 보완하기 때문에 둘 다 사용해야 합니다. AWS Audit Manager는 감사 및 규정 준수 전문가가 규정 및 산업 표준 준수 여부를 지속적으로 평가하는 데 사용됩니다. AWS Security Hub는 보안 및 규정 준수 전문가와 DevOps 엔지니어가 AWS 계정 및 리소스의 보안 상태를 계속 모니터링하고 개선하는 데 사용됩니다. Security Hub는 다양한 산업 및 규제 프레임워크에 맞춰 자동화된 보안 검사를 수행합니다. Audit Manager는 이러한 Security Hub 검사에서 생성된 결과를 증거 형식으로 자동 수집하고, 이를 AWS CloudTrail 로그 등의 다른 증거와 결합하여 고객이 평가 보고서를 생성하도록 지원합니다. Audit Manager는 자동화된 증거가 연결된 통제 항목 및 수동 증거 업로드(예: 사고 대응 계획)가 필요한 통제 항목을 포함하여 지원되는 각 프레임워크에서 전체 통제 항목 집합을 다룹니다. Security Hub는 Audit Manager에서 지원되는 각 프레임워크의 통제 항목 하위 집합에 대한 보안 검사를 통해 자동화된 증거를 생성하는 데 초점을 맞춥니다. CloudTrail 같은 다른 AWS 서비스의 증거 또는 사용자가 업로드한 수동 증거가 필요한 통제 항목은 Security Hub에서 다루지 않습니다.
Q: AWS Audit Manager의 요금 체계는 어떻게 됩니까?
AWS Audit Manager는 리전별로 계정당 실행된 리소스 평가 수에 따라 요금을 산출합니다. 프레임워크를 기반으로 평가를 정의하고 시작하면 Audit Manager가 Amazon EC2 인스턴스, Amazon RDS 인스턴스, Amazon S3 버킷 또는 Amazon VPC 서브넷과 같은 각 개별 리소스에 대해 리소스 평가를 수행합니다. 리소스 평가는 증거를 수집, 저장 및 관리하는 프로세스로서, 위험과 산업 표준 및 규정의 준수를 평가하는 데 사용할 수 있습니다. AWS Audit Manager 요금도 참조하세요.
Q: AWS Audit Manager를 사용하면 PCI DSS 및 GDPR과 같은 준수 표준 또는 규정에 따른 책임을 피할 수 있습니까?
아닙니다. AWS Audit Manager는 감사 증거를 수집 및 준비하는 데 대한 지원을 제공합니다. AWS는 법률 또는 규정 준수에 대한 조언을 제공하지는 않지만 감사 증거를 수동으로 생성 및 수집하는 데 필요한 많은 시간을 절감하고 위험 해결 및 감사 계획에 더 많이 집중할 수 있도록 지원합니다.
Q: AWS Audit Manager는 리전별 서비스입니까, 글로벌 서비스입니까?
AWS Audit Manager는 리전별 서비스입니다. 따라서 수집된 모든 증거가 리전을 기반으로 하면서 해당 AWS 리전 경계를 벗어나지 않습니다. 고객은 각 리전에서 Audit Manager를 활성화해야만 해당 리전의 증거를 볼 수 있습니다.
Q: AWS Audit Manager는 어떤 리전을 지원합니까?
AWS Audit Manager의 리전별 가용성은 AWS 리전 서비스 목록에 나와 있습니다.
Q: AWS Audit Manager에서 제공하는 사전 구축된 프레임워크 목록은 무엇입니까?
AWS Audit Manager는 다양한 규정 및 산업 표준의 AWS 모범 사례를 기반으로 사전 구축된 표준 프레임워크를 제공합니다. AWS Audit Manager의 사전 구축된 프레임워크의 예로는 AWS Control Tower, AWS License Manager, CIS AWS Foundations Benchmark 1.2.0 및 1.3.0, CIS Controls v7.1 Implementation Group 1, FedRAMP Moderate, 일반 데이터 보호 규정(GDPR), GxP 21 CFR 제11부, 건강보험의 양도 및 책임에 관한 법률(HIPAA), 지불 카드 보안 표준(PCI DSS) v3.2.1, Service Organization Control 2(SOC 2) 및 NIST 800-53(Rev 5) 등이 있습니다. AWS Audit Manager 설명서에서 지원되는 프레임워크의 전체 목록을 참조하세요.
Q: AWS Audit Manager는 증거 데이터를 어디에 저장합니까?
AWS Audit Manager는 증거를 자체 관리형 스토리지 리포지토리에 저장하면서 최종 사용자에게 읽기 전용 권한을 허가합니다. AWS Audit Manager에서는 요약 문서와 증거 폴더가 포함된 평가 보고서를 S3 버킷에 생성할 수 있습니다.
Q: AWS Audit Manager는 증거 데이터를 얼마나 오랫동안 저장합니까?
현재 AWS Audit Manager는 증거 데이터를 자체 관리형 스토리지 리포지토리에 최대 2년동안 저장했다가 2년 후에는 삭제합니다.
Q: AWS Audit Manager의 서비스 할당량은 얼마나 됩니까?
- 계정당 활성 평가 수: 100
- 계정당 사용자 지정 통제 항목 수: 500
- 계정당 사용자 지정 프레임워크 수: 100
핵심 개념
Q: 프레임워크란 무엇입니까?
프레임워크는 사전 구축되었거나 사용자 정의된 통제 항목의 모음일 수 있습니다. 이 통제 항목은 PCI DSS, HIPAA, GDPR 또는 내부 위험 거버넌스 지도 원칙과 같은 지정된 규정 준수 또는 산업 표준의 요구 사항에 따라 구성 및 그룹화됩니다.
Q: 통제 항목이란 무엇입니까?
통제 항목은 규정 준수 요구 사항과 같이 특정 규칙을 준수하기 위한 절차의 수행 방법을 설명하는 규범적 설명입니다. 통제 항목은 조직에서 사용하는 리소스가 의도한 대로 작동되고 있다는 것, 데이터를 신뢰할 수 있다는 것, 조직이 해당 법률 및 규정을 준수하고 있다는 것 등을 합리적으로 보장합니다.
Q: 사용자 지정 통제 항목이란 무엇입니까?
AWS Audit Manager에서는 고유한 규정 준수 요구 사항을 충족할 수 있도록 특정 데이터 소스에서 증거를 수집하는 자체 통제 항목을 정의할 수 있습니다.
Q: 공통 통제 항목이란 무엇인가요?
공통 통제 항목은 중복되는 다양한 규정 준수 의무를 뒷받침할 수 있는 증거를 수집합니다. 각 공통 통제 항목은 사전 정의된 AWS 관리형 데이터 소스 그룹에서 증거를 수집하는 하나 이상의 핵심 통제 항목으로 구성됩니다. AWS는 규정과 표준이 변경되고 새로운 데이터 소스가 식별되면 사용자를 위해 이러한 기본 데이터 소스를 업데이트합니다.
Q: 평가란 무엇인가요?
AWS Audit Manager 평가는 AWS Audit Manager 프레임워크의 구현입니다. 프레임워크를 시작점으로 사용하여 평가를 생성하고 감사 범위에 포함할 AWS 계정을 정의할 수 있습니다. 평가가 생성된 후에 AWS Audit Manager는 프레임워크에 정의된 통제 항목을 기반으로 AWS 계정 및 서비스의 리소스를 자동으로 평가하기 시작합니다. 다음에는 관련 증거를 수집하여 감사자에게 친숙한 형식으로 변환한 후에 평가의 통제 항목에 첨부합니다.
Q: 리소스 평가란 무엇입니까?
리소스 평가는 증거를 수집, 저장 및 관리하는 프로세스로서, 위험과 산업 표준 및 규정의 준수를 평가하는 데 사용할 수 있습니다. 평가 프레임워크를 기반으로 평가를 정의하고 시작할 때 Audit Manager는 Amazon EC2 인스턴스, Amazon RDS 인스턴스, Amazon S3 버킷 또는 Amazon VPC 서브넷과 같은 각 개별 리소스에 대한 리소스 평가를 실행합니다.
Q: 증거란 무엇입니까?
증거는 통제 항목에서 지정한 요구 사항을 준수했음을 입증하는 데 필요한 정보의 기록입니다. 증거의 예로는 사용자가 트리거한 변경 활동 또는 시스템 구성 스냅샷이 있습니다.
Q: 평가 보고서란 무엇입니까?
평가 보고서는 AWS Audit Manager 평가에서 생성된 최종 문서입니다. 보고서에서는 감사를 위해 수집된 관련 증거를 요약합니다. 보고서는 평가에서 지정된 통제 항목에 따라 명명 및 구성된 관련 증거 폴더로 링크됩니다.
시작하기
Q: AWS Audit Manager를 시작하려면 어떻게 해야 합니까?
AWS Management Console, AWS CLI 또는 API를 통해 AWS Audit Manager를 설정하여 시작할 수 있습니다. AWS Audit Manager 설명서에는 AWS Audit Manager의 실습을 소개하는 시작하기 자습서가 있습니다. 자습서에서는 표준 프레임워크를 사용하여 평가를 생성하고 자동화된 증거 수집을 시작할 수 있습니다.
Q: AWS Audit Manager는 여러 AWS 계정에서 증거를 관리하는 데 도움이 됩니까?
예. AWS Audit Manager는 AWS Organizations와의 통합을 통해 여러 계정을 지원할 수 있습니다. AWS Audit Manager 및 AWS Organizations 통합을 통해 여러 계정으로 AWS Audit Manager 평가를 실행하고 증거를 위임된 관리자 계정으로 통합할 수 있습니다.
Q: 감사의 평가 범위를 지정하려면 어떻게 해야 하나요?
프레임워크에서 평가를 시작할 때 AWS 계정을 선택하여 범위를 지정할 수 있습니다. AWS Audit Manager가 증거를 수집하는 AWS 서비스는 사용된 프레임워크에 따라 정의됩니다.
AWS Audit Manager에서 작업하기
Q: AWS Audit Manager는 감사 관리에 어떻게 도움이 됩니까?
AWS Audit Manager는 각 제어 요구 사항에 정의된 대로 증거를 자동으로 수집하고 구성하여 시간을 절약합니다. Audit Manager를 사용하면 통제 항목이 의도한 대로 이행되고 있는지 확인할 수 있는 해당 증거를 검토하는 데 집중할 수 있습니다. 감사 시간이 되면 AWS Audit Manager를 통해 통제 항목에 대한 이해관계자의 검토를 관리함으로써 수동 작업을 대폭 줄이면서 감사 준비 보고서를 작성할 수 있습니다. 예를 들어, 위임 기능을 통해 평가의 통제 항목을 주제 전문가(SME)에게 할당하여 검토할 수 있습니다. 관련 증거를 검토 및 선택했으면 보고서 요약과 세부 증거의 폴더 세트로 구성된 감사 준비 보고서를 생성할 준비가 되었습니다.
Q: 평가를 검토하려면 어떻게 해야 합니까?
Audit Manager에서 언제든지 평가 요약 보기를 확인하고 검토할 수 있습니다. 요약에는 평가 세부 정보, 통제 항목, 평가 보고서, 범위 내 AWS 계정, 감사 소유자, 태그 및 ChangeLog가 포함됩니다. 또한 평가 내에 명시된 각 통제 항목을 클릭함으로써 수집된 증거 검토, 의견 추가, 수동 증거 업로드, 변경 로그 확인, 통제 항목 상태 업데이트 또는 팀원 위임 등 각 통제 항목과 관련된 세부 정보를 검토하고 업데이트할 수 있습니다.
Q: 분야 전문가에게 나를 대리하여 통제 항목을 검토할 수 있도록 위임하려면 어떻게 해야 합니까?
AWS Audit Manager에서는 통제 항목 모음으로 구성된 통제 항목 세트를 다른 사용자에게 위임하여 검토할 수 있습니다. 대리인은 증거를 검토하고 코멘트를 추가하며, 수동 증거를 업로드하고 통제 항목 세트 내 각 통제 항목의 제어 상태를 업데이트할 수 있습니다. 대리인이 검토를 다시 제출하면 사용자는 통제 항목 세트 및 관련 코멘트를 확인함으로써 해당 통제 항목 세트의 검토를 최종적으로 완료할 수 있습니다.
Q: 사용자 지정 프레임워크는 어떻게 생성합니까?
프레임워크 라이브러리는 AWS Audit Manager에서 프레임워크에 액세스 및 관리할 수 있는 중앙 위치입니다. 라이브러리에는 PCI DSS, CIS Foundation Benchmark, HIPAA 및 사용자가 정의한 사용자 지정 프레임워크 등과 같이 Audit Manager가 사전 구축한 표준적 프레임워크 카탈로그가 있습니다. 사용자 지정 프레임워크를 생성하는 방법은 두 가지가 있습니다. 기존 프레임워크의 편집 가능한 사본을 만들거나 처음부터 새로운 프레임워크를 생성할 수 있습니다. 사용자 지정 프레임워크를 생성하는 경우에 Audit Manager 통제 항목 라이브러리에서 통제 항목을 추가하고 해당 항목을 고유한 요구 사항에 적합한 방식으로 통제 항목 세트 내에 구성할 수 있습니다.
Q: 사용자 지정 통제 항목은 어떻게 생성합니까?
통제 항목 라이브러리는 AWS Audit Manager에서 통제 항목에 액세스하고 이를 관리할 수 있는 중앙 위치입니다. 라이브러리에는 Audit Manager가 사전 구축한 표준 통제 항목 및 사용자가 정의한 사용자 지정 통제 항목 카탈로그가 있습니다. 사용자 지정 통제 항목을 생성하는 방법은 두 가지가 있습니다. 기존 프레임워크의 편집 가능한 사본을 만들거나 처음부터 새 통제 항목을 생성할 수 있습니다. 사용자 지정 통제 항목을 생성할 때 통제 항목 이름, 설명, 테스트 정보와 Audit Manager가 자동으로 증거를 수집할 증거 소스를 지정할 수 있습니다. 또한 사람 조직 및 운영 절차와 같은 비시스템 증거가 필요한 통제 항목을 지원하기 위해 수동 증거만 요청하는 사용자 지정 통제 항목을 생성할 수도 있습니다.
Q: 증거를 자동으로 수집할 수 있는 통제 항목 데이터 소스는 무엇인가요?
AWS Audit Manager는 다음 네 가지 데이터 소스 유형에서 증거를 자동으로 수집할 수 있습니다.
- AWS CloudTrail - S3 버킷 암호화 정책 변경 등 CloudTrail 로그에서 사용자 활동을 캡처합니다. 결과는 사용자 활동 증거로 가져옵니다.
- AWS Security Hub - PCI DSS 제어와 관련된 Security Hub 검사 등 Security Hub 조사 결과를 수집합니다. 결과는 규정 준수 검사 증거로 가져옵니다.
- AWS Config - HIPAA 통제 항목과 관련된 AWS Config 규칙 등 AWS Config에서 규칙 평가를 직접 수집합니다. 결과는 규정 준수 검사 증거로 가져옵니다.
- AWS API 직접 호출 - EC2 인스턴스 구성과 같은 리소스 스냅샷을 캡처합니다. 응답은 구성 데이터 증거로 가져옵니다.
Audit Manager에서 사용자 지정 통제 항목을 구성할 때는 AWS 관리형 소스를 선택하는 것이 좋습니다. 이들은 공통 통제 항목 또는 핵심 통제 항목을 나타내는 사전 정의된 데이터 소스 그룹입니다. AWS 관리형 소스가 업데이트될 때마다 해당 소스를 사용하는 모든 사용자 지정 통제 항목에 동일한 업데이트가 자동으로 적용됩니다.
또는 고객 관리형 소스를 선택하고 자체 데이터 소스를 정의할 수 있습니다. 이를 통해 수동 증거를 추가하거나 사용자 지정 AWS Config 규칙과 같은 비즈니스별 리소스에서 자동화된 증거를 수집할 수 있는 유연성을 얻을 수 있습니다.
Q: Audit Manager에서 증거 수집 빈도는 어떻게 되나요?
AWS Audit Manager에서 증거 수집 빈도는 아래에서 설명하는 것과 같이 증거 유형에 따라 다릅니다.
- 리소스 구성의 스냅샷을 포함한 구성 데이터 증거 유형은 AWS 서비스(예: EC2, S3, RDS, VPC 등)에서 매일, 매주 또는 매월 직접 캡처합니다. 고객은 Audit Manager에서 이 빈도를 구성할 수 있습니다.
- 사용자 활동 증거 유형은 리소스 구성을 변경하여 트리거할 때 AWS CloudTrail 로그에서 캡처합니다.
- AWS Security Hub 및/또는 AWS Config의 결과를 포함한 규정 준수 검사 증거 유형은 이 두 서비스에 정의된 빈도로 캡처합니다. 주기적으로 수행하거나 리소스 구성 변경으로 트리거할 수 있습니다.
Q: Audit Manager는 다른 서비스와 어떻게 작동합니까?
AWS Security Hub는 AWS 모범 사례 및 업계 표준에 따라 자동화된 보안 검사를 사용하여 환경을 모니터링하며, 따라서 사용자는 해당 결과에 대한 시정 조치를 취할 수 있습니다. AWS Audit Manager는 CIS Foundations Benchmark 및 PCI와 같이 지원되는 규정 준수 표준에 대한 Security Hub 결과를 가져올 수 있습니다. AWS Audit Manager는 자동으로 추가 분석을 수행하고 수집된 Security Hub 결과에 주석을 추가함으로써 AWS Security Hub에서 모니터링하는 AWS 서비스의 증거를 생성합니다.
AWS CloudTrail에서는 AWS 인프라에서 계정 활동과 관련된 작업을 기록하고 지속적으로 모니터링하며 보관할 수 있습니다. Audit Manager는 CloudTrail에서 직접 로그 데이터를 수집하여 추가 분석을 수행합니다. Audit Manager는 데이터에 주석을 달아서 AWS CloudTrail에 로그를 제공하는 175개 이상의 AWS 서비스에 대한 증거를 자동으로 생성합니다.
AWS Config는 AWS 리소스 구성을 지속적으로 모니터링 및 기록하고, 원하는 구성을 기준으로 기록된 구성을 자동으로 평가해 줍니다. AWS Audit Manager는 AWS Config에서 로그 데이터를 수집하여 추가 분석을 수행합니다. Audit Manager는 해당 데이터에 주석을 달아서 AWS Config에서 모니터링하는 AWS 서비스의 증거를 자동으로 생성합니다.
AWS Control Tower는 수많은 기업이 클라우드로 이동할 때 AWS와의 협업을 통해 확립된 모범 사례를 기반으로 새롭고 안전한 다중 계정 AWS 환경을 가장 쉽게 설정 및 관리할 수 있는 방법을 제공합니다. AWS Audit Manager는 Control Tower에서 가드레일 로그를 가져와서 추가 분석을 수행합니다. Audit Manager는 해당 데이터에 주석을 달아서 Control Tower 가드레일 로그로 추적하는 AWS 서비스의 증거를 자동으로 생성합니다.
Amazon EventBridge는 이벤트를 사용하여 애플리케이션 구성 요소를 서로 연결하는 서버리스 서비스로, 확장 가능한 이벤트 기반 애플리케이션을 쉽게 구축할 수 있도록 합니다. EventBridge 규칙을 사용하여 Audit Manager 이벤트를 감지하고 이에 대응할 수 있습니다. 예를 들어 평가가 생성, 편집 또는 삭제될 때마다 상태 변경 알림을 받을 수 있습니다. 또한 EventBridge 규칙을 사용하여 위임 워크플로 또는 평가 제어 검토 상태의 변경 사항을 감지할 수 있습니다.
Amazon Bedrock은 Amazon 및 기타 주요 AI 회사의 파운데이션 모델(FM)을 API를 통해 사용할 수 있도록 하는 완전 관리형 서비스로, 이를 통해 조직 데이터를 사용하여 기존의 대규모 언어 모델(LLM)을 비공개로 조정할 수 있습니다. AWS Audit Manager는 Amazon Bedrock 고객을 위한 생성형 AI 모범 사례 프레임워크를 제공합니다. AWS Audit Manager를 통해 생성형 AI 모델 및 애플리케이션을 실행하는 계정에 이 모범 사례 프레임워크를 배포하여 의도한 정책의 규정 준수를 모니터링하는 데 도움이 되는 증거를 수집할 수 있습니다.
Q: Audit Manager는 AWS 파트너 및 서드 파티 도구와 어떻게 연동되나요?
AWS Audit Manager는 AWS 파트너이자 거버넌스, 위험 및 규정 준수(GRC) 솔루션 제공업체인 MetricStream과 통합되었습니다. 이 통합을 통해 AWS 사용 및 구성에 대한 증거를 Audit Manager에서 MetricStream CyberGRC로 직접 가져올 수 있습니다. 자세히 알아보려면 Audit Manager 설명서를 참조하세요.