규제, 규정 준수, 개인 정보 보호 요구사항 충족

Google Cloud 아키텍처 프레임워크의 보안 부문에서 이 원칙을 따르면 클라우드 배포에 대한 규제, 규정 준수, 개인 정보 보호 요구사항을 파악하고 충족할 수 있습니다. 이러한 요구사항은Google Cloud의 워크로드에 사용해야 하는 보안 제어에 대해 결정해야 하는 여러 가지 사항에 영향을 미칩니다.

원칙 개요

규제, 규정 준수, 개인 정보 보호 요구사항을 충족하는 것은 모든 비즈니스에서 피할 수 없는 과제입니다. 클라우드 규제 요구사항은 다음과 같은 여러 요인에 따라 달라집니다.

• 조직의 물리적 위치에 적용되는 법률 및 규정
• 고객의 오프라인 매장에 적용되는 법률 및 규정
• 업계의 규제 요구사항

개인 정보 보호 규정은 사용자 데이터를 획득, 처리, 저장, 관리하는 방법을 정의합니다. 사용자로부터 수신하는 데이터를 비롯한 자체 데이터는 개발자가 소유합니다. 따라서 쿠키 제어, 세션 관리, 사용자 권한 획득을 비롯한 많은 개인 정보 보호 설정은 개발자의 책임입니다.

이 원칙을 구현하기 위한 권장사항은 다음 섹션으로 그룹화되어 있습니다.

• 조직 위험을 해결하기 위한 권장사항
• 규제 및 규정 준수 의무를 해결하기 위한 권장사항
• 데이터 주권 관리를 위한 권장사항
• 개인 정보 보호 요건을 충족하기 위한 권장사항

조직 위험을 해결하기 위한 권장사항

이 섹션에서는 조직의 위험을 식별하고 해결하는 데 도움이 되는 권장사항을 제공합니다.

조직의 위험 파악

이 권장사항은 Cloud 거버넌스, 위험, 규정 준수와 같은 중점 영역과 관련이 있습니다.

Google Cloud에서 리소스를 만들고 배포하기 전에 위험 평가를 완료하세요. 이 평가에서는 내부 보안 요구사항과 외부 규제 요건을 충족하는 데 필요한 보안 기능을 결정해야 합니다.

위험 평가는 조직별 위험 카탈로그를 제공하고 보안 위협을 감지하고 대응하는 조직의 역량에 관해 알려줍니다. 배포 직후와 비즈니스 요구사항, 규제 요건 또는 조직에 대한 위협이 변경될 때마다 위험 분석을 실행해야 합니다.

보안 내재화 설계 원칙에 언급된 대로 클라우드 환경의 보안 위험은 온프레미스 위험과 다릅니다. 이러한 차이는 클라우드의 공유 책임 모델로 인한 것으로, 서비스 (IaaS, PaaS, SaaS) 및 사용량에 따라 다릅니다. Cloud Controls Matrix (CCM)와 같은 클라우드별 위험 평가 프레임워크를 사용합니다. OWASP 애플리케이션 위협 모델링과 같은 위협 모델링을 사용하여 취약점을 식별하고 해결합니다. 위험 평가와 관련하여 전문가의 도움을 받으려면 Google 계정 담당자에게 문의하거나 Google Cloud의 파트너 디렉터리를 참고하세요.

위험을 카탈로그화한 후에는 위험을 해결하는 방법, 즉 위험을 허용, 방지, 이전 또는 완화할지 결정해야 합니다. 구현할 수 있는 완화 제어 방법은 다음 섹션의 위험 완화에 관한 내용을 참고하세요.

위험 완화

이 권장사항은 Cloud 거버넌스, 위험, 규정 준수와 같은 중점 영역과 관련이 있습니다.

새로운 퍼블릭 클라우드 서비스를 도입할 때 기술 제어, 계약 보호, 서드 파티 확인 또는 증명을 사용하여 위험을 완화할 수 있습니다.

기술 제어는 환경을 보호하기 위해 사용하는 기능 및 기술입니다. 여기에는 방화벽 및 로깅과 같은 기본 제공되는 클라우드 보안 제어가 포함됩니다. 기술 제어에는 보안 전략을 강화하거나 지원하기 위해 서드 파티 도구를 사용하는 것도 포함될 수 있습니다. 기술 관리에는 두 가지 카테고리가 있습니다.

• Google Cloud의 보안 제어를 구현하여 환경에 적용되는 위험을 완화할 수 있습니다. 예를 들어 Cloud VPN 및 Cloud Interconnect를 사용하여 온프레미스 네트워크와 클라우드 네트워크 간의 연결을 보호할 수 있습니다.
• Google은 고객 데이터에 내부자가 액세스하는 것을 방지하기 위해 강력한 내부 제어 및 감사 시스템을 갖추고 있습니다. Google의 감사 로그는 Google Cloud에서 Google 관리자 액세스에 대한 거의 실시간 로그를 제공합니다.

계약 보호는Google Cloud 서비스에 대한 Google의 법적 약속을 의미합니다. Google은 규정 준수 포트폴리오를 유지보수하고 확장하기 위해 최선을 다하고 있습니다. Cloud 데이터 처리 추가 조항 (CDPA)에는 데이터 처리 및 보안과 관련된 Google의 노력이 설명되어 있습니다. CDPA에서는 Google 지원 엔지니어의 고객 환경에 대한 액세스를 제한하기 위해 마련된 액세스 제어에 대해 간략하게 설명하고 엄격한 로깅과 승인 절차에 대해 설명합니다. 법률 및 규제 전문가와의 Google Cloud계약 제어 시스템을 검토하고 요구사항을 충족하는지 확인하는 것이 좋습니다. 자세한 내용은 기술 계정 담당자에게 문의하세요.

서드 파티 인증 또는 증명은 클라우드 제공업체가 규정 준수 요구사항을 충족하는지 서드 파티 공급업체가 감사하는 것을 의미합니다. 예를 들어 Google Cloud ISO/IEC 27017 가이드라인과 관련된 증명에 대해 알아보려면 ISO/IEC 27017 - 규정 준수를 참고하세요. 현재 Google Cloud 인증 및 증명서는 규정 준수 리소스 센터를 참고하세요.

규제 및 규정 준수 의무를 충족하기 위한 권장사항

일반적인 규정 준수 여정에는 평가, 문제 해결, 지속적인 모니터링의 세 가지 단계가 있습니다. 이 섹션에서는 각 단계에서 사용할 수 있는 권장사항을 제공합니다.

규정 준수 요구사항 평가

이 권장사항은 Cloud 거버넌스, 위험, 규정 준수와 같은 중점 영역과 관련이 있습니다.

규정 준수 평가는 모든 규제 의무와 비즈니스가 이를 구현하는 방식을 철저하게 검토합니다. Google Cloud 서비스 평가에 도움이 되도록 규정 준수 리소스 센터를 사용하세요. 이 사이트에서는 다음에 관한 정보를 제공합니다.

• 다양한 규정 서비스 지원
• Google Cloud 인증 및 증명

Google의 규정 준수 수명 주기와 요구사항을 충족하는 방법을 더 잘 이해하려면 영업팀에 문의하여 Google 규정 준수 전문가의 도움을 요청하세요. 또는Google Cloud 계정 관리자에게 연락하여 규정 준수 워크숍을 요청할 수 있습니다.

워크로드의 보안 및 규정 준수를 관리하는 데 사용할 수 있는 도구 및 리소스에 대한 자세한 내용은 클라우드에서 규정 준수 보장을 참고하세요. Google Cloud

규정 준수 요구사항 구현 자동화

이 권장사항은 Cloud 거버넌스, 위험, 규정 준수와 같은 중점 영역과 관련이 있습니다.

변화하는 규정을 계속 준수할 수 있도록 규정 준수 요구사항을 구현하는 방법을 자동화할 수 있는지 확인합니다. Google Cloud 에서 제공하는 규정 준수 중심 기능과 특정 규정 준수 제도에 권장 구성을 사용하는 청사진을 모두 사용할 수 있습니다.

Assured Workloads는 Google Cloud 내의 제어를 기반으로 하여 규정 준수 의무를 준수하는 데 도움이 됩니다. Assured Workloads를 사용하면 다음을 수행할 수 있습니다.

• 규정 준수 체계를 선택합니다. 그런 다음 이 도구는 선택한 제도에 대한 기준 직원 액세스 제어를 자동으로 설정합니다.
• 조직 정책을 사용하여 데이터 위치를 설정하여 저장 데이터와 리소스가 해당 리전에만 유지되도록 합니다.
• 보안 및 규정 준수 요구사항에 가장 적합한 키 관리 옵션 (예: 키 순환 기간)을 선택합니다.
• FedRAMP Moderate와 같은 특정 규제 요건을 충족하기 위해 Google 지원 담당자의 액세스 기준을 선택합니다. 예를 들어 Google 지원 담당자가 적절한 백그라운드 확인을 완료했는지 여부를 선택할 수 있습니다.
• FIPS-140-2를 준수하고 FedRAMP 중간 수준 규정 준수를 지원하는 Google 소유 및 Google 관리 키를 사용합니다. Google-owned and Google-managed encryption key 추가적인 제어 레이어와 업무 분리를 위해 고객 관리 암호화 키 (CMEK)를 사용할 수 있습니다. 키에 대한 자세한 내용은 저장 데이터 및 전송 중인 데이터 암호화를 참고하세요.

Assured Workloads 외에도 규정 준수 체계와 관련된 Google Cloud블루프린트를 사용할 수 있습니다. 이러한 청사진을 수정하여 보안 정책을 인프라 배포에 통합할 수 있습니다.

규정 준수 요구사항을 지원하는 환경을 빌드하는 데 도움이 되도록 Google의 청사진 및 솔루션 가이드에는 권장 구성이 포함되어 있으며 Terraform 모듈이 제공됩니다. 다음 표에는 보안 문제를 해결하고 규정 준수 요구사항에 부합하는 청사진이 나열되어 있습니다.

요구사항	청사진 및 솔루션 가이드
FedRAMP	Google Cloud FedRAMP 구현 가이드 Google Cloud에서 FedRAMP 정렬 3계층 워크로드 설정 Google Cloud
HIPAA	Google Cloud에서 의료 데이터 보호 Data Protection Toolkit을 사용한 HIPAA 지원 워크로드 설정

규정 준수 모니터링

이 권장사항은 다음 중점사항과 관련이 있습니다.

• 클라우드 거버넌스, 위험, 규정 준수
• 로깅, 모니터링, 감사

대부분의 규정에서는 액세스 관련 활동을 비롯한 특정 활동을 모니터링해야 합니다. 모니터링에 도움이 되려면 다음을 사용합니다.

• 액세스 투명성: Google Cloud 관리자가 콘텐츠에 액세스할 때 실시간에 가까운 로그를 확인합니다.
• 방화벽 규칙 로깅: 내가 만든 규칙에 대한 VPC 네트워크 내부의 TCP 및 UDP 연결을 기록합니다. 이러한 로그는 네트워크 액세스를 감사하거나 네트워크가 승인되지 않은 방식으로 사용되고 있음을 미리 경고하는 데 유용할 수 있습니다.
• VPC 흐름 로그: VM 인스턴스에서 전송 또는 수신되는 네트워크 트래픽 흐름을 기록합니다.
• Security Command Center 프리미엄: 다양한 표준을 준수하는지 여부를 모니터링합니다.
• OSSEC(또는 다른 오픈소스 도구): 환경에 대한 관리자 액세스 권한이 있는 개별 사용자의 활동을 로깅합니다.
• 키 액세스 근거: 키 액세스 요청의 이유를 확인합니다.
• Security Command Center 알림: 규정 준수 문제가 발생하면 알림을 받습니다. 예를 들어 사용자가 2단계 인증을 사용 중지하거나 서비스 계정의 권한이 과도한 경우 알림을 받습니다. 특정 알림에 대한 자동 구제 조치를 설정할 수도 있습니다.

데이터 주권 관리를 위한 권장사항

이 권장사항은 Cloud 거버넌스, 위험, 규정 준수와 같은 중점 영역과 관련이 있습니다.

데이터 주권에서는 Google이 사용자 데이터에 액세스하지 못하게 하는 메커니즘을 제공합니다. 동의가 필요한 제공업체 동작에 대한 액세스만 승인합니다. 예를 들어 다음과 같은 방법으로 데이터 주권을 관리할 수 있습니다.

• 클라우드 외부에서 암호화 키를 저장하고 관리합니다.
• 자세한 액세스 근거에 따라 이러한 키에 대한 액세스 권한을 부여합니다.
• 컨피덴셜 컴퓨팅을 사용하여 사용 중인 데이터를 보호합니다.

운영 주권 관리

이 권장사항은 Cloud 거버넌스, 위험, 규정 준수와 같은 중점 영역과 관련이 있습니다.

운영 주권을 통해 Google 직원이 워크로드 보안을 침해할 수 없다는 확신을 얻을 수 있습니다. 예를 들어 다음과 같은 방법으로 운영 주권을 관리할 수 있습니다.

• 새 리소스 특정 공급업체 리전으로의 배포를 제한합니다.
• 시민권 또는 지리적 위치와 같은 사전 정의된 속성을 기반으로 Google 직원의 액세스를 제한합니다.

소프트웨어 주권 관리

이 권장사항은 Cloud 거버넌스, 위험, 규정 준수와 같은 중점 영역과 관련이 있습니다.

소프트웨어 주권은 워크로드 가용성을 제어하고 원하는 곳에서 실행할 수 있음을 보장합니다. 또한 단일 클라우드 제공업체에 종속되거나 잠김 상태가 되지 않고도 이러한 제어 기능을 사용할 수 있습니다. 소프트웨어 주권에는 워크로드가 배포되는 위치와 허용되는 외부 연결 수준을 빠르게 변경해야 하는 이벤트에서 생존할 수 있는 기능이 포함됩니다.

예를 들어 소프트웨어 주권을 관리하는 데 도움이 되도록 Google Cloud는 하이브리드 및 멀티 클라우드 배포를 지원합니다. 또한 GKE Enterprise를 사용하면 클라우드 환경과 온프레미스 환경 모두에서 애플리케이션을 관리하고 배포할 수 있습니다. 데이터 주권을 이유로 온프레미스 배포를 선택하는 경우 Google Distributed Cloud는 하드웨어와 소프트웨어의 조합으로 데이터 센터에 Google Cloud를 가져옵니다. Google Cloud

개인 정보 보호 요구사항을 해결하기 위한 권장사항

Google Cloud 에는 개인 정보 보호를 승격하는 다음과 같은 제어가 포함되어 있습니다.

• 저장 데이터, 전송 중인 데이터, 처리 중인 데이터 등 모든 데이터의 기본 암호화
• 내부자 액세스 방지
• 다양한 개인 정보 보호 규정 지원

다음 권장사항은 구현할 수 있는 추가 관리 기능을 다룹니다. 자세한 내용은 개인 정보 보호 리소스 센터를 참고하세요.

데이터 상주 제어

이 권장사항은 Cloud 거버넌스, 위험, 규정 준수와 같은 중점 영역과 관련이 있습니다.

데이터 상주에서는 데이터가 저장되는 위치를 설명합니다. 데이터 상주 요구사항은 시스템 설계 목표, 업계 규제 문제, 국가 법률, 세금 관련 사항, 심지어 문화에 따라 달라집니다.

데이터 상주 제어는 다음으로 시작합니다.

• 데이터 유형 및 위치를 파악합니다.
• 데이터에 어떤 위험이 있는지, 적용되는 법률과 규정이 무엇인지 확인
• 데이터 저장 위치 또는 이동 위치를 제어합니다.

데이터 상주 요구사항을 준수할 수 있도록 Google Cloud 를 사용하면 데이터 저장 위치, 액세스 방법, 처리 방법을 제어할 수 있습니다. 리소스 위치 정책을 사용하여 리소스가 생성되는 위치를 제한하고 리전 간에 데이터가 복제되는 위치를 제한할 수 있습니다. 리소스의 위치 속성을 사용하여 서비스가 배포되는 위치와 유지보수하는 사용자를 식별할 수 있습니다. 자세한 내용은 리소스 위치 지원 서비스를 참고하세요.

기밀 데이터 분류

이 권장사항은 데이터 보안이라는 중점사항과 관련이 있습니다.

기밀 데이터를 정의하고 기밀 데이터가 올바르게 보호되고 있는지 확인해야 합니다. 기밀 데이터에는 신용카드 번호, 주소, 전화번호, 기타 개인 식별 정보 (PII)가 포함될 수 있습니다. Sensitive Data Protection을 사용하면 적절한 분류를 설정할 수 있습니다. 그런 다음 Google Cloud에 데이터를 저장하기 전에 데이터에 태그를 지정하고 토큰화할 수 있습니다. 또한 Dataplex는 메타데이터를 저장, 관리, 액세스할 수 있는 플랫폼을 제공하는 카탈로그 서비스를 제공합니다. 데이터 분류 및 익명화에 관한 자세한 내용과 예시는 민감한 정보 보호를 사용하여 PII 익명화 및 재식별을 참고하세요.

민감한 정보에 대한 액세스 잠금

이 권장사항은 다음 중점사항과 관련이 있습니다.

• 데이터 보안
• ID 및 액세스 관리

VPC 서비스 제어를 사용하여 민감한 데이터를 자체 서비스 경계에 배치합니다. VPC 서비스 제어는 Google 관리형 서비스에서 데이터를 무단으로 복사하거나 전송하는 위험 (데이터 무단 반출)을 완화하는 기능을 개선합니다. VPC 서비스 제어를 사용하여 Google 관리형 서비스의 리소스 주위에 보안 경계를 구성하고 경계 내에서의 데이터 이동을 제어합니다. 해당 데이터에 대해 Google Identity and Access Management (IAM) 액세스 제어를 설정합니다. 민감한 정보에 액세스해야 하는 모든 사용자에 다중 인증 (MFA)을 구성합니다.