클라우드 규정 준수는 업계 지침과 지역, 국가 및 국제 법률에 따라 클라우드 사용에 대한 규제 표준을 준수하는 기술이자 과학입니다. 일반적인 규제 요건에는 HIPAA (Health Insurance Portability and Accountability Act), PCI DSS (Payment Card Industry Data Security Standard) 및 GLBA (Gram-Leach-Bliley Act)가 포함됩니다.
일단 기업이 클라우드를 이용하고 있다면, 클라우드 구축 단계에서부터 클라우드 제공업체가 유럽의 GDPR(General Data Protection Regulation) 또는 미국의 HIPAA와 같은 법을 준수하는지 확인해야 합니다.
하지만 클라우드 이용이 앞서다 보니 많은 복잡한 문제를 야기하기도 합니다. 클라우드의 핵심 원칙 중 하나는 고객이 클라우드 서비스를 쉽게 설정, 변경 및 종료 할 수 있도록 셀프 서비스 인터페이스가 있어야 한다는 것입니다.
그러나 명확하지 않은 것은 고객의 비즈니스에서 이 작업을 수행 할 사람입니다. 결과적으로 누구라도 될 수 있습니다. 클라우드 이용에 있어서 요구되는 것은 기업 신용카드뿐이며, 클라우드에 바로 데이터를 저장할 수도 있습니다. 이것에 대한 용어는 새로운 것이 아닙니다. 쉐도우 IT입니다. 이 용어는 클라우드의 특성으로 인해 요즘에 많이 사용되고 있습니다.
클라우드 거버넌스
거버넌스는 고위 경영진과 이사회가 비즈니스에 제공하는 감독입니다. 클라우드 거버넌스는 클라우드에 대한 이러한 감독의 확장입니다. 거버넌스는 중요합니다: 거버넌스가 없다면 클라우드 및 보안을 관리하기 어렵습니다.
기업이 클라우드에 진입하기 전에 이러한 목표와 목적이 무엇인지 고려해야 합니다. 목표와 목적은 관련 법률, 규정 및 계약에 따라야합니다. 법적 측면 외에도 클라우드 거버넌스는 직원이 회사의 목표와 목적을 달성할 수 있도록 올바른 경로를 안내해야 합니다.
중대한 실수로 인해 클라우드에서 사용자가 작업을 완료하지 못할 수도 있습니다. 심지어 회사가 법률적인 문제에 직면할 수 도 있습니다. 이사회 및 회사의 경영진은 클라우드에 주의를 기울여야 합니다.
법과 규정
규정 준수를 논의할 때 나올 첫 번째 주제는 법입니다. 기업과 변호사는 어떤 법률을 준수해야 하는지 설명해야 합니다. 또한 비준수 결과에 대해서도 명확히 해야 합니다. 법률이 확인되면 해당 법률 및 규정을 준수하기 위해 어떤 보안 제어를 마련해야 하는지도 확인해야 합니다.
EU GDPR과 같은 규제는 개인정보에 관한 많은 보안을 요구합니다. EU GDPR은 또한 규정에서 다루는 데이터를 처리하고 저장할 수 있는 위치에 구체적인 제약조건을 가지고 있습니다. 이는 클라우드 구현 방식에서 발생할 수 있는 잠재적인 문제입니다. 대부분의 클라우드 제공업체는 규제 요건을 충족하기 위해 제어 장치를 마련할 수 있습니다.
계약은 둘 이상의 당사자 사이의 공식적인 계약을 정의합니다. 회사는 계약을 체결하면 약관을 준수할 의무가 있습니다. 그렇게 하지 않으면 심각한 재정적 처벌을 받을 수 있습니다.
신용카드 정보를 처리하거나 저장하는 기업은 신용카드 회사와 PCI-DSS (Payment Card Industry-Data Security Standard)의 특정 요소를 구현하도록 요구하는 계약을 맺었을 가능성이 있습니다.
신용카드를 처리하기 위해 기업은 표준의 12가지 보안 요구 사항을 충족 할 것을 약속하는 계약에 서명합니다. 요구 사항을 구현해야 하는 수준은 1년에 처리되는 거래 횟수에 따라 다릅니다.
기업은 고객과의 계약이 클라우드와 관련하여 회사가 할 수 있는 것과 할 수 없는 것을 확인해야 합니다. 퍼블릭, 프라이빗, 커뮤니티 등 사용하는 클라우드의 종류는 규정 준수에 영향이 있을까요?
많은 기업이 보안 제어를 구현하기 위해 ISO 27001 또는 NIST SP 800-53과 같은 표준을 활용합니다. 기업이 ISO 27001을 표준으로 사용하기로 결정한다면, 회사는 적절한 통제를 할 수 있도록 직원들을 훈련시킬 필요가 있습니다. 이들은 클라우드로 확장됩니다. 실제로 ISO는 클라우드와 관련된 컨트롤을 격리하고 ISO 27017에서 해결했습니다.
법률, 규정 및 계약 준수 수준을 평가하는 한 가지 방법은 감사를 받는 것입니다. 내부 또는 외부 감사일 수 있습니다. 내부 감사는 비즈니스 자체 감사자가 완료하고 자체 평가를 통해 준수 수준을 판단합니다. 그러나 내부 감사자의 결론은 편향 될 수 있기 때문에 왜곡 된 것으로 보여질 수 있습니다.
보다 객관적인 의견을 제공하기 위해 독립적인 제3자 감사 회사의 감사를 받도록 선택할 수 있습니다. 여기에서 클라우드와 관련하여 논의하려는 감사는 클라우드 제공 업체가 수행하는 감사입니다.
대부분의 클라우드 제공업체는 고객이 데이터센터를 직접 감사하는 것을 원하지 않으므로 독립적인 타사 감사에 의존합니다.
감사 보고서
감사 결과는 감사 보고서에서 찾을 수 있습니다. 보고서는 미국공인회계사협회 (AICPA)에 의해 표준화 되었습니다. 모든 기업은 SOC 2® 감사 보고서를 요청해야 합니다. A SOC 2® 보고서는 클라우드 제공 업체와 같은 서비스 조직을 위한 것입니다. 예를 들어 ISO 27001 또는 NIST 사이버 보안 프레임워크(CSF)에 정의된 제어를 준수한다는 것을 보여줍니다. 제어는 다음과 같은 AICPA의 5가지 신뢰 서비스 기준에 따라 평가됩니다.
이러한 보고서는 유형 1 또는 유형 2일 수 있습니다. 유형 1 보고서는 제어 상태를 한순간에 표시하고 제어가 어느 정도의 적합성 수준에서 설계 및 설치되었음을 보여줍니다. 유형 2 보고서는 일정 기간(예: 6 개월)에 걸친 제어의 운영 효율성을 보여줍니다.
클라우드 고객은 이러한 보고서를 요청해야 하지만, 보고서에는 비즈니스에 대한 민감한 정보가 포함될 수 있기 때문에 클라우드 제공업체에서 보고서를 제공하지 않을 수도 있습니다. 또 다른 옵션은 일반 사용 보고서로 사용되는 SOC 3®입니다. 클라우드 제공 업체의 비즈니스에 대한 정보는 거의 없습니다. 클라우드 제공업체에 대한 감사자의 승인 도장을 고객에게 효과적으로 제공하거나 제공하지 않습니다.