Ermetic은 구축하기 쉬운 SaaS 솔루션에서 전체적인 멀티 클라우드 보호를 제공하는 ID 우선 클라우드 인프라 보안 플랫폼으로, 고급 분석을 사용하여 위험을 평가, 우선 순위 지정 및 자동으로 해결함으로써 가장 복잡한 클라우드 환경에서도 공격 환경을 줄이고 규모에 따라 최소한의 권한을 적용할 수 있습니다.
Cloud Security Maturity Model
현대 인프라의 많은 부분이 기본적으로 클라우드 플랫폼에 배포되거나 클라우드 인프라로 마이그레이션 됨에 따라 이를 수행하는 것이 점점 더 중요해지고 있습니다. 그러나, 클라우드 환경은 역동적으로 복잡하며 빠르게 확장되기 때문에 보안 담당자는 클라우드 보안 맥락에서 조직을 발전시키기 위한 실행 가능 전략을 설정하기 어려울 수 있습니다.
Ermetic은 클라우드 보안의 중요한 영역들에서 조직의 현재 성숙도 수준을 쉽게 평가할 수 있도록 하는 프레임워크를 만들며 다음 단계로 나아가기 위한 명확하고 실용적이며, 달성 가능한 목표를 설정할 수 있도록 클라우드 보안 성숙도 모델을 제공합니다.
Ermetic의 클라우드 보안 성숙도 모델은 수백 개의 조직과의 협력 그리고 클라우드 보안 공간에서 서비스를 제공하는 전문성을 기반으로 개발되었습니다.
Ermetic 클라우드 보안 성숙도 모델은 아래 링크에서 확인할 수 있습니다.
Whitepaper: Cloud Security Maturity Model: Vision, Path, Execution (https://l.ermetic.com/wp-cloud-security-maturity-model)
모델을 발표할 때 흔히 하시는 질문은 “적용하기에 가장 좋은 시기는 언제인가요? 입니다. 그리고 이에 대한 대답은 “Right now!” 입니다.
조직의 클라우드 보안 전략을 지속적으로 평가하고 진행하는 프로세스는 현재 조직의 성숙도 수준에 관계없이 계속해서 노력해야 합니다. 그리고 그 노력에 이 프레임워크가 도움이 될 것입니다. 시작하는데 큰 노력이 필요하지 않기 때문에 조직이 중요하고도 어려운 영역에서 성숙해질 수 있도록 추진하는데 도움이 됩니다.
State of Cloud Security Maturity 2022
클라우드 보안 전략을 설계하고 구현할 땐 고려해야 할 변수가 아주 많기 때문에 어떤 것부터 어떻게 시작해야할지 길을 잃기 쉽습니다. 그래서 우선순위를 설정하고 로드맵을 구축하기 위해 명확한 프레임워크의 필요성이 커집니다.
최근 몇 년동안 Ermetic은 laaS 플랫폼에 대한 공격을 살펴보고 조직이 이에 대응하는 방법에 대한 일반적인 통찰력을 제공하는 연례 클라우드 보안 현황 보고서를 발행했습니다. 클라우드 보안의 중요성을 인식하고 자신의 조직이 어느 위치에 있는지 이해하는 데에 어려움을 겪고 있는 오늘날의 대부분의 조직을 위해 Ermetic은 특정 조직이 클라우드 보안을 개선하기 위해 취해야 하는 단계에 대하여 보다 규범적인 지침을 제공하는 데 집중했습니다.
Organizations continue to invest in cloud infrastructure
클라우드 인프라는 조직이 고객에게 서비스를 제공하고, 혁신을 주도하는 핵심 부분입니다. 조직은 클라우드에서 비즈니스를 수행할 수 있는 능력을 지원하기 위해 상당한 재정 자원을 투입하고 있습니다.
56%의 조직이 클라우드 인프라에 매년 최소 1천만 달러를 지출하고 있습니다.
Who is at the helm of the security ship?
성숙도 모델에 따라 분산 보안은 더 높은 성숙도를 나타내는 지표입니다. 그러나 이 모델은 보안 작업을 수행하기 위해 보안 전문 팀의 감독이 필요하다는 점도 분명히 합니다. 조직이 다른 역할 사이에서 보안 작업을 점점 더 분산시키고 있다는 사실에 고무되지만, 전담 보안 팀이 없기 때문에 조직이 더 높은 성숙도에 도달하기 어렵습니다.
80%의 조직에는 전담 클라우드 보안 팀/리더가 없습니다.
Key survey findings
Overall cloud security maturity level
5개 중 4개 이상의 조직이 Ermetic 클라우드 보안 성숙도 모델의 임시 또는 기회주의적 수준에 있습니다. 현재 5%만이 최고 수준인 자동화 및 통합 표준을 충족합니다.
80%의 조직이 낮은 수준의 성숙도에 있으며 5% 미만이 최고 성숙도를 달성했습니다.
Cloud security maturity by organization size
소규모 조직은 대규모 조직보다 가장 높은 성숙도 수준(자동화 및 통합 단계)에 도달할 가능성이 3배 더 높습니다.
93%의 대규모 조직은 낮은 수준의 클라우드 보안 성숙도에 있습니다.
Overall maturity levels by cloud provider are quite similar
많은 조직에서 둘 이상의 공급자를 사용합니다. 플랫폼별로 비교했을 때, 성숙도는 레벨에 관계없이 놀라울 정도로 유사합니다. Google Cloud를 단독으로 사용하거나 다른 플랫폼과 함께 사용하는 조직은 AWS 또는 Azure보다 기회주의적 수준에서 더 많은 보안 사례를 갖고 임시 수준에서 더 적은 보안 사례를 가지고 있는 것으로 나타났습니다.
평균적으로 40%의 조직은 클라우드 제공업체에 관계없이 가장 낮은 수준의 클라우드 보안 성숙도를 넘어서지 않았습니다.
More clouds, less maturity
클라우드가 추가될 때마다 클라우드 보안 관행의 성숙도가 Ad-hoc 수준에서 점점 더 고착화되는 양상을 보입니다 이유가 무엇이든 (멀티클라우드 복잡성, 특정 클라우드 지식 부족, 클라우드 간 공통 관행 부족 등) 이 결과를 클라우드 환경이 더욱 다양해짐에 따라 보안을 확장해야 하는 과제를 시사합니다.
멀티 클라우드 전략을 채택한 조직의 57%는 클라우드 보안 성숙도가 가장 낮은 수준에서 운영되고 있습니다.
Maturity increases when organizations invest time in cloud security
클라우드 보안에 소요되는 시간은 조직이 더 높은 성숙도 수준(4배 이상 높음)에 도달하는 것과 깊은 관계가 있습니다. 하지만 투자하는 시간이 클라우드 보안의 성숙을 이끄는 유일한 요인은 아닙니다.
클라우드 보안에 주당 50시간 이상 투자하는 조직의 42%가 높은 수준의 성숙도를 달성하고 있습니다.
Security priorities that align with higher maturity levels
가장 높은 성숙도를 가진 조사 대상 조직은 다음과 같은 5가지의 우선 순위를 꼽았습니다.
(1) 일반적인 클라우드 구성 오류 감지 (e.g., 암호화되지 않은 리소스, MFA)
(2) 클라우드 인프라 전반에 걸쳐 인간 사용자 및 애플리케이션, 서비스 계정이 수행한 활동을 추적하고 조사하는 기능 달성
(3) 개발자/DevOps/클라우드 운영 팀을 위한 클라우드 인프라에 환경에 대한 Just-in-Time(JIT) 액세스 설정
(4) 보안 모범 사례(e.g., AWS well- architected, CIS) 및 규정 준수 표준 (e.g., NIST, ISO, SOC2, PCI-DSS)에 대한 평가 및 보고
(5) 클라우드에서 ID에 대한 최소 권한 달성 (ID 및 서비스 계정 모두)
Applying the Ermetic maturity model
조사 대상자 중, 56%의 조직이 클라우드 인프라에 매년 최소 1천만 달러를 지출하고 있음에도 불구하고 80%의 조직이 낮은 수준의 성숙도에 머물러 있는 이유는 무엇일까요?
보고서 내에서는 기업의 80%가 위협으로부터 클라우드 리소스를 보호하는 전담 보안팀이 부족하다는 내용도 있었습니다. 또한, 클라우드 보안에 주 50시간 이상 투자하는 42%의 조직이 더 높은 수준의 성숙도를 달성하고 있다는 결과까지 참고하면, 비용과 노력 그리고 시간이 비례하고 관련 전담 팀이 구축되어 있을 때 높은 수준의 성숙도를 달성할 수 있다는 것일까요?
Ermetic Cloud Security Maturity Model에 대해 조직의 성숙도를 평가하세요
Ermetic은 성숙도 모델과 이 설문 조사에 참여한 조직과 비교하여 벤치마킹하고자 하는 조직을 위한 무료 자체 평가를 발표했습니다. Ermetic의 웹 사이트로 이동하여 질문에 답하여 귀사의 성과를 확인하세요.
https://ermetic.com/maturity-model/cloud-security-maturity-assessment/
출처
https://l.ermetic.com/wp-cloud-security-maturity-model
https://l.ermetic.com/wp-cloud-maturity-model-survey-results
