컴플라이언스 지원
클라우드 환경에서의 고객 비즈니스 지속 성장을 위해
고객의 IT환경이 국내외 규정을 준수할 수 있도록 지원합니다.
네이버 클라우드 플랫폼은 다양한 산업군에 대해 고객이 클라우드 이용환경에서
요구되는 컴플라이언스를 준수할 수 있도록 지원합니다.
클라우드 이용 시 보호대책 수립 지원
고객은 클라우드 환경에서 각종 컴플라이언스 준수를 위해 고객과 네이버클라우드간 역할과 책임을 파악하고 이를 기반으로 보호대책을 수립하여야 합니다. 네이버클라우드는 정보보호 및 개인정보보호에 대한 책임과 역할 정의를 돕기 위해 서비스이용약관, 서비스수준협약, 개인정보처리방침을 제공합니다.
| 클라우드 서비스 유형 | 클라우드 서비스 제공자 | 클라우드 서비스 이용자 |
|---|---|---|
| IaaS | - 물리적 영역의 시설 보안 및 접근통제 - 호스트 OS에 대한 보안 패치 - 하이퍼바이저 등 가상머신에 대한 보안관리 등 | - 게스트 OS, 미들웨어 및 어플리케이션 보안 패치 - 게스트 OS, 미들웨어, 어플리케이션, 사설 네트워크 영역에 대한 보안구성 및 설정 - 데이터 보안 - 관리자, 사용자 권한 관리 등 |
| PaaS | - IaaS 영역에서의 클라우드 서비스 제공자의 역할 및 책임 - 네트워크 영역의 보안설정 - PaaS 영역에 대한 보안 패치, 보안 구성 및 설정 | - 어플리케이션 보안 패치 및 보안설정 - 데이터 보안 - 관리자, 사용자 권한 관리 등 |
| SaaS | - IaaS, PaaS 영역에서 클라우드 서비스 제공자의 역할 및 책임 - 어플리케이션 보안 패치 및 보안설정 | - 어플리케이션 관리자, 사용자 권한 관리 등 - 데이터 보안(데이터 레벨의 접근통제, 암호화 등) |
※ 서비스 구성 및 특성 등에 따라 달라질 수 있음
<클라우드 서비스 유형에 따른 역할 및 책임 구분>
컴플라이언스 가이드를 통한 클라우드 도입검토 지원
네이버클라우드가 제공하는 컴플라이언스 가이드를 통해 고객은 고객의 책임영역과 네이버클라우드의 지원영역을 구분하고, 각종 보안요구사항을 충족할 수 있는 클라우드 상품과 서비스를 파악할 수 있습니다. [Compliance Guide 보러가기]
다양한 인증 취득으로 보안성이 확보된 클라우드 서비스 제공
네이버 클라우드 플랫폼은 정보보호 및 개인정보보호 관리체계 인증(ISMS-P), 클라우드 서비스 정보보호 국제 표준 인증(ISO27017) 등 다양한 인증을 취득한 클라우드 서비스를 제공합니다. 이러한 인증들은 제3의 독립 기관을 통해 매년 검증을 받고 있으므로 고객사는 검증된 클라우드 서비스를 활용하여 서비스를 구성할 수 있으며, 정보보호 인증에도 대응이 가능합니다.
보안 아키텍처 및 보안가이드 제공
고객의 정보시스템이 네이버 클라우드 플랫폼내에서 안전하게 구축될 수 있도록 다양한 자료를 제공하고 있습니다. 보안 아키텍처는 클라우드 서비스 도입단계부터 안전한 설계가 가능하도록 다양한 참조 레퍼런스를 제공합니다. 보안가이드는 구축이 완료된 시스템이 안전하게 이용될 수 있도록 보안상품에 대한 기능 설명과 함께 설정방법을 제공합니다.
안전한 이용을 위해 고객은 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고 관리자 권한에 대한 비인가된 접근, 권한 오남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 구현하여야 합니다. 네이버클라우드가 제공하는 자료들을 활용하여 이를 실현하고, 증빙을 확보함으로써 고객은 정보보호 인증에 대응할 수 있습니다.
클라우드 서비스 운영 현황 모니터링 및 정기적 검토 지원
ISMS-P 인증대상 기업 중 클라우드를 사용하는 기업은 클라우드 서비스 보안설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하도록 명시하고 있습니다. 고객이 운영하는 클라우드 리소스에 대한 모니터링을 지원하기 위해 네이버클라우드는 Monitoring, Web service Monitoring System 등 다양한 상품을 제공하며 보안관제서비스인 Security Monitoring 서비스를 managed 형태로 제공합니다. Security Monitoring 서비스는 네이버클라우드의 전문 보안 인력이 고객의 인프라구성과 서비스를 신속히 분석하여 구축에서부터 운영 및 관제서비스까지 최적화된 보안서비스를 제공합니다. 또한 고객이 편리하게 클라우드 환경에 대한 감사를 수행하고 지속적으로 관리할 수 있도록 Cloud Activity Tracer, Resource Manager, Flow Log 등 다양한 상품도 제공하고 있습니다.
위험평가 및 개선 등 기업의 정기적인 보안관리 활동 지원
ISMS-P인증기준 “2.11.4 사고대응 훈련 및 개선” 및 “1.2.3 위험평가” 등에서는 기업이 주기적인 보안관리활동을 하도록 요구하고 있습니다. 기업의 주기적인 보안관리활동을 지원하기 위해 네이버클라우드는 모의침투 테스트를 지원합니다. 고객은 클라우드 모의침투 테스트를 온라인으로 신청함으로써 허용된 환경과 기간동안 상호 인지하에 고객 클라우드 영역에 대한 취약점 점검 등 보안 제반활동을 수행할 수 있습니다.
컴플라이언스 준수를 위한 보안문의 고객 지원
고객사에서 구성한 다양한 클라우드 서비스 환경에 따라 보안 정책 적용 및 정보보호 인증 대응 관점에서 다양한 문의사항이 발생할 수 있습니다. 네이버 클라우드 플랫폼에서는 각종 보안인증 대응 노하우를 갖춘 보안 전문가를 통해 빠른 시간내에 궁금한 점을 해결할 수 있도록 문의채널을 운영하고 있습니다.
