Core Concepts
연방 정부의 데이터 보호 기준과 기술적 요구사항이 클라우드 서비스 제공업체의 데이터 보안 정책 및 관행에 통합되고 있다.
Abstract
이 논문은 클라우드 거버넌스에 초점을 맞추고 있으며, 데이터 보안 조치와 입법 당국의 조화를 다루고 있다. 데이터 유출 방지를 위한 법적 측면과 데이터 보호 메커니즘 구현을 위한 기술적 요구사항을 다루고 있다. 특히 최소 권한 원칙과 이의 아마존 웹 서비스(AWS)에서의 적용을 논의한다.
연방 정부의 주요 법률, 특히 연방 정보 보안 현대화법(FISMA), 연방 위험 및 인증 관리 프로그램(FedRAMP), 사이버 보안 행정명령 등이 클라우드 서비스 제공업체의 데이터 보호 정책 및 관행에 반영되고 있다. 이러한 법적 기준은 최소 권한 원칙, 속성 기반 접근 제어, 제로 트러스트 아키텍처 등 기술적 프레임워크를 요구한다.
AWS는 이러한 연방 정부의 데이터 보호 기준을 자사의 정책과 기능에 통합하고 있다. 세션 태그 지정, 조건 키 사용 등을 통해 최소 권한 원칙을 구현하고 있다. 이는 정부와 산업계, 학계의 협력을 통해 클라우드 보안 메커니즘을 지속적으로 개선하고 있음을 보여준다.
Stats
2023년 베리즌 데이터 유출 조사 보고서에 따르면 권한 남용이 데이터 유출의 주요 원인 중 하나이며, 지난 3년간 크게 증가했다.
2022년 IBM 보고서에 따르면 클라우드 환경 보안 관행이 미흡한 기업의 데이터 유출 피해 규모는 약 450만 달러에 달한다.
Quotes
"연방 정부의 데이터 보호 기준은 클라우드 서비스 제공업체의 데이터 보안 정책과 관행에 통합되고 있다."
"AWS는 세션 태그 지정, 조건 키 사용 등을 통해 최소 권한 원칙을 구현하고 있다."