CISA의 안전한 클라우드 전환을 위한 권장사항

1. 클라우드 마이그레이션 전략 및 시나리오  수립

-계획, 설계, 파일럿, 마이그레이션, 유지관리 순으로 진행

2. DevSecOps 적용

-개발, 배포, 운영, 관리까지 전 라이프 사이클에 걸쳐 보안을 연계

-보안을 공동의 책임으로 간주하는 문화화

-보안상 결함 및 취약점을 조기 노출시켜 수정 시간 및 비용 감소, 보안 사고 위험 감소 효과

-DevSecOps 전환을 위해 CI/CD, IaC(코드형 인프라), 보안 테스트 자동화, 최소 권한 방식 채택 권장

3. 클라우드 관리 중앙집중화

-부적합한 클라우드 관리는 보안 위험 악화

-클라우드 이용에 불필요한 비용 지출 유발

-원활한  클라우드 서비스 운영 방해

-클라우드 운영 최적화를 위해 전략, 기술, 전환 및 운영, 공통 서비스를 관리하는 중앙집중화된 팀 또는 기능 구축 필요'

4. 공유 책임 모델 (SRM: Shared Responsibility Model)

-다양한 클라우드 서비스 및 CSP로 유지보수 및 보안에 대한 사용자와 CSP 간 책임이 불명확

-공유 책임 모델을 통해 사용자와 CSP 책임을 명확히 구분하고 이해

-SLA로 CSP 책임을 정의