[정보보호] 보안컨설팅을 위한 보안아키텍처 이해

보안 컨설턴트는 보안 아키텍트의 관점으로 이야기할 수 있어야 한다.

최종 프로젝트의 일환으로 '보안 아키텍처'에 관한 내용을 정리한 포스팅입니다.

아키텍처 설계 중 개인정보 처리에 관한 컨설팅을 바탕으로 작성되었습니다.

보안 아키텍처의 수립

▷미국 아키텍트들이 수립한 ITU-T X.805로 기술 모델을 만들고

▷아키텍처와 연결시켜 만든 것이 sTRM

▷이것으로 표준화 모델링(Standard Profile)을 만든다.

[관련 포스팅] 2022.08.26 - [정보보안/정보보호] - [정보보호] ITU-T X.805: 보안 아키텍처 표준

[정보보호] ITU-T X.805: 보안 아키텍처 표준

보안 아키텍처의 설계 단계

Level 1: 개념적 아키텍처 설계 (Framework, sTRM 등)

Level 2: 논리적 아키텍처 (sTRM에 따른 모델 구성 요소 상세 기술)

Level 3: 물리적 아키텍처(Standard Profile, 구축 및 운영 방안 상세 기술)

 

sTRM: Security Technical Reference Model- 보안 기술 참조모델

Standard Profile: 플랫폼에 구애받지 않고 동일하게 구현되게 할 수 있는 가이드

 Lv.1 개념적 설계 단계

 - 아키텍처 방향성과 수립 원칙, 컴플라이언스(Compliance)

 - 서비스 대상자 및 범위 설정 (이후 요구사항 분석에 해당)

 Lv.2 논리적 설계 단계

 - 고객의 요구사항과 보안요건 정의서를 기반으로 도메인 별 필요 기술들을 매핑 및 제시 (ex. 필요한 AWS 서비스 매핑)

 - 이때  보안 컨설턴트는 컴플라이언스(개보법, ISMS-P 등)가 매핑된 보안요건을 근거로 관련 정책(Policy)을 제안해야 함

 Lv.3 물리적 설계 단계

 - 관련 기술들을 실제 구현할 수 있도록 구체화된 구성요소 상세 SP(Standard Profile) 제시

 - 이후 ISMS-P 등 목표하는 인증제도에 부합하는지 점검 수행

---

용어 정리

아키텍처(Architecter): 설계

아키텍트(Architect): 설계하는 사람 (전체적인 청사진을 제시하는 사람)

프레임워크(Framework): 서비스의 근본, 변하지 않는 기본 틀