솔루션 개요
올바른 GRC 프레임워크로 컴플라이언스 감사 간소화
거버넌스, 위험 및 규정 준수 기준에서 벗어나면 비용이 많이 들 수 있습니다. 2020년 8월부터 10월까지 미국 재무부는 주요 금융기관에 6억 2,500만 달러의 벌금을 부과했습니다.
감사 프로세스 간소화
다음 감사가 언제 시작될지 알 수 없습니다. 그렇게 되면 최대 6개월 동안 정규 엔지니어의 시간과 노력을 낭비하게 될 수 있습니다. 정규 엔지니어는 필요한 조사와 규정 준수 증명 작업을 해야 하기 때문입니다.
안타깝게도 OCC가 기업에 벌금을 부과하는 실제 사례가 많이 있습니다. 최근에는 미국 대형 은행에 8,500만 달러의 벌금을 부과했습니다. 그들은 연구 결과에서 다음과 같은 내용을 인용했습니다.
-
은행은 은행의 규모, 복잡성 및 위험 프로필에 걸맞은 효과적인 규정 준수 위험 관리 프로그램과 효과적인 정보 기술 위험 거버넌스 프로그램을 구현하고 유지하지 못했습니다.
거버넌스, 위험 및 규정 준수 기준을 준수하는 것은 어려울 수 있지만, 중요한 비즈니스 목표 달성을 방해해서는 안 됩니다. F5를 사용하면 감사 프로세스를 간소화할 수 있으며, 이는 성숙한 사이버 보안을 구축하는 것부터 시작됩니다.
그림 1 : 이 다이어그램은 규정 준수의 핵심 요소인 성숙한 사이버 보안을 달성하기 위한 중요한 구성 요소를 강조합니다.
주요 특징
감사 위험 벡터에 대한 자세한 가시성
작은 문제는 너무 늦을 때까지 숨겨질 수 있습니다. 이런 일이 발생하면 감사원은 이미 막대한 벌금을 부과하거나 까다로운 규정 준수 증명 작업을 할당한 상태입니다. 애플리케이션 전체를 시각화하면 문제가 어디에 있든 더 커지기 전에 문제를 신속하게 찾아 격리하거나 해결할 수 있습니다.
즉시 사용 가능한 규정 준수 솔루션
감사원에서는 금융서비스 기관에 더 높은 수준의 사이버 성숙도를 기대합니다. 규정 준수 사항을 확인하는 것만으로는 충분하지 않은 경우가 많습니다. F5 솔루션은 높은 수준의 사이버 성숙도를 달성하고 감사자에게 좋은 인상을 심어 감사로 인해 발생하는 마찰과 스트레스를 최소화하도록 특별히 제작되었습니다.
F5의 업계에서 검증된 지원
F5의 업계에서 검증된 지원은 모든 유형의 감사에 대비해 조직을 최상으로 준비하는 데 필요한 중요한 표준과 절차를 만드는 데 도움이 될 수 있습니다. 또한 감사원 회의가 진행되는 동안 귀사와 함께 규정 준수 주제를 더욱 심도 있게 논의하는 데 도움을 드릴 수 있습니다.
규정 준수는 체크박스 이상입니다
감사 프로세스를 효과적으로 간소화하려면 사전 예방적 조치가 필요합니다. 올바른 접근 방식과 앱 솔루션이 중요합니다. F5는 도움이 될 수 있는 광범위한 제품과 서비스를 제공합니다.
제품 |
그들이 어떻게 도움을 주는가 |
| BIG-IP 액세스 정책 관리자 | 접근 제어, SSL VPN |
| BIG-IP Advanced Firewall Manager | 방화벽 제어, 세분화, 액세스 |
| BIG-IP 애플리케이션 보안 관리자/고급 WAF® | 애플리케이션 보안, 취약점(WAF는 PCI DSS 규정 준수에 필수) |
| BIG-IQ Centralized Management | 관리 플랫폼, 구성 관리, 원격 측정, 로깅 |
| 클라우드 서비스 | DNS, DNS 로드 밸런서, Essential App Protect는 규제 기관과 감사원을 위한 보안 제어, 분석 및 가시성을 제공하고, 경험과 지원을 제공합니다. |
| BIG-IP DNS | DNS 보안(공격에 취약) |
| NGINX 컨트롤러 | NGINX Ingress Controller는 Kubernetes와 컨테이너화된 환경의 클라우드 네이티브 앱을 위한 동급 최고의 트래픽 관리 솔루션입니다. |
| NGINX 플러스 | 접근, 로깅, WAF |
| 모양 | 사기 방지, 봇 보호, 거부/기만 옵션 |
| 실버라인 | SOCS, DDoS 완화, 애플리케이션 보안, 봇 보호, 구성 관리(WAF는 PCI DSS 규정 준수에 필수) |
| SSL 오케스트레이터 | 가시성, 규모에 따른 SSL 복호화 |
| 보안 웹 게이트웨이 | 웹 게이트웨이, 외부 접속, 데이터 유출 |
표준 및 절차의 생성 및 거버넌스
F5의 업계 검증된 전문가는 모든 유형의 감사에 대비해 조직을 최상으로 준비하는 데 필요한 중요한 표준과 절차를 만드는 데 도움을 줄 수 있습니다. 규정 준수와 지속적인 경계에 지나치게 집중하지 않으면 조직은 PCI DSS(Payment Card Industry Data Security Standard) 검증 프로세스와 같은 중요한 규정과 규정 준수 기준을 충족하지 못하는 경우가 많습니다.
진화된 애플리케이션 방법론이 핵심입니다
기존 인프라를 사용하여 현대적이고 편리한 애플리케이션을 구축하고 제공하려면, 특히 규정 준수 요구 사항을 고려할 때 어려움과 한계가 따릅니다. 기관이 디지털 혁신을 진행함에 따라 유연하고 확장 가능한 엔터프라이즈 애플리케이션 아키텍처(EAA)는 규모에 맞는 결과를 지원하기 위한 일관성과 정렬을 추진하는 데 도움이 될 수 있습니다. 이는 애플리케이션 보안, 성능 및 안정성에 대한 기대를 충족하는 데 중요한 요구 사항입니다.
진화된 EAA 접근 방식은 혁신 노력을 비즈니스 전략에 맞추고, 새로운 기술을 쉽게 통합하여 조직의 민첩성을 유지하는 데 도움이 됩니다. 적절한 EAA가 있으면 개발자는 위치나 장치에 관계없이 표준과 규정을 준수하면서 최신 애플리케이션을 빠르고 안전하게 제공할 수 있습니다.
1단계: EAA와 비즈니스 목표를 맞추고 혁신, 민첩성, 위험의 적절한 균형을 결정합니다.
2단계: 애플리케이션 인벤토리를 작성하세요. 기업 포트폴리오의 모든 애플리케이션을 설명합니다.
3단계: 포트폴리오의 각 애플리케이션에 대한 보안 위험을 평가하고 적절한 솔루션을 할당합니다. 다음은 몇 가지 예입니다.
- 표준 및 규정을 충족하기 위해 필요한 하드웨어 및 소프트웨어의 FIPS 인증
- 기존 및 새로운 OWASP 위협으로부터 보호하기 위한 웹 앱 및 API 보호
- 다중 검사 장치를 통한 동적 정책 기반 복호화, 암호화 및 트래픽 조정을 통한 SSL 오케스트레이션
4단계: 응용 프로그램 범주를 정의하고 각각에 필요한 응용 프로그램 서비스를 지정합니다.
5단계: 애플리케이션 배포 및 관리를 위한 매개변수를 설정합니다. 여기에는 다음이 포함됩니다.
- 배포 옵션 이해
- 연관 비용, 소비 모델, 규정 준수/인증 프로필 평가
6단계: 역할과 책임을 할당합니다. 당신은 원할 것입니다:
- 보안을 포함하여 EAA 내의 각 구성 요소에 대한 책임자가 누구인지 명확히 합니다.
- 각 기여자, 부서 또는 기능 간 위원회에 책임이 있을 수 있음을 인식하세요.
7단계: 보안을 최적화하기 위해 조직 전체에 EAA 접근 방식을 적용합니다. 여기에는 다음이 포함됩니다.
- 사용자 액세스 제어 또는 코드 취약성 검사와 같은 자동화된 메커니즘 활용
- 직원 교육 및 커뮤니케이션을 통해 조직을 참여시키십시오
8단계: F5 전문가와 협력하여 지속적인 사이버 성숙도를 달성하세요.
표준 및 절차 거버넌스 생성에 할당해야 할 중요한 역할
구성 준수 팀 리더
구성 관리를 구현하는 것은 어려울 수 있으므로 리드를 지정하는 것이 필수적입니다. 구성 표준을 유지하고 구성 드리프트를 최소화하는 데 도움이 되는 자동화 도구는 다음과 같습니다.
- 선언적 온보딩
- AS3
- 원격측정 스트리밍
- 클라우드 형성 템플릿
엔터프라이즈 애플리케이션 아키텍처 팀 리더
이 중요한 기능은 이 이니셔티브의 진행과 우선순위를 감독하는 사람이 없다면 그 역할을 다하지 못하게 될 것입니다. 이러한 전담 역할이 없다면 조직 전체의 표준도 흔들릴 것입니다.
감사 소유자
감사마다 주요 감사 주제에 대한 지속적인 가시성을 확보하는 것이 중요합니다. 각 팀에는 F5 솔루션을 소유하고 애플리케이션과 네트워크에서 심층적인 데이터를 활용하여 감사 관련 문제를 신속하게 해결하는 데 필요한 통찰력을 제공하는 팀 리더가 필요합니다.
F5의 공유 애플리케이션 중심 대시보드는 네트워킹, 개발 및 보안 팀이 협업적인 문제 해결을 지원하는 동시에 필요한 데이터에 액세스할 수 있도록 해줍니다.
그림 2: 한눈에 보는 애플리케이션 세부 정보—애플리케이션별 토폴로지, 상태, 통찰력 및 이벤트 세부 정보를 빠르게 확인하세요.
F5를 사용하면 다음 감사 프로세스에서 혼자가 아닙니다. 다음 감사 회의에서 무슨 결과가 나오든, 규정 준수 주제를 더욱 심도 있게 다루는 데 도움을 받으려면 전문가에게 문의하세요.
F5는 다음과 같은 데 도움이 될 수 있습니다.
- 암호화된 위협을 밝혀내세요
- 권한이 있는 사용자 액세스를 보다 효과적으로 관리하기 위해 액세스 제어에 대한 세부 정보를 제공합니다.
- 특정 감사 요구 사항에 맞게 내보낼 수 있는 보고서를 사용자 정의합니다.
- 보안 제어에 대한 주의 사항 제공
결론
감사 과정은 시간이 많이 걸리고 스트레스가 많을 수 있습니다. 금융 서비스 직원은 다음 감사가 언제 시작될지 결코 알 수 없으며, 관련 업무에는 종종 정규직이 필요한데, 이에 대한 자금 지원은 거의 이루어지지 않습니다. 적절한 솔루션과 지원이 없으면 감사가 최대 6개월까지 걸릴 수 있으며, 수정 작업과 추가 감사로 이어질 수 있습니다.
F5는 금융서비스 기관의 감사 절차를 간소화한 데 있어 입증된 실적을 가지고 있습니다. 당사의 솔루션은 감사로 인해 발생하는 마찰과 스트레스를 최소화하도록 특별히 제작되었습니다.
자세한 내용을 알아보려면 F5 뱅킹 및 금융 서비스 솔루션을 살펴보거나 F5 담당자에게 문의하세요.