CSA(Cloud Security Alliance)에서 IaaS(Infrastructure-as-a-Service), PaaS(Platform-as-a-Service), SaaS(Software-as-a-Service) 제품과 같은 다양한 클라우드 서비스에 존재해야 하는 보안 통제를 설명하는 산업 문서를 작성하기 위해 CAIQ를 고안했습니다.

CAIQ가 만들어진 시기 

CSA는 전 세계 클라우드 환경의 보안을 위한 표준, 베스트 프랙티스, 인증을 정의하는 기관으로 2008년에 설립되었습니다. 세계 최고의 클라우드 베스트 프랙티스 기관으로서, CSA는 클라우드 고객, 벤더, 기업가, 정부, 클라우드 컴퓨팅 서비스를 사용, 제공, 작업하는 기타 그룹에 도움을 주기 위한 필수 정보 및 자원을 제공하기 위해 최선을 다하고 있습니다.

클라우드에 대한 의존성이 지속되고 있는 지금, CSA에서는 이렇게 급성장하고 있는 클라우드 기술이 어떤 형태의 규정도 없이 구현되는 경우 심각한 보안 문제가 발생할 수 있음을 깨달았습니다. CSA에서는 클라우드 기반 서비스(IaaS, PaaS, SaaS)에 일반적으로 받아들여지는 업계 표준과 보안 통제에 대한 문서를 작성하고 공유하는 일을 담당합니다. CAIQ는 여러 조직에 클라우드 벤더에서 중요 데이터를 보호하고 위험을 관리하는 데 사용하는 전술, 기술, 정책에 필요한 투명성을 제공합니다.

CAIQ는 기본적으로 설문 조사입니다. 버전 3.1(최신 업데이트 버전)은 클라우드 공급업체를 대상으로 하는 295개의 단답형 질문으로 구성되어 있습니다. 질문은 공급업체가 확립된 규정 및 베스트 프랙티스를 얼마나 잘 준수하고 있는지에 대한 통찰력을 클라우드 소비자와 클라우드 감사 담당자에게 제공하도록 작성되었습니다. CAIQ-Lite라는 또 다른 버전은 사이버 보안 전문가와 클라우드 구매 모델을 위해 작성된 70개 이하의 질문을 사용하여 보다 쉽고 좀더 대략적인 평가를 제공합니다.

간단히 말해, 벤더 위험 관리 팀은 표준화된 질문서를 사용하여 비용을 절감하면서도 효율성을 향상할 수 있습니다. CAIQ를 통해 클라우드 도입 시 불필요한 사이버 보안 위험에 노출되지 않도록 보호할 수 있습니다. 또한 CAIQ는 클라우드 공급업체에 필수 서비스를 제공합니다. 벤더는 CAIQ를 사용하여 보안 팀에 정보를 제공하고, 표준화된 용어 및 개념을 사용하여 고객에게 이러한 서비스를 효과적으로 소개할 수 있습니다.

외부 클라우드 벤더와의 협력에는 항상 어느 정도의 위험이 따릅니다. 비즈니스 조직의 통제된 환경 외부의 그룹에 중요 데이터와 프로세스를 맡기는 경우, 클라우드 사용자는 적절한 보안 조치를 직접 실행할 수 없게 됩니다. 가장 신뢰받는 클라우드 공급업체도 특정 영역에서는 결함이 있을 수 있으므로, 조직은 이러한 결함이 발생할 가능성이 있는 영역과 벤더의 클라우드 솔루션에 내재된 취약성을 파악해야 합니다.

CAIQ는 클라우드 공급업체 보안을 평가하며 널리 사용되고 받아들여지고 있는 업계 표준을 작성하여 문서화합니다. 이를 통해 조직은 비즈니스 계약을 체결하기 전에 클라우드 공급업체와 이들의 보안 태세를 파악하고 평가할 수 있습니다.

앞서 언급한 바와 같이, CAIQ는 295개의 질문으로 구성되어 클라우드 소비자 또는 감사 담당자가 공급업체에 CCM(Cloud Controls Matrix) 준수에 대한 정보 수집을 요청할 수 있습니다. 소비자는 요구 사항에 보다 적합하고 우려 사항과 특정한 사용 사례를 다루도록 질문서를 조정할 수 있습니다.

CCM(Cloud Controls Matrix)이란? 

CCM은 클라우드 컴퓨팅에 사용되는 사이버 보안을 위한 통제 프레임워크입니다. 16개의 도메인에 대한 133가지 목표로 구성되어 있습니다. 16개의 도메인은 다음과 같습니다.

• 애플리케이션 및 인터페이스 보안 
• 감사 보증 및 준수 
• 비즈니스 연속성 관리 및 운영 복원성 
• 변경 통제 및 구성 관리 
• 데이터 보안 및 정보 수명주기 관리 
• 데이터 센터 보안 
• 암호화 및 키 관리 
• 거버넌스 및 위험 관리 
• 인사 보안 
• ID 및 액세스 관리 
• 인프라 및 가상화 
• 상호운용성 및 이동성  
• 모바일 보안 
• 보안 인시던트 관리, E-Disc, 클라우드 포렌식 
• 공급망 관리, 투명성, 책임 
• 위협 및 취약성 관리

CCM 사용 방식

CCM은 클라우드 공급망 내 어떤 당사자가 보안 통제를 실행해야 하는지에 대한 지침을 제공함으로써 클라우드 실행을 체계적으로 평가하기 위한 도구로 사용될 수 있습니다. 통제 프레임워크는 Security Guidance v4에 해당하며, 현재 클라우드 보안 보증 및 준수에 대한 실질적인 표준으로 인정받고 있습니다. 공급업체는 CCM을 통해 다음을 실행할 수 있습니다.

• 정보 보안 통제 환경 강화:
  클라우드 모델 유형과 환경에 따라 달라지는 서비스 공급업체 및 고객별 지침을 설명합니다.
• 감사 간소화:
  업계 표준 보안 규정, 통제 프레임워크, 표준에 대한 맵을 제어합니다. CCM 통제를 이행하면 CCM이 매핑하는 관련 표준과 규정을 이행하게 됩니다.
• 보안 기대치 정규화:
  클라우드에서 실행되는 공유 클라우드 분류 체계, 보안, 용어를 제공합니다.
  

STAR(Security, Trust, Assurance, Risk)는 개인정보 보호관리와 보안 클라우드 컴퓨팅 프로그램을 문서화하여 누구나 액세스할 수 있는 레지스트리입니다. CAIQ 및 CCM에 명시된 표준의 감사, 조율, 투명성 원칙을 다룹니다.

조직은 현재 고객과 잠재 고객 모두에게 준수 및 보안 태세와 규정, 표준, 프레임워크에 대한 준수 상태를 보여줄 수 있어 궁극적으로 복잡성이 줄어들고 여러 질문서에 대한 답변을 작성할 필요가 없습니다.