ACSC - Cloud Computing Security for Cloud Service Providers(클라우드 서비스 공급자의 클라우드 컴퓨팅 보안)

이 문서는 CSP(클라우드 서비스 공급자)가 제기한 보안 주장에 대한 독립적인 보증을 조직에 제공하기 위해 클라우드 서비스의 보안 포스처를 검증하는 평가자를 지원하기 위해 만들었습니다. 이 문서는 CSP가 보안 클라우드 서비스를 제공하는 데 도움을 줄 수도 있습니다.

조직의 사이버 보안 팀, 클라우드 아키텍트 및 비즈니스 담당자는 관련 문서 Cloud Computing Security for Tenants(테넌트용 클라우드 컴퓨팅 보안)을 참조해야 합니다.

미국 국립 표준기술연구소에서 정의한 클라우드 컴퓨팅은 비즈니스 성과 개선과 같은 잠재적인 이점을 조직에 제공합니다. 클라우드 서비스 사용과 관련된 위험을 완화하는 것은 조직('테넌트'라고 지칭)과 하청업체를 포함하여 클라우드 서비스 공급자('CSP'라고 지칭) 간의 공동의 책임입니다. 그러나 조직은 궁극적으로 데이터를 보호하고 기밀성, 무결성 및 가용성을 보장할 책임이 있습니다.

조직은 클라우드 서비스를 사용하기 전에 위험 평가를 수행하고 관련 완화 조치를 구현해야 합니다. 위험은 저장 또는 처리할 데이터의 민감도 및 중요도, 클라우드 서비스의 구현 및 관리 방법, 조직이 의도하는 클라우드 서비스 사용 방법, 적시에 인시던트 감지 및 대응을 수행하는 조직과 관련된 어려움과 같은 요인에 따라 달라집니다. 조직은 보안 수준이 낮거나, 가용성이 부족하거나, 최신 비즈니스 요구 사항을 충족할 수 없는 사내 컴퓨터 시스템을 사용하는 객관적인 위험 평가에 대해 이러한 위험을 비교해야 합니다.

이 문서는 CSP에서 퍼블릭 클라우드, 커뮤니티 클라우드, 그리고 드물게는 하이브리드 클라우드 또는 아웃소싱된 프라이빗 클라우드의 일부로 제공하는 서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS) 및 서비스형 소프트웨어(SaaS)에 대해 다룹니다.