IaC Management with Terraform Cloud

인프라 변경이 Git 기반으로 관리되고 있는지, Policy as Code로 보안 정책이 자동 검증되는지 점검합니다. 코드와 실제 인프라 간 드리프트 탐지 체계가 구축되어 있는지 진단하고, ISMS-P 요구사항에 부합하는 개선방안을 제시합니다.

ISMS-P 2.8.5 소스 프로그램 관리 / 2.8.6 운영환경 이관

IaC 소스 관리 및 환경 이관

인프라 코드가 버전 관리되고 환경별 이관 절차가 수립되어 있는지 점검합니다.

점검결과: "소스 및 환경 관리 미흡"

원인: 버전 관리 없음, 환경 분리 미흡

권고: Git 기반 버전 관리 및 Workspace 분리

ISMS-P 2.9.1 변경관리 / 2.9.2 성능 및 장애관리

인프라 변경이 통제되고 장애 발생 시 롤백 체계가 구축되어 있는지 점검합니다.

점검결과: "변경 및 장애 관리 미흡"

원인: 승인 없이 변경, 롤백 체계 미비

권고: PR 워크플로우 및 State 롤백 체계 구축

ISMS-P 2.9.4 로그 및 접속기록 관리 / 2.9.6 시간 동기화

인프라 변경 이력이 기록되고 로그 시간이 동기화되어 있는지 점검합니다.

점검결과: "로그 관리 체계 미흡"

원인: 로그 보존 부재, 시간 불일치

권고: Terraform Cloud Audit Log 및 NTP 설정