기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Elastic Beanstalk의 보안 모범 사례
AWS Elastic Beanstalk은 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용해 주십시오.
기타 Elastic Beanstalk 보안 주제는 AWS Elastic Beanstalk 보안 단원을 참조하십시오.
예방 보안 모범 사례
예방적 보안 통제는 사고가 발생하기 전에 사고를 예방하려고 시도합니다.
최소 권한 액세스 구현
Elastic Beanstalk는 인스턴스 프로파일, 서비스 역할및 IAM 사용자를 위한 AWS Identity and Access Management(IAM) 관리형 정책을 제공합니다. 이러한 관리형 정책은 환경 및 애플리케이션이 올바르게 작동하는 데 필요할 수 있는 모든 권한을 지정합니다.
애플리케이션에 우리의 관리형 정책의 모든 권한이 필요한 것은 아닙니다. 이러한 정책을 사용자 지정하여 환경 인스턴스, Elastic Beanstalk 서비스 및 사용자의 작업 수행에 필요한 권한만 부여할 수 있습니다. 이는 다른 사용자 역할이 다른 권한 요구를 가질 수 있는 사용자 정책과 특히 관련이 있습니다. 최소 권한 액세스를 구현하는 것이 오류 또는 악의적인 의도로 인해 발생할 수 있는 보안 위험과 영향을 최소화할 수 있는 근본적인 방법입니다.
플랫폼 정기 업데이트
Elastic Beanstalk는 정기적으로 새 플랫폼 버전을 출시하여 모든 플랫폼을 업데이트합니다. 새 플랫폼 버전은 운영 체제, 실행 시간, 애플리케이션 서버 및 웹 서버 업데이트, Elastic Beanstalk 구성 요소 업데이트를 제공합니다. 이러한 많은 플랫폼 업데이트에는 중요한 보안 수정 사항이 포함되어 있습니다. 지원되는 플랫폼 버전(일반적으로 플랫폼의 최신 버전)에서 Elastic Beanstalk 환경이 실행되고 있는지 확인하십시오. 자세한 내용은 Elastic Beanstalk 환경의 플랫폼 버전 업데이트을(를) 참조하십시오.
환경 플랫폼을 최신 상태로 유지하는 가장 쉬운 방법은 관리형 플랫폼 업데이트를 사용하도록 환경을 구성하는 것입니다.
환경 인스턴스에 IMDSv2 적용
Elastic Beanstalk 환경의 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스는 온인스턴스 구성 요소인 인스턴스 메타데이터 서비스(IMDS)를 사용하여 인스턴스 메타데이터에 안전하게 액세스합니다. IMDS는 데이터 액세스를 위한 두 가지 방법인 IMDSv1과 IMDSv2를 지원합니다. IMDSv2는 세션 지향 요청을 사용하며 IMDS에 액세스하기 위해 사용될 수 있는 여러 유형의 취약성을 완화합니다. IMDSv2의 장점에 대한 자세한 내용은 EC2 인스턴스 메타데이터 서비스에 심층적인 방어 기능을 추가하기 위한 향상된 기능
IMDSv2가 더 안전하므로 인스턴스에서 IMDSv2를 사용하는 것이 좋습니다. IMDSv2를 적용하려면 애플리케이션의 모든 구성 요소가 IMDSv2를 지원하는지 확인한 다음 IMDSv1을 비활성화하십시오. 자세한 내용은 환경 인스턴스에서 인스턴스 메타데이터 서비스 구성 단원을 참조하십시오.
탐지 보안 모범 사례
탐지 보안 통제는 보안 위반이 발생한 후 이를 식별합니다. 잠재적인 보안 위협이나 사고를 탐지하는 데 도움이 됩니다.
모니터링 구현
모니터링은 Elastic Beanstalk 솔루션의 안정성, 보안, 가용성 및 성능을 유지하는 데 중요한 부분입니다. AWS에서는 AWS 서비스를 모니터링할 수 있는 여러 가지 도구와 서비스를 제공합니다.
다음은 모니터링 대상 항목의 예입니다:
-
Elastic Beanstalk를 위한 Amazon CloudWatch 지표 — 주요 Elastic Beanstalk 지표와 애플리케이션의 사용자 지정 지표에 대한 경보를 설정합니다. 세부 정보는 Amazon CloudWatch와 함께 Elastic Beanstalk 사용 단원을 참조하십시오.
-
AWS CloudTrail 항목 –
UpdateEnvironment또는TerminateEnvironment와 같이 가용성에 영향을 줄 수 있는 작업을 추적합니다. 세부 정보는 AWS CloudTrail로 Elastic Beanstalk API 호출 로깅 단원을 참조하십시오.
AWS Config 활성화
AWS Config는 계정에 있는 AWS 리소스의 구성을 자세히 보여 줍니다. 리소스 간에 어떤 관계가 있는지 파악하고, 구성 변경 이력을 확인하고, 시간이 지나면서 구성과 관계가 어떻게 변하는지 확인할 수 있습니다.
AWS Config를 사용해 리소스 구성이 데이터 규칙을 준수하는지 평가하는 규칙을 정의할 수 있습니다. AWS Config 규칙은 Elastic Beanstalk 리소스에 대한 이상적인 구성 설정을 나타냅니다. 리소스가 규칙을 위반하고 규정 미준수로 플래그가 지정된 경우 AWS Config에서는 Amazon SNS(단순 알림 서비스) 주제를 사용하여 알림을 제공할 수 있습니다. 세부 정보는 AWS Config를 사용하여 Elastic Beanstalk 리소스 찾기 및 추적 단원을 참조하십시오.
