AWS SRA 예제의 코드 리포지토리 - AWS 규범적 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS SRA 예제의 코드 리포지토리

간단한 설문조사를 통해 AWS 보안 참조 아키텍처 (AWS SRA) 의 미래에 영향을 미치세요.

AWS SRA에서 지침을 구축하고 구현하기 시작하는 데 도움이 되도록 https://github.com/aws-samples/aws-security-reference-architecture-examples 의 코드형 인프라 (IaC) 리포지토리가 이 안내서와 함께 제공됩니다. 이 리포지토리에는 개발자와 엔지니어가 이 문서에 제시된 지침 및 아키텍처 패턴 중 일부를 배포하는 데 도움이 되는 코드가 포함되어 있습니다. 이 코드는 AWS Professional Services 컨설턴트가 고객과 직접 경험한 내용을 바탕으로 작성되었습니다. 템플릿은 기본적으로 일반적인 것으로, 전체 솔루션을 제공하기보다는 구현 패턴을 설명하는 것이 목표입니다. AWS 서비스 구성 및 리소스 배포는 의도적으로 매우 제한적입니다. 환경 및 보안 요구 사항에 맞게 이러한 솔루션을 수정하고 조정해야 할 수도 있습니다.

AWS SRA 코드 리포지토리는 AWS CloudFormation 및 Terraform 배포 옵션이 모두 포함된 코드 샘플을 제공합니다. 솔루션 패턴은 두 가지 환경을 지원합니다. 하나는 AWS Control Tower가 필요하고 다른 하나는 AWS Control Tower가 없는 AWS Organizations를 사용합니다. AWS 컨트롤 타워가 필요한 이 리포지토리의 솔루션은 AWS와 AWS 컨트롤 타워 사용자 지정 (cFCT) 을 사용하여 AWS 컨트롤 타워 환경 내에 배포 CloudFormation 및 테스트되었습니다. AWS Control Tower가 필요하지 않은 솔루션은 AWS를 사용하여 AWS Organizations 환경 내에서 테스트되었습니다 CloudFormation. cFCT 솔루션은 고객이 AWS 모범 사례를 기반으로 안전한 다중 계정 AWS 환경을 신속하게 설정할 수 있도록 지원합니다. 계정 및 리소스 생성을 통해 초기 보안 기준을 구현하면서 안전하고 확장 가능한 워크로드를 실행하기 위한 환경 설정을 자동화하여 시간을 절약하는 데 도움이 됩니다. 또한 AWS Control Tower는 다중 계정 아키텍처, 자격 증명 및 액세스 관리, 거버넌스, 데이터 보안, 네트워크 설계 및 로깅을 시작하는 데 필요한 기본 환경을 제공합니다. AWS SRA 리포지토리의 솔루션은 이 문서에 설명된 패턴을 구현하기 위한 추가 보안 구성을 제공합니다.

다음은 AWS SRA 리포지토리의 솔루션 요약입니다. 각 솔루션에는 세부 정보가 포함된 README.md 파일이 포함되어 있습니다. 

  • CloudTrail 조직 솔루션은 Org Management 계정 내에 조직 내역을 생성하고 감사 또는 보안 도구 계정과 같은 구성원 계정에 관리를 위임합니다. 이 트레일은 보안 도구 계정에서 생성된 고객 관리 키로 암호화되고 로그를 Log Archive 계정의 S3 버킷으로 전달합니다. 선택적으로 Amazon S3 및 AWS Lambda 함수에 대해 데이터 이벤트를 활성화할 수 있습니다. 조직 트레일은 회원 계정이 구성을 수정하지 못하도록 하면서 AWS 조직의 모든 AWS 계정에 대한 이벤트를 기록합니다.

  • GuardDuty 조직 솔루션은 보안 도구 계정에 관리를 GuardDuty 위임하여 Amazon을 지원합니다. 보안 도구 계정 GuardDuty 내에서 기존 및 미래의 모든 AWS 조직 계정을 구성합니다. 또한 GuardDuty 결과는 KMS 키로 암호화되어 로그 아카이브 계정의 S3 버킷으로 전송됩니다.

  • 보안 허브 조직 솔루션은 보안 도구 계정에 관리를 위임하여 AWS Security Hub를 구성합니다. 보안 도구 계정 내에 모든 기존 및 미래의 AWS 조직 계정에 대한 Security Hub를 구성합니다. 이 솔루션은 또한 모든 계정 및 지역에서 활성화된 보안 표준을 동기화하고 보안 도구 계정 내에 지역 애그리게이터를 구성하기 위한 파라미터를 제공합니다. Security Tools 계정 내에서 Security Hub를 중앙 집중화하면 보안 표준 규정 준수와 AWS 서비스 및 타사 AWS 파트너 통합의 결과를 계정 간에 볼 수 있습니다.

  • Inspector 솔루션은 AWS 조직의 모든 계정 및 관리 지역에 대해 위임된 관리자 (보안 도구) 계정 내에 Amazon Inspector를 구성합니다.

  • Firewall Manager 솔루션은 보안 도구 계정에 관리를 위임하고 보안 그룹 정책 및 여러 AWS WAF 정책으로 Firewall Manager를 구성하여 AWS Firewall Manager 보안 정책을 구성합니다. 보안 그룹 정책에는 솔루션에서 배포한 VPC (기존 또는 솔루션에서 생성) 내에 허용되는 최대 보안 그룹이 필요합니다.

  • Macie Organization 솔루션은 보안 도구 계정에 관리를 위임하여 Amazon Macie를 지원합니다. 보안 도구 계정 내에서 Macie를 모든 기존 및 미래의 AWS 조직 계정에 맞게 구성합니다. Macie는 KMS 키로 암호화된 중앙 S3 버킷으로 검색 결과를 전송하도록 추가로 구성되어 있습니다.

  • AWS Config

    • Config Aggregator 솔루션은 보안 도구 계정에 관리를 위임하여 AWS Config 애그리게이터를 구성합니다. 그런 다음 솔루션은 AWS 조직의 모든 기존 및 향후 계정에 대해 보안 도구 계정 내에 AWS Config 애그리게이터를 구성합니다.

    • 규정 준수 팩 조직 규칙 솔루션은 보안 도구 계정에 관리를 위임하여 AWS Config 규칙을 배포합니다. 그런 다음 AWS 조직의 모든 기존 및 향후 계정에 대해 위임된 관리자 계정 내에 조직 적합성 팩을 생성합니다. 솔루션은 암호화 및 키 관리에 대한 운영 모범 사례 규정 준수 팩 샘플 템플릿을 배포하도록 구성되어 있습니다.

    • AWS Config 컨트롤 타워 관리 계정 솔루션은 AWS 컨트롤 타워 관리 계정에서 AWS Config를 활성화하고 그에 따라 보안 도구 계정 내의 AWS Config 애그리게이터를 업데이트합니다. 이 솔루션에서는 AWS Config를 참조로 사용하여 AWS Config를 참조로 사용하여 AWS 조직 내 다른 계정과의 일관성을 보장합니다. CloudFormation

  • IAM

    • 액세스 분석기 솔루션은 보안 도구 계정에 관리를 위임하여 AWS IAM 액세스 분석기를 지원합니다. 그런 다음 Security Tools 계정 내에 AWS 조직의 모든 기존 계정 및 향후 계정에 대해 조직 수준의 액세스 분석기를 구성합니다. 또한 이 솔루션은 Access Analyzer를 모든 회원 계정 및 지역에 배포하여 계정 수준 권한 분석을 지원합니다.

    • IAM 암호 정책 솔루션은 AWS 조직의 모든 계정 내 AWS 계정 암호 정책을 업데이트합니다. 이 솔루션은 업계 규정 준수 표준을 준수하는 데 도움이 되도록 암호 정책 설정을 구성하기 위한 파라미터를 제공합니다.

  • EC2 기본 EBS 암호화 솔루션은 각 AWS 계정 및 AWS 조직의 AWS 지역 내에서 계정 수준의 기본 Amazon EBS 암호화를 지원합니다. 새로 생성한 EBS 볼륨과 스냅샷의 암호화를 적용합니다. 예를 들어 Amazon EBS는 인스턴스를 시작할 때 생성되는 EBS 볼륨과 암호화되지 않은 스냅샷에서 복사한 스냅샷을 암호화합니다.

  • S3 블록 계정 공개 액세스 솔루션을 사용하면 AWS 조직의 각 AWS 계정 내에서 Amazon S3 계정 수준 설정을 사용할 수 있습니다. Amazon S3 퍼블릭 액세스 차단 기능은 액세스 포인트, 버킷 및 계정에 대한 설정을 제공하여 Amazon S3 리소스에 대한 퍼블릭 액세스를 관리하는 데 도움을 줍니다. 기본적으로 새 버킷, 액세스 포인트 및 객체는 퍼블릭 액세스를 허용하지 않습니다. 그러나 사용자는 퍼블릭 액세스를 허용하도록 버킷 정책, 액세스 포인트 정책 또는 객체 권한을 수정할 수 있습니다. Amazon S3 Block Public Access 설정은 이러한 정책 및 권한을 무시하므로 이러한 리소스에 대한 퍼블릭 액세스를 제한할 수 있습니다.

  • Detective Organization 솔루션은 특정 계정 (예: 감사 또는 보안 도구 계정) 에 관리를 위임하고 모든 기존 및 미래의 AWS 조직 계정에 대해 Detective를 구성함으로써 Amazon Detective를 자동으로 활성화합니다.

  • Shield 어드밴스드 솔루션은 AWS Shield Advanced의 배포를 자동화하여 AWS 기반 애플리케이션에 대한 향상된 DDoS 보호를 제공합니다.

  • AMI Bakery Organization 솔루션은 표준적이고 강화된 Amazon 머신 이미지 (AMI) 이미지를 구축하고 관리하는 프로세스를 자동화하는 데 도움이 됩니다. 이를 통해 AWS 인스턴스 전반의 일관성과 보안이 보장되고 배포 및 유지 관리 작업이 간소화됩니다.