보안 기능 보안 설계 원칙 AWS CAF 및 AWS Well-Architected Framework와 함께 AWS SRA를 사용하는 방법

보안 기반

통해 AWS 보안 참조 아키텍처 (AWS SRA) 의 미래에 영향을 미치세요.

AWS 보안 참조 아키텍처는 AWS 클라우드 채택 프레임워크 (AWS CAF), AWS Well-Architected Framework, AWS 공동 책임 모델이라는 세 가지 AWS 보안 기반을 기반으로 합니다.

AWS Professional Services는 기업이 성공적인 클라우드 채택을 위한 가속화된 경로를 설계하고 따르도록 지원하기 위해 AWS CAF를 만들었습니다. 프레임워크에서 제공하는 지침과 모범 사례는 엔터프라이즈 전반과 IT 수명 주기 전반에 걸쳐 클라우드 컴퓨팅에 대한 포괄적인 접근 방식을 구축하는 데 도움이 됩니다. AWS CAF는 지침을 관점이라고 하는 6가지 중점 영역으로 구성합니다. 각 관점은 기능적으로 관련된 이해 관계자가 소유하거나 관리하는 고유한 책임을 다룹니다. 일반적으로 비즈니스, 인력 및 거버넌스 관점은 비즈니스 역량에 초점을 맞추고 플랫폼, 보안 및 운영 관점은 기술 역량에 중점을 둡니다.

AWS CAF의 보안 관점은 비즈니스 전반에서 제어 항목의 선택 및 구현을 구조화하는 데 도움이 됩니다. 보안 기둥의 최신 AWS 권장 사항을 따르면 비즈니스 및 규제 요구 사항을 충족하는 데 도움이 될 수 있습니다.

AWS Well-Architected Framework는 클라우드 아키텍트가 애플리케이션과 워크로드를 위한 안전하고 성능이 뛰어나며 복원력이 뛰어나고 효율적인 인프라를 구축할 수 있도록 지원합니다. 이 프레임워크는 운영 우수성, 보안, 안정성, 성능 효율성, 비용 최적화, 지속가능성의 6가지 기둥을 기반으로 하며, AWS 고객과 파트너가 아키텍처를 평가하고 시간이 지남에 따라 확장할 수 있는 설계를 구현할 수 있는 일관된 접근 방식을 제공합니다. 워크로드를 잘 설계하면 비즈니스 성공 가능성이 크게 높아진다고 생각합니다.

Well-Architected Framework 보안 원칙에서는 클라우드 기술을 활용하여 보안 태세를 개선할 수 있는 방식으로 데이터, 시스템 및 자산을 보호하는 방법을 설명합니다. 이를 통해 현재 AWS 권장 사항을 준수하여 비즈니스 및 규제 요구 사항을 충족할 수 있습니다. 거버넌스, 서버리스, AI/ML 및 게임과 같은 특정 영역에 대해 더 많은 컨텍스트를 제공하는 Well-Architected Framework 중점 영역이 추가로 있습니다. 이를 AWS Well-Architected 렌즈라고 합니다.

보안 및 규정 준수는 AWS와 고객 간의 공동 책임입니다. 이 공유 모델은 AWS가 호스트 운영 체제 및 가상화 계층부터 서비스가 운영되는 시설의 물리적 보안에 이르기까지 구성 요소를 운영, 관리 및 제어하므로 운영 부담을 줄이는 데 도움이 될 수 있습니다. 예를 들어, 게스트 운영 체제 (업데이트 및 보안 패치 포함), 애플리케이션 소프트웨어, 서버 측 데이터 암호화, 네트워크 트래픽 라우팅 테이블, AWS에서 제공하는 보안 그룹 방화벽의 구성을 책임지고 관리합니다. Amazon Simple Storage Service (Amazon S3) 및 Amazon DynamoDB와 같은 추상 서비스의 경우 AWS는 인프라 계층, 운영 체제 및 플랫폼을 운영하며 사용자는 엔드포인트에 액세스하여 데이터를 저장하고 검색합니다. 사용자는 데이터를 관리하고 (암호화 옵션 포함), 자산을 분류하고, AWS Identity and Access Management (IAM) 도구를 사용하여 적절한 권한을 적용할 책임이 있습니다. 이 공유 모델은 흔히 클라우드의 보안 (즉, AWS 클라우드에서 제공되는 모든 서비스를 실행하는 인프라를 보호하는 것) 에 대한 책임은 AWS에 있고, 클라우드의 보안 (선택한 AWS 클라우드 서비스에 따라 결정) 에 대한 책임은 사용자에게 있다는 말로 설명됩니다.

이러한 기본 문서에서 제공하는 지침에는 AWS SRA의 설계 및 이해와 특히 관련이 있는 두 가지 개념, 즉 보안 기능 및 보안 설계 원칙이 있습니다.

보안 기능

AWS CAF의 보안 관점에서는 데이터 및 클라우드 워크로드의 기밀성, 무결성 및 가용성을 달성하는 데 도움이 되는 9가지 기능을 개괄적으로 설명합니다.

조직의 AWS 환경 전반에서 보안 역할, 책임, 정책, 프로세스 및 절차를 개발하고 전달하는 보안 거버넌스.
보안 및 개인 정보 보호 프로그램의 효과를 모니터링, 평가, 관리 및 개선하기 위한 보안 보증.
ID 및 액세스 관리를 통해 ID 및 권한을 대규모로 관리할 수 있습니다.
잠재적 보안 구성 오류, 위협 또는 예상치 못한 행동을 파악하고 식별하기 위한 위협 탐지.
보안 취약성을 지속적으로 식별, 분류, 해결 및 완화하기 위한 취약성 관리.
인프라 보호를 통해 워크로드 내의 시스템과 서비스가 보호되고 있는지 검증할 수 있습니다.
데이터 보호를 통해 데이터에 대한 가시성과 통제력을 유지하고 조직에서 데이터가 액세스되고 사용되는 방식을 제어할 수 있습니다.
소프트웨어 개발 프로세스 중에 보안 취약성을 탐지하고 해결하는 데 도움이 되는 애플리케이션 보안.
사고 대응을 통해 보안 사고에 효과적으로 대응하여 잠재적 위험을 줄입니다.

보안 설계 원칙

Well-Architected Framework의 보안 원칙은 특정 보안 영역을 워크로드 보안을 강화하는 데 도움이 되는 실용적인 지침으로 전환하는 7가지 설계 원칙을 담고 있습니다. 보안 기능이 전체 보안 전략의 틀을 이루는 경우 이러한 Well-Architected Framework 원칙은 사용자가 시작할 수 있는 작업을 설명합니다. 이러한 내용은 이 AWS SRA에 매우 신중하게 반영되었으며 다음과 같이 구성됩니다.

강력한 ID 기반 구현 — 최소 권한 원칙을 구현하고, AWS 리소스와의 각 상호 작용에 대해 적절한 권한을 부여하여 업무 분리를 적용하십시오. ID 관리를 중앙 집중화하고 장기적인 정적 자격 증명에 대한 의존도를 없애는 것을 목표로 하십시오.
추적성 지원 — 환경에 대한 조치 및 변경 사항을 실시간으로 모니터링, 생성, 감사할 수 있습니다. 로그 및 지표 수집을 시스템과 통합하여 자동으로 조사하고 조치를 취하십시오.
모든 계층에 보안 적용 — 여러 보안 제어가 포함된 defense-in-depth 접근 방식을 적용합니다. 네트워크 에지, 가상 사설 클라우드 (VPC), 로드 밸런싱, 인스턴스 및 컴퓨팅 서비스, 운영 체제, 애플리케이션 구성, 코드를 비롯한 여러 유형의 제어 (예: 예방 및 탐지 제어) 를 모든 계층에 적용합니다.
보안 모범 사례 자동화 — 자동화된 소프트웨어 기반 보안 메커니즘은 보다 빠르고 비용 효율적으로 안전하게 확장할 수 있는 능력을 향상시킵니다. 보안 아키텍처를 만들고 버전 제어 템플릿에서 코드로 정의 및 관리되는 제어를 구현하십시오.
전송 중인 데이터와 저장된 데이터 보호 — 데이터를 민감도 수준으로 분류하고 적절한 경우 암호화, 토큰화, 액세스 제어와 같은 메커니즘을 사용합니다.
사람들이 데이터에 접근하지 못하게 하세요 — 메커니즘과 도구를 사용하여 데이터에 직접 액세스하거나 수동으로 처리해야 하는 필요성을 줄이거나 없애십시오. 이렇게 하면 민감한 데이터를 처리할 때 잘못된 취급 또는 수정과 인적 오류의 위험이 줄어듭니다.
보안 이벤트에 대비 — 조직의 요구 사항에 맞는 사고 관리 및 조사 정책과 프로세스를 마련하여 사고에 대비하십시오. 사고 대응 시뮬레이션을 실행하고 자동화 기능을 갖춘 도구를 사용하여 탐지, 조사 및 복구 속도를 높이십시오.

AWS CAF 및 AWS Well-Architected Framework와 함께 AWS SRA를 사용하는 방법

AWS CAF, AWS Well-Architected Framework 및 AWS SRA는 클라우드 마이그레이션 및 현대화 노력을 지원하기 위해 함께 작동하는 상호 보완적인 프레임워크입니다.

AWS CAF는 AWS 경험과 모범 사례를 활용하여 원하는 비즈니스 성과에 맞게 클라우드 채택의 가치를 조정할 수 있도록 지원합니다. AWS CAF를 사용하여 전환 기회를 식별 및 우선 순위를 지정하고, 클라우드 준비 상태를 평가 및 개선하고, 전환 로드맵을 반복적으로 발전시키십시오.
AWS Well-Architected Framework는 비즈니스 성과를 충족하는 다양한 애플리케이션 및 워크로드를 위한 안전하고 성능이 뛰어나며 복원력이 뛰어나고 효율적인 인프라를 구축하기 위한 AWS 권장 사항을 제공합니다.
AWS SRA는 AWS CAF 및 AWS Well-Architected Framework의 권장 사항에 부합하는 방식으로 보안 서비스를 배포하고 관리하는 방법을 이해하는 데 도움이 됩니다.

예를 들어, AWS CAF 보안 관점에서는 AWS에서 직원 ID와 인증을 중앙에서 관리하는 방법을 평가할 것을 제안합니다. 이 정보를 바탕으로 Okta, Active Directory 또는 Ping Identity와 같은 신규 또는 기존 IdP (기업 ID 공급자) 솔루션을 사용하기로 결정할 수 있습니다. AWS Well-Architected Framework의 지침에 따라 IdP를 AWS IAM ID 센터와 통합하여 직원들에게 그룹 멤버십과 권한을 동기화할 수 있는 싱글 사인온 경험을 제공하기로 결정합니다. AWS 조직의 관리 계정에서 IAM Identity Center를 활성화하고 보안 운영 팀에서 사용하는 보안 도구 계정을 통해 관리하라는 AWS SRA 권장 사항을 검토하십시오. 이 예제는 AWS CAF가 원하는 보안 태세에 대한 초기 결정을 내리는 데 어떻게 도움이 되는지 보여주고, AWS Well-Architected Framework는 해당 목표를 달성하는 데 사용할 수 있는 AWS 서비스를 평가하는 방법에 대한 지침을 제공하며, AWS SRA는 선택한 보안 서비스를 배포하고 관리하는 방법에 대한 권장 사항을 제공합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

AWS SRA의 가치

SRA 구성 요소 — AWS 조직, 계정, 가드레일