보안 기초 - AWS 규범적 지침
보안 기능보안 설계 원칙AWS SRA를 AWS CAF 및 AWS Well-Architected Framework와 함께 사용하는 방법

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 기초

간단한 설문조사를 통해 AWS 보안 참조 아키텍처(AWS SRA)의 미래에 영향을 미칩니다.

AWS Security Reference Architecture는 AWS Cloud Adoption Framework(AWS CAF), AWS Well-Architected Framework 및 Word Shared Responsibility Model이라는 세 가지 AWS AWS 보안 기반에 맞게 조정됩니다.

AWS Professional Services는 기업이 성공적인 클라우드 채택을 위한 가속화된 경로를 설계하고 따를 수 있도록 AWS CAF를 만들었습니다. 프레임워크에서 제공하는 지침과 모범 사례를 통해 엔터프라이즈 전체와 IT 수명 주기 전반에 걸쳐 클라우드 컴퓨팅에 대한 포괄적인 접근 방식을 구축할 수 있습니다. AWS CAF는 지침을 관점이라는 6가지 중점 영역으로 구성합니다. 각 관점은 기능적으로 관련된 이해관계자가 소유하거나 관리하는 고유한 책임을 다룹니다. 일반적으로 비즈니스, 사람 및 거버넌스 관점은 비즈니스 역량에 초점을 맞추는 반면 플랫폼, 보안 및 운영 관점은 기술 역량에 초점을 맞춥니다.

  • CAFAWS Word의 보안 관점은 비즈니스 전반의 제어 선택 및 구현을 구조화하는 데 도움이 됩니다. 보안 원칙의 최신 AWS 권장 사항을 따르면 비즈니스 및 규제 요구 사항을 충족하는 데 도움이 될 수 있습니다. 

AWS Well-Architected Framework는 클라우드 아키텍트가 애플리케이션 및 워크로드를 위한 안전하고 성능이 뛰어나며 복원력이 뛰어나고 효율적인 인프라를 구축하는 데 도움이 됩니다. 프레임워크는 운영 우수성, 보안, 신뢰성, 성능 효율성, 비용 최적화 및 지속 가능성이라는 6가지 원칙을 기반으로 하며 AWS 고객과 파트너가 아키텍처를 평가하고 시간이 지남에 따라 확장할 수 있는 설계를 구현할 수 있는 일관된 접근 방식을 제공합니다. 워크로드를 제대로 설계하면 비즈니스 성공 가능성이 높아집니다.

  • Well-Architected Framework 보안 원칙은 클라우드 기술을 활용하여 보안 태세를 개선할 수 있는 방식으로 데이터, 시스템 및 자산을 보호하는 방법을 설명합니다. 이렇게 하면 최신 AWS 권장 사항에 따라 비즈니스 및 규제 요구 사항을 충족하는 데 도움이 됩니다. 거버넌스, 서버리스, AI/ML, 게임과 같은 특정 도메인에 대해 더 많은 컨텍스트를 제공하는 Well-Architected Framework 중점 영역이 추가로 있습니다. 이를 AWS Well-Architected 렌즈라고 합니다. 

보안 및 규정 준수는 AWS와 고객 간의 공동 책임입니다. 이 공유 모델은 AWS가 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안까지 구성 요소를 운영, 관리 및 제어할 때 운영 부담을 완화하는 데 도움이 될 수 있습니다. 예를 들어 게스트 운영 체제(업데이트 및 보안 패치 포함), 애플리케이션 소프트웨어, 서버 측 데이터 암호화, 네트워크 트래픽 라우팅 테이블 및 AWS 제공 보안 그룹 방화벽의 구성에 대한 책임과 관리를 맡습니다. Amazon Simple Storage Service(Amazon S3) 및 Amazon DynamoDB와 같은 추상화된 서비스의 경우 AWS는 인프라 계층, 운영 체제 및 플랫폼을 작동하며 엔드포인트에 액세스하여 데이터를 저장하고 검색합니다. 사용자는 데이터(암호화 옵션 포함)를 관리하고, 자산을 분류하고, AWS Identity and Access Management(IAM) 도구를 사용하여 적절한 권한을 적용할 책임이 있습니다. 이 공유 모델은 종종 AWS가 클라우드 보안(즉, AWS Cloud에서 제공되는 모든 서비스를 실행하는 인프라 보호)을 책임지고, 클라우드 보안(선택한 AWS Cloud 서비스에 따라 결정됨)을 책임진다고 설명하여 설명됩니다. 

이러한 기본 문서에서 제공하는 지침 내에서 두 가지 개념 세트는 AWS SRA의 설계 및 이해와 특히 관련이 있습니다. 바로 보안 기능 및 보안 설계 원칙입니다.

보안 기능

AWS CAF의 보안 관점에서는 데이터 및 클라우드 워크로드의 기밀성, 무결성 및 가용성을 달성하는 데 도움이 되는 9가지 기능을 간략하게 설명합니다.

  • 조직의 AWS 환경 전체에서 보안 역할, 책임, 정책, 프로세스 및 절차를 개발하고 전달하는 보안 거버넌스입니다.

  • 보안 및 개인정보 보호 프로그램의 효과를 모니터링, 평가, 관리 및 개선하기 위한 보안 보장.

  • 대규모 자격 증명 및 권한을 관리하기 위한 자격 증명 및 액세스 관리.

  • 위협 탐지를 통해 잠재적인 보안 구성 오류, 위협 또는 예상치 못한 행동을 이해하고 식별합니다.

  • 취약성 관리를 통해 보안 취약성을 지속적으로 식별, 분류, 해결 및 완화합니다.

  • 워크로드 내의 시스템 및 서비스가 보호되는지 검증하는 데 도움이 되는 인프라 보호.

  • 데이터 보호 - 데이터에 대한 가시성과 제어, 조직에서 데이터에 액세스하고 사용하는 방법을 유지합니다.

  • 소프트웨어 개발 프로세스 중에 보안 취약성을 감지하고 해결하는 데 도움이 되는 애플리케이션 보안입니다.

  • 보안 인시던트에 효과적으로 대응하여 잠재적 피해를 줄이기 위한 인시던트 대응.

보안 설계 원칙

Well-Architected Framework의 보안 원칙은 특정 보안 영역을 워크로드 보안을 강화하는 데 도움이 되는 실용적인 지침으로 전환하는 7가지 설계 원칙 세트를 캡처합니다. 보안 기능이 전반적인 보안 전략을 구성하는 경우 이러한 Well-Architected Framework 원칙은 시작할 수 있는 작업을 설명합니다. 이러한 내용은이 SRA AWS에 매우 의도적으로 반영되며 다음으로 구성됩니다.

  • 강력한 자격 증명 기반 구현 - 최소 권한 원칙을 구현하고 AWS 리소스와의 각 상호 작용에 대해 적절한 권한 부여를 통해 직무 분리를 적용합니다. 자격 증명 관리를 중앙 집중화하고 장기적인 정적 자격 증명에 대한 의존도를 해소하는 것을 목표로 합니다.

  • 추적성 활성화 - 실시간으로 환경의 작업 및 변경 사항을 모니터링, 알림 생성 및 감사할 수 있습니다. 로그 및 지표 수집을 시스템과 통합하여 자동으로 조사하고 조치를 취합니다.

  • 모든 계층에 보안 적용 - 여러 보안 제어를 사용하여 a defense-in-depth 접근 방식을 적용합니다. 네트워크 엣지, 가상 프라이빗 클라우드(VPC), 로드 밸런싱, 인스턴스 및 컴퓨팅 서비스, 운영 체제, 애플리케이션 구성 및 코드를 포함하여 여러 유형의 제어(예: 예방 및 탐지 제어)를 모든 계층에 적용합니다.

  • 보안 모범 사례 자동화 - 자동화된 소프트웨어 기반 보안 메커니즘을 통해 더 빠르고 비용 효율적으로 안전하게 확장할 수 있습니다. 보안 아키텍처를 생성하고 버전 제어 템플릿에서 코드로 정의 및 관리되는 제어를 구현합니다.

  • 전송 중 및 저장 데이터 보호 - 데이터를 민감도 수준으로 분류하고 적절한 경우 암호화, 토큰화 및 액세스 제어와 같은 메커니즘을 사용합니다.

  • 데이터로부터 사람들을 보호 - 메커니즘과 도구를 사용하여 데이터에 직접 액세스하거나 수동으로 처리할 필요성을 줄이거나 없앱니다. 이를 통해 민감한 데이터를 처리할 때 잘못된 취급이나 수정 및 수작업으로 인한 오류의 위험을 줄일 수 있습니다.

  • 보안 이벤트 준비 - 조직의 요구 사항에 맞는 인시던트 관리 및 조사 정책 및 프로세스를 마련하여 인시던트를 준비합니다. 인시던트 대응 시뮬레이션을 실행하고 자동화된 도구를 사용하여 감지, 조사 및 복구 속도를 높입니다.

AWS SRA를 AWS CAF 및 AWS Well-Architected Framework와 함께 사용하는 방법

AWS CAF, AWS Well-Architected Framework 및 AWS SRA는 클라우드 마이그레이션 및 현대화 노력을 지원하기 위해 함께 작동하는 보완 프레임워크입니다.

  • AWS CAF는 AWS 경험과 모범 사례를 활용하여 원하는 비즈니스 성과에 맞게 클라우드 채택의 가치를 조정하는 데 도움이 됩니다. AWS CAF를 사용하여 혁신 기회를 식별하고 우선순위를 지정하며, 클라우드 준비 상태를 평가 및 개선하고, 혁신 로드맵을 반복적으로 발전시킵니다.

  • AWS Well-Architected Framework는 비즈니스 성과를 충족하는 다양한 애플리케이션 및 워크로드를 위한 안전하고 성능이 뛰어나며 복원력이 뛰어나고 효율적인 인프라를 구축하기 위한 AWS 권장 사항을 제공합니다.

  • AWS SRA는 Word Word 및 CAF AWS AWS Well-Architected Framework의 권장 사항에 맞는 방식으로 보안 서비스를 배포하고 관리하는 방법을 이해하는 데 도움이 됩니다.

예를 들어 AWS CAF 보안 관점에서는 AWS에서 인력 자격 증명과 인증을 중앙에서 관리하는 방법을 평가하는 것이 좋습니다. 이 정보를 바탕으로 Okta, Active Directory 또는 Ping Identity와 같은 새로운 또는 기존 기업 자격 증명 공급자(IdP) 솔루션을이 용도로 사용하기로 결정할 수 있습니다. AWS Well-Architected Framework의 지침을 따르고 IdP를 AWS IAM Identity Center와 통합하여 직원에게 그룹 멤버십 및 권한을 동기화할 수 있는 Single Sign-On 환경을 제공하기로 결정합니다. SRA AWS 권장 사항을 검토하여 IAM 조직의 관리 계정에서 AWS Identity Center를 활성화하고 보안 운영 팀이 사용하는 보안 도구 계정을 통해 관리합니다. 이 예제에서는 AWS CAF가 원하는 보안 태세에 대한 초기 결정을 내리는 데 어떻게 도움이 되는지 보여줍니다. AWS Well-Architected Framework는 해당 목표를 충족하는 데 사용할 수 있는 AWS 서비스를 평가하는 방법에 대한 지침을 제공하며 AWS SRA는 선택한 보안 서비스를 배포하고 관리하는 방법에 대한 권장 사항을 제공합니다.