기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 보안 기초
<a name="foundations"></a>


|  | 
| --- |
| [간단한 설문](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua) 조사에 참여하여 AWS 보안 참조 아키텍처(AWS SRA)의 미래에 영향을 미칩니다. | 

 AWS SRA는 AWS 클라우드 채택 프레임워크(AWS CAF), AWS ell-Architected, AWS 공동 책임 모델의 세 가지 AWS 보안 기반에 부합합니다.

AWS Professional Services는 기업이 성공적인 클라우드 채택을 위한 가속화된 경로를 설계하고 따를 수 있도록 [AWS CAF](https://aws.amazon.com/professional-services/CAF/)를 만들었습니다. 프레임워크에서 제공하는 지침과 모범 사례는 기업 전체와 IT 수명 주기 전반에 걸쳐 클라우드 컴퓨팅에 대한 포괄적인 접근 방식을 구축하는 데 도움이 됩니다. AWS CAF는 지침을 *관점*이라고 하는 6가지 중점 영역으로 구성합니다. 각 관점에서는 기능적으로 관련된 이해관계자가 소유하거나 관리하는 고유한 책임을 다룹니다. 일반적으로 비즈니스, 사람 및 거버넌스 관점은 비즈니스 역량에 중점을 두는 반면, 플랫폼, 보안 및 운영 관점은 기술 역량에 중점을 둡니다.

[AWS CAF의 보안 관점](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html)은 비즈니스 전반의 제어 선택 및 구현을 구조화하는 데 도움이 됩니다. 보안 원칙의 현재 AWS 권장 사항을 따르면 비즈니스 및 규제 요구 사항을 충족하는 데 도움이 될 수 있습니다.

[AWS Well-Architected](https://aws.amazon.com/architecture/well-architected)는 클라우드 아키텍트가 애플리케이션 및 워크로드를 위한 안전하고 성능이 뛰어나며 복원력이 뛰어나고 효율적인 인프라를 구축하는 데 도움이 됩니다. 프레임워크는 운영 우수성, 보안, 신뢰성, 성능 효율성, 비용 최적화 및 지속 가능성이라는 6가지 원칙을 기반으로 하며 고객과 파트너가 아키텍처를 평가하고 시간이 지남에 따라 확장할 수 있는 설계를 구현할 수 있는 일관된 접근 방식을 AWS 제공합니다. 워크로드를 제대로 설계하면 비즈니스 성공 가능성이 높아집니다.

[Well-Architected Framework 보안 원칙](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)은 보안 태세를 개선할 수 있는 방식으로 데이터, 시스템 및 자산을 보호하는 데 도움이 되는 클라우드 기술을 활용하는 방법을 설명합니다. 이를 통해 현재 AWS 권장 사항에 따라 비즈니스 및 규제 요구 사항을 충족할 수 있습니다. 거버넌스, 서버리스, AI/ML, 게임과 같은 특정 도메인에 더 많은 컨텍스트를 제공하는 Well-Architected Framework 중점 영역이 추가로 있습니다. 이를 AWS Well-Architected 렌즈라고 합니다.

보안 및 규정 준수는 [AWS 와 고객 간의 공동 책임입니다](https://aws.amazon.com/compliance/shared-responsibility-model/). 이 공유 모델은 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안에 이르기까지 구성 요소를 AWS 운영, 관리 및 제어할 때 운영 부담을 줄이는 데 도움이 될 수 있습니다. 예를 들어 게스트 운영 체제(업데이트 및 보안 패치 포함), 애플리케이션 소프트웨어, 서버 측 데이터 암호화, 네트워크 트래픽 라우팅 테이블 및 AWS제공 보안 그룹 방화벽의 구성에 대한 책임과 관리를 맡습니다. Amazon S3 및 Amazon DynamoDB와 같은 추상화된 서비스의 경우 인프라 계층, 운영 체제 및 플랫폼을 AWS 운영하며 엔드포인트에 액세스하여 데이터를 저장하고 검색합니다. 사용자는 데이터(암호화 옵션 포함)를 관리하고, 자산을 분류하고, IAM 도구를 사용하여 적절한 권한을 적용할 책임이 있습니다. 이 공유 모델은 AWS 가 클라우드*의* 보안(즉,에서 제공되는 모든 서비스를 실행하는 인프라 보호 AWS 클라우드)을 책임지고, 사용자가 클라우드*의* 보안(선택한 AWS 클라우드 서비스에 따라 결정됨)을 책임진다고 설명하여 설명되는 경우가 많습니다.

이러한 기본 문서에서 제공하는 지침 내에서 두 가지 개념, 즉 보안 기능 및 보안 설계 원칙은 AWS SRA의 설계 및 이해와 특히 관련이 있습니다.

## 보안 기능
<a name="security-capabilities"></a>

 AWS CAF의 보안 관점은 데이터 및 클라우드 워크로드의 기밀성, 무결성 및 가용성을 달성하는 데 도움이 되는 9가지 기능을 간략하게 설명합니다.
+ 조직 AWS 환경 전반에 걸쳐 보안 역할, 책임, 정책, 프로세스 및 절차를 개발하고 전달하는 보안 *거버넌스*입니다.
+ *보안 및 개인 정보 보호 프로그램의 효과를 모니터링, 평가, 관리 및 개선하기 위한 보안 보증*.
+ *ID 및 액세스 관리를* 통해 ID 및 권한을 대규모로 관리합니다.
+ *위협 탐지*를 통해 잠재적인 보안 구성 오류, 위협 또는 예상치 못한 동작을 이해하고 식별합니다.
+ *취약성 관리를* 통해 보안 취약성을 지속적으로 식별, 분류, 해결 및 완화합니다.
+ 워크로드 내의 시스템 및 서비스가 보호되는지 검증하는 데 도움이 되는 *인프라* 보호.
+ *데이터 보호를* 통해 데이터에 대한 가시성과 제어, 조직에서 데이터에 액세스하고 사용하는 방법을 유지할 수 있습니다.
+ 소프트웨어 개발 프로세스 중에 보안 취약성을 감지하고 해결하는 데 도움이 되는 *애플리케이션* 보안.
+ 보안 *인시던트*에 효과적으로 대응하여 잠재적 피해를 줄이기 위한 인시던트 대응.

## 보안 설계 원칙
<a name="security-principles"></a>

Well-Architected Framework의 [보안 원칙](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)은 특정 보안 영역을 워크로드 보안을 강화하는 데 도움이 되는 실용적인 지침으로 전환하는 7가지 설계 원칙 세트를 캡처합니다. 보안 기능이 전체 보안 전략을 구성하는 경우 이러한 Well-Architected Framework 원칙은 시작할 수 있는 작업을 설명합니다. 이는이 AWS SRA에 매우 의도적으로 반영되며 다음으로 구성됩니다.
+ *강력한 자격 증명 기반 구현* ‒ 최소 권한 원칙을 구현하고 AWS 리소스와의 각 상호 작용에 대해 적절한 권한 부여를 통해 업무 분리를 적용합니다. 자격 증명 관리를 중앙 집중화하고 장기적인 정적 자격 증명에 대한 의존도를 해소하는 것을 목표로 합니다.
+ *추적성 활성화* ‒ 환경에 대한 작업 및 변경 사항을 실시간으로 모니터링, 알림 생성 및 감사합니다. 로그 및 지표 수집을 시스템과 통합하여 자동으로 조사하고 조치를 취합니다.
+ *모든 계층에 보안 적용* ‒ 여러 보안 제어를 통해 defense-in-depth 접근 방식을 적용합니다. 네트워크 엣지, Virtual Private Cloud(VPC), 로드 밸런싱, 인스턴스 및 컴퓨팅 서비스, 운영 체제, 애플리케이션 구성 및 코드를 포함한 여러 유형의 제어(예: 예방 및 탐지 제어)를 모든 계층에 적용합니다.
+ *보안 모범 사례 자동화* - 자동화된 소프트웨어 기반 보안 메커니즘은 보다 빠르고 비용 효율적으로 안전하게 확장할 수 있는 기능을 개선합니다. 보안 아키텍처를 생성하고 버전 제어 템플릿에서 코드로 정의 및 관리되는 제어를 구현합니다.
+ *전송 중 및 저장 데이터 보호* ‒ 데이터를 민감도 수준으로 분류하고 적절한 경우 암호화, 토큰화 및 액세스 제어와 같은 메커니즘을 사용합니다.
+ *데이터에서 사람들을 멀리 하기* ‒ 메커니즘과 도구를 사용하여 데이터에 직접 액세스하거나 수동으로 처리할 필요성을 줄이거나 없앱니다. 이를 통해 민감한 데이터를 처리할 때 잘못된 취급이나 수정 및 수작업으로 인한 오류의 위험을 줄일 수 있습니다.
+ *보안 이벤트 준비 *‒ 조직 요구 사항에 맞는 인시던트 관리 및 조사 정책과 프로세스를 마련하여 인시던트를 준비합니다. 인시던트 대응 시뮬레이션을 실행하고 자동화된 도구를 사용하여 감지, 조사 및 복구 속도를 높입니다.

## AWS CAF 및 AWS Well-Architected Framework와 함께 AWS SRA를 사용하는 방법
<a name="sra-caf-waf"></a>

 AWS CAF, AWS Well-Architected Framework 및 AWS SRA는 클라우드 마이그레이션 및 현대화 작업을 지원하기 위해 함께 작동하는 보완 프레임워크입니다.
+ [AWS CAF](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/welcome.html)는 AWS 경험과 모범 사례를 활용하여 클라우드 채택의 가치를 원하는 비즈니스 성과에 맞게 조정하는 데 도움이 됩니다. AWS CAF를 사용하여 혁신 기회를 식별하고 우선순위를 지정하며, 클라우드 준비 상태를 평가 및 개선하고, 혁신 로드맵을 반복적으로 발전시킵니다.
+ [AWS Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html)는 비즈니스 성과를 충족하는 다양한 애플리케이션 및 워크로드를 위한 안전하고 성능이 뛰어나며 복원력이 뛰어나고 효율적인 인프라를 구축하기 위한 AWS 권장 사항을 제공합니다. 
+ AWS SRA는 AWS CAF 및 AWS Well-Architected Framework의 권장 사항에 맞는 방식으로 보안 서비스를 배포하고 관리하는 방법을 이해하는 데 도움이 됩니다. 

예를 들어 AWS CAF 보안 관점에서는 인력 자격 증명과 인증을 중앙에서 관리하는 방법을 평가하는 것이 좋습니다 AWS. 이 정보를 바탕으로 Okta, Active Directory 또는 Ping Identity와 같은 신규 또는 기존 기업 자격 증명 공급자(IdP) 솔루션을이 용도로 사용하기로 결정할 수 있습니다. AWS Well-Architected Framework의 지침을 따르고 IdP를와 통합하여 직원에게 그룹 멤버십 및 권한을 동기화 AWS IAM Identity Center 할 수 있는 Single Sign-On 환경을 제공하기로 결정합니다. AWS SRA 권장 사항을 검토하여 AWS 조직의 관리 계정에서 IAM Identity Center를 활성화하고 보안 운영 팀이 사용하는 보안 도구 계정을 통해 관리합니다. 이 예제는 AWS CAF가 원하는 보안 태세에 대한 초기 결정을 내리는 데 어떻게 도움이 되는지 보여줍니다. AWS Well-Architected 프레임워크는 해당 목표를 충족하는 데 사용할 수 AWS 서비스 있는를 평가하는 방법에 대한 지침을 제공하며, AWS SRA는 선택한 보안 서비스를 배포하고 관리하는 방법에 대한 권장 사항을 제공합니다.