경계 보안 - AWS 규범적 지침
단일 네트워크 계정에 경계 서비스 배포개별 애플리케이션 계정에 경계 서비스 배포경계 보안 구성을 위한 추가 AWS 서비스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

경계 보안

간단한 설문 조사를 통해 AWS 보안 참조 아키텍처(AWS SRA)의 미래에 영향을 미칩니다.

이 섹션에서는 AWS SRA 지침을 확장하여 AWS에서 보안 경계를 구축하기 위한 권장 사항을 제공합니다. AWS 경계 서비스와 이러한 서비스가 AWS SRA에서 정의한 OU에 어떻게 적용되는지에 대해 자세히 살펴봅니다.

이 지침의 컨텍스트에서 경계는 애플리케이션이 인터넷에 연결되는 경계로 정의합니다. 경계 보안에는 보안 콘텐츠 전송, 애플리케이션 계층 보호, 분산 서비스 거부(DDoS) 완화가 포함됩니다. AWS 경계 서비스에는 Amazon CloudFront, AWS WAF, AWS Shield, Amazon Route 53 및 AWS Global Accelerator가 포함됩니다. 이러한 서비스는 AWS 리소스 및 콘텐츠 전송에 대한 안전하고 지연 시간이 짧은 고성능 액세스를 제공하도록 설계되었습니다. Amazon GuardDuty 및 AWS Firewall Manager와 같은 다른 보안 서비스와 함께 이러한 경계 서비스를 사용하여 애플리케이션을 위한 보안 경계를 구축할 수 있습니다.

경계 보안을 위한 여러 아키텍처 패턴을 사용하여 다양한 조직 요구 사항을 지원할 수 있습니다. 이 섹션에서는 두 가지 일반적인 패턴, 즉 중앙(네트워크) 계정에 경계 서비스를 배포하는 방법과 일부 경계 서비스를 개별 워크로드(애플리케이션) 계정에 배포하는 방법에 중점을 둡니다. 이 섹션에서는 두 아키텍처의 이점과 주요 고려 사항을 다룹니다.

단일 네트워크 계정에 경계 서비스 배포

다음 다이어그램은 기본 AWS SRA를 기반으로 하여 경계 서비스가 네트워크 계정에 배포되는 아키텍처를 보여줍니다.

네트워크 계정에 경계 서비스 배포

경계 서비스를 단일 네트워크 계정에 배포하면 다음과 같은 여러 이점이 있습니다.

  • 이 패턴은 조직 전체의 경계 서비스 관리를 단일 전문 팀으로 제한하려는 규제가 엄격한 산업과 같은 사용 사례를 지원합니다.

  • 네트워킹 구성 요소의 생성, 수정 및 삭제를 제한하는 데 필요한 구성을 단순화합니다.

  • 검사가 한 곳에서 이루어지므로 로그 집계 지점이 줄어들기 때문에 탐지가 단순해집니다.

  • CloudFront 정책 및 엣지 함수와 같은 사용자 지정 모범 사례 리소스를 생성하고 이를 동일한 계정의 여러 배포에 공유할 수 있습니다.

  • 변경 사항이 구현되는 위치를 줄임으로써 콘텐츠 배포 네트워크(CDN) 캐시 설정이나 DNS 레코드와 같이 구성 오류에 민감한 비즈니스 크리티컬 리소스를 간편하게 관리할 수 있습니다.

다음 섹션에서는 각 서비스를 자세히 살펴보고 아키텍처 고려 사항에 대해 설명합니다.

Amazon CloudFront

Amazon CloudFront는 고성능, 보안 및 개발자 편의를 위해 구축된 콘텐츠 배포 네트워크(CDN) 서비스입니다. 퍼블릭 인터넷 연결 HTTP 엔드포인트의 경우 CloudFront를 사용하여 인터넷 연결 콘텐츠를 배포하는 것이 좋습니다. CloudFront는 전 세계 애플리케이션의 단일 진입 지점 역할을 하는 역방향 프록시입니다. 또한 Lambda@Edge 및 CloudFront Functions와 같은 AWS WAF 및 엣지 함수와 결합하여 콘텐츠 전송을 위한 안전하고 사용자 지정 가능한 솔루션을 생성할 수 있습니다.

이 배포 아키텍처에서는 엣지 기능을 포함한 모든 CloudFront 구성을 네트워크 계정에 배포하고 중앙 집중식 네트워킹 팀이 관리합니다. 네트워킹 팀의 승인된 직원만 이 계정에 액세스할 수 있어야 합니다. AWS WAF용 CloudFront 구성 또는 웹 액세스 제어 목록(웹 ACL)을 변경하려는 애플리케이션 팀은 네트워킹 팀에 해당 변경을 요청해야 합니다. 애플리케이션 팀이 구성 변경을 요청할 수 있도록 티켓 시스템과 같은 워크플로를 설정하는 것이 좋습니다.

이 패턴에서는 동적 오리진과 정적 오리진 모두 개별 애플리케이션 계정에 위치하므로 이러한 오리진에 액세스하려면 교차 계정 권한과 교차 계정 역할이 필요합니다. CloudFront 배포의 로그를 로그 아카이브 계정으로 전송하도록 구성합니다.

AWS WAF

AWS WAF는 보호된 웹 애플리케이션 리소스로 포워딩되는 HTTP 및 HTTPS 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽입니다. 이 서비스를 통해 일반적인 웹 익스플로잇 및 볼륨 위협은 물론 계정 생성 사기, 사용자 계정에 대한 무단 액세스, 탐지를 회피하려는 봇과 같은 보다 정교한 위협으로부터 리소스를 보호할 수 있습니다. AWS WAF는 CloudFront 배포, Amazon API Gateway REST API, Application Load Balancer, AWS AppSync GraphQL API, Amazon Cognito 사용자 풀, AWS App Runner 서비스, AWS Verified Access 인스턴스 등의 리소스 유형을 보호하는 데 도움이 될 수 있습니다.

이 배포 아키텍처에서 AWS WAF를 네트워크 계정에 구성된 CloudFront 배포에 연결합니다. CloudFront로 AWS WAF를 구성하면 경계 공간이 애플리케이션 VPC 대신 CloudFront 엣지 로케이션으로 확장됩니다. 이렇게 하면 악성 트래픽 필터링이 해당 트래픽의 소스에 더 가깝게 전달되고 악성 트래픽이 코어 네트워크로 들어오는 것을 제한하는 데 도움이 됩니다.

웹 ACL은 네트워크 계정에 배포되지만, AWS Firewall Manager를 사용하여 웹 ACL을 중앙에서 관리하고 모든 리소스가 규정을 준수하는지 확인하는 것이 좋습니다. 보안 도구 계정을 Firewall Manager의 관리자 계정으로 설정합니다. 자동 문제 해결이 있는 Firewall Manager 정책을 배포하여 계정의 모든(또는 일부) CloudFront 배포에 웹 ACL이 연결되도록 할 수 있습니다.

S3 버킷에 대한 교차 계정 액세스를 구성하여 로그 아카이브 계정의 S3 버킷으로 전체 AWS WAF 로그를 보낼 수 있습니다. 자세한 내용은 이 주제에 대한 AWS re:Post 문서를 참조하세요.

AWS Shield 및 AWS Route 53 상태 확인

AWS Shield Standard와 AWS Shield Advanced는 네트워크 및 전송 계층(계층 3 및 4) 과 애플리케이션 계층(계층 7)에서 AWS 리소스에 대한 분산 서비스 거부(DDoS) 공격으로부터 보호합니다. Shield Standard는 AWS WAF 및 기타 AWS 서비스에 대해 이미 지불한 비용 외에 다른 추가 비용 없이 자동으로 포함됩니다. Shield Advanced는 Amazon EC2 인스턴스, Elastic Load Balancing 로드 밸런서, CloudFront 배포 및 Route 53 호스팅 영역에 대한 확장된 DDoS 이벤트 보호를 제공합니다. 가시성이 높은 웹사이트를 소유하고 있거나 애플리케이션에서 DDoS 이벤트가 자주 발생하는 경우 Shield Advanced가 제공하는 추가 기능을 고려하세요.

이 섹션에서는 Shield Advanced 구성을 중점적으로 다룹니다. Shield Standard는 사용자가 구성할 수 없기 때문입니다.

CloudFront 배포를 보호하도록 Shield Advanced를 구성하려면 Shield Advanced에 네트워크 계정을 구독하세요. 계정에서 Shield Response Team(SRT) 지원을 추가하고 SRT 팀이 DDoS 이벤트 중에 웹 ACL에 액세스하는 데 필요한 권한을 제공하세요. 진행 중인 DDoS 이벤트 중에 언제든지 SRT에 문의하여 애플리케이션에 대한 사용자 지정 완화 기능을 만들고 관리할 수 있습니다. 액세스를 미리 구성하면 이벤트 중에 권한을 관리할 필요 없이 SRT에서 웹 ACL을 유연하게 디버그하고 수정할 수 있습니다.

자동 문제 해결이 있는 Firewall Manager를 사용하여 CloudFront 배포를 보호된 리소스로 추가할 수 있습니다. Application Load Balancer와 같은 다른 인터넷 연결 리소스가 있는 경우 이를 Shield Advanced 보호 리소스로 추가하는 것을 고려할 수 있습니다. 하지만 데이터 흐름에 Shield Advanced로 보호된 리소스가 여러 개 있는 경우(예: Application Load Balancer가 CloudFront의 오리진인 경우), Shield Advanced의 중복 데이터 전송(DTO) 요금을 줄이려면 진입점만 보호된 리소스로 사용하는 것이 좋습니다.

선제적 대응 기능을 활성화하면 SRT가 보호된 리소스를 선제적으로 모니터링하고 필요에 따라 연락할 수 있습니다. 선제적 대응 기능을 효과적으로 구성하려면 애플리케이션에 대한 Route 53 상태 확인을 생성하고 이를 CloudFront 배포와 연결하세요. Shield Advanced는 이벤트를 평가할 때 상태 확인을 추가 데이터 포인트로 사용합니다. 탐지 시 오탐지를 줄이려면 상태 확인을 적절하게 정의해야 합니다. 상태 확인의 올바른 지표를 식별하는 방법에 대한 자세한 내용은 AWS 설명서에서 Shield Advanced에서 상태 확인 사용 모범 사례를 참조하세요. DDoS 시도가 탐지되면 SRT에 문의하여 지원 계획에 사용할 수 있는 가장 높은 심각도를 선택할 수 있습니다.

AWS Certificate Manager 및 AWS Route 53

AWS Certificate Manager(ACM)은 퍼블릭 및 프라이빗 SSL/TLS X.509 인증서를 프로비저닝, 관리, 갱신하는 데 도움이 됩니다. ACM을 사용하여 인증서를 관리하는 경우 강력한 암호화 및 키 관리 모범 사례를 사용하여 인증서 프라이빗 키를 안전하게 보호하고 저장합니다.

ACM은 CloudFront 배포의 공용 TLS 인증서를 생성하기 위해 네트워크 계정에 배포합니다. 최종 사용자와 CloudFront 간에 HTTPS 연결을 설정하려면 TLS 인증서가 필요합니다. 자세한 내용은 CloudFront 설명서를 참조하세요. ACM은 도메인 소유권을 검증하기 위한 DNS 또는 이메일 유효성 검사를 제공합니다. Route 53 사용하여 퍼블릭 DNS 레코드를 관리하면 ACM을 통해 레코드를 직접 업데이트할 수 있으므로 이메일 유효성 검사 대신 DNS 유효성 검사를 사용하는 것이 좋습니다. ACM은 인증서를 아직 사용 중이고 DNS 레코드가 존재하는 한 DNS에서 확인한 인증서를 자동으로 갱신합니다.

CloudFront 액세스 로그 및 AWS WAF 로그

기본적으로 CloudFront 액세스 로그를 네트워크 계정에 저장하며, AWS WAF 로그를 Firewall Manager 로깅 옵션을 사용하여 보안 도구 계정에 집계합니다. 중앙 보안 팀이 모니터링 목적으로 액세스할 수 있도록 Log Archive 계정에 이러한 로그를 복제하는 것이 좋습니다.

설계 고려 사항

  • 이 아키텍처에서는 단일 네트워킹 팀에 대한 종속성이 많으면 변경 작업을 신속하게 수행하는 데 영향을 미칠 수 있습니다.

  • 각 계정의 서비스 할당량을 모니터링하세요. 서비스 할당량(제한이라고도 함)은 AWS 계정의 최대 서비스 리소스 또는 작업 수입니다. 자세한 내용은 AWS 설명서의 AWS 서비스 할당량을 참조하세요.

  • 워크로드 팀에 특정 메트릭을 제공하면 복잡성이 발생할 수 있습니다.

  • 애플리케이션 팀은 구성에 대한 액세스가 제한되어 있어 네트워킹 팀이 대신 변경 사항을 구현하기를 기다리는 오버헤드가 발생할 수 있습니다.

  • 단일 계정에서 리소스를 공유하는 팀은 동일한 리소스와 예산을 놓고 경쟁할 수 있으며, 이로 인해 리소스 할당 문제가 발생할 수 있습니다. 네트워킹 계정에 배포된 경계 서비스를 사용하는 애플리케이션 팀에 비용을 청구할 수 있는 메커니즘을 마련하는 것이 좋습니다.

개별 애플리케이션 계정에 경계 서비스 배포

다음 다이어그램은 경계 서비스가 개별 애플리케이션 계정에서 독립적으로 배포하고 관리하는 아키텍처 패턴을 보여줍니다.

개별 애플리케이션 계정에 경계 서비스 배포

경계 서비스를 애플리케이션 계정에 배포하면 다음과 같은 여러 가지 이점이 있습니다.

  • 이 설계는 개별 워크로드 계정이 필요에 따라 서비스 구성을 사용자 지정할 수 있는 자율성을 제공합니다. 이 접근 방식을 사용하면 공유 계정의 리소스에 대한 변경 사항을 구현하는 전문 팀에 의존하지 않고 각 팀의 개발자가 구성을 독립적으로 관리할 수 있습니다.

  • 계정마다 자체 서비스 할당량이 있어 애플리케이션 소유자가 공유 계정의 할당량 내에서 작업할 필요가 없습니다.

  • 이 설계는 악의적인 활동을 특정 계정으로 제한하고 공격이 다른 워크로드로 확산되는 것을 방지함으로써 악의적인 활동의 영향을 억제하는 데 도움이 됩니다.

  • 영향의 범위가 해당 워크로드로만 제한되기 때문에 변경의 위험을 제거합니다. 또한 IAM을 사용하여 변경 사항을 구현할 수 있는 팀을 제한하여 워크로드 팀과 중앙 네트워킹 팀을 논리적으로 구분할 수 있습니다.

  • 네트워크 수신 및 송신 구현을 분산하면서 AWS Firewall Manager와 같은 서비스를 사용하여 공통된 논리적 제어를 보유함으로써 최소 제어 목표 표준을 계속 충족하면서 네트워크 제어를 특정 워크로드에 맞게 조정할 수 있습니다.

다음 섹션에서는 각 서비스를 자세히 살펴보고 아키텍처 고려 사항에 대해 설명합니다.

Amazon CloudFront

이 배포 아키텍처에서는 엣지 기능을 포함한 Amazon CloudFront 구성을 개별 애플리케이션 계정에서 관리 및 배포합니다. 이를 통해 각 애플리케이션 소유자와 워크로드 계정이 애플리케이션 요구 사항에 따라 경계 서비스를 자율적으로 구성할 수 있음을 확인할 수 있습니다.

동적 오리진과 정적 오리진은 동일한 애플리케이션 계정에 있으며, CloudFront 배포는 계정 수준에서 이러한 오리진에 액세스할 수 있습니다. CloudFront 배포의 로그를 각 애플리케이션 계정에 로컬로 저장합니다. 로그를 로그 아카이브 계정에 복제하여 규정 준수 및 규제 요구 사항을 지원할 수 있습니다.

AWS WAF

이 배포 아키텍처에서 AWS WAF를 애플리케이션 계정에 구성된 CloudFront 배포에 연결합니다. 이전 패턴과 마찬가지로 AWS Firewall Manager를 사용하여 웹 ACL을 중앙에서 관리하고 모든 리소스가 규정을 준수하는지 확인하는 것이 좋습니다. AWS 관리형 핵심 규칙 세트나 Amazon IP 평판 목록과 같은 일반적인 AWS WAF 규칙을 기본값으로 추가해야 합니다. 이러한 규칙은 애플리케이션 계정의 모든 적격 리소스에 자동으로 적용됩니다.

Firewall Manager에서 적용하는 규칙 외에도 각 애플리케이션 소유자는 애플리케이션 보안과 관련된 AWS WAF 규칙을 웹 ACL에 추가할 수 있습니다. 이를 통해 보안 도구 계정의 전반적인 제어를 유지하면서 각 애플리케이션 계정의 유연성을 확보할 수 있습니다.

Firewall Manager 로깅 옵션을 사용하여 로그를 중앙 집중화하고 보안 도구 계정의 S3 버킷으로 보낼 수 있습니다. 각 애플리케이션 팀에 해당 애플리케이션의 AWS WAF 대시보드를 검토할 수 있는 액세스 권한을 제공합니다. Amazon QuickSight와 같은 서비스를 사용하여 대시보드를 설정할 수 있습니다. 오탐지를 확인하거나 AWS WAF 규칙에 대한 기타 업데이트가 필요한 경우 Firewall Manager에서 배포하는 웹 ACL에 애플리케이션 수준의 AWS WAF 규칙을 추가할 수 있습니다. 로그를 로그 아카이브 계정에 복제하고 보안 조사를 위해 보관합니다.

AWS Global Accelerator

AWS Global Accelerator를 사용하면 액셀러레이터를 생성하여 로컬 및 글로벌 사용자를 위한 애플리케이션 성능을 개선할 수 있습니다. Global Accelerator는 하나 이상의 AWS 리전에 호스팅된 애플리케이션에 대한 고정 진입점 역할을 하는 고정 IP 주소를 제공합니다. 이러한 주소를 Application Load Balancers, Network Load Balancers, EC2 인스턴스, Elastic IP 주소와 같은 리전 AWS 리소스 또는 엔드포인트와 연결할 수 있습니다. 이를 통해 트래픽이 사용자와 최대한 가까운 AWS 글로벌 네트워크로 유입될 수 있습니다.

Global Accelerator는 현재 교차 계정 오리진을 지원하지 않습니다. 따라서 오리진 엔드포인트와 동일한 계정에 배포됩니다. 각 애플리케이션 계정에 액셀러레이터를 배포하고 동일한 계정에서 AWS Shield Advanced의 보호된 리소스로 추가합니다. Shield Advanced 완화 기능을 사용하면 유효한 트래픽만 Global Accelerator 리스너 엔드포인트에 도달할 수 있습니다.

AWS Shield Advanced 및 AWS Route 53 상태 확인

CloudFront 배포를 보호할 수 있도록 AWS Shield Advanced를 구성하려면 각 애플리케이션 계정으로 Shield Advanced를 구독해야 합니다. 계정 수준에서 Shield 대응팀(SRT)에 대한 액세스 및 선제적 대응와 같은 기능은 리소스와 동일한 계정에서 구성해야 합니다. 자동 문제 해결이 있는 Firewall Manager를 사용하여 CloudFront 배포를 보호된 리소스로 추가하고 각 계정에 정책을 적용할 수 있습니다. 각 CloudFront 배포에 대한 Route 53 상태 확인을 동일한 계정에 배포하고 리소스에 연결해야 합니다.

Amazon Route 53 영역 및 ACM

Amazon CloudFront와 같은 서비스를 사용하는 경우 사용자 지정 하위 도메인을 생성하고 Amazon Certificate Manager(ACM)에서 발급한 인증서 또는 타사 인증서를 적용하려면 애플리케이션 계정에 루트 도메인을 호스팅하는 계정에 대한 액세스 권한이 필요합니다. Amazon Route 53 영역 위임을 사용하여 중앙 공유 서비스 계정의 퍼블릭 도메인을 개별 애플리케이션 계정에 위임할 수 있습니다. 영역 위임을 통해 각 계정은 API 또는 정적 하위 도메인과 같은 애플리케이션별 하위 도메인을 생성하고 관리할 수 있습니다. 각 계정의 ACM을 통해 각 애플리케이션 계정은 필요에 따라 인증서 검증 및 확인 프로세스(조직 검증, 확장 검증 또는 도메인 검증)를 관리할 수 있습니다.

CloudFront 액세스 로그, Global Accelerator 흐름 로그, AWS WAF 로그

이 패턴에서는 개별 애플리케이션 계정의 S3 버킷에 CloudFront 액세스 로그와 Global Accelerator 흐름 로그를 구성합니다. 성능 튜닝 또는 오탐지 감소를 위해 로그를 분석하려는 개발자는 중앙 로그 아카이브에 액세스를 요청하지 않고도 이러한 로그에 직접 액세스할 수 있습니다. 로컬에 저장된 로그는 데이터 레지던시 또는 PII 난독화와 같은 지역 규정 준수 요구 사항을 지원할 수도 있습니다.

전체 AWS WAF 로그를 Firewall Manager 로깅을 사용하여 로그 아카이브 계정의 S3 버킷에 저장합니다. 애플리케이션 팀은 Amazon QuickSight와 같은 서비스를 사용하여 설정된 대시보드를 사용하여 로그를 볼 수 있습니다. 또한 각 애플리케이션 팀은 빠른 디버깅을 위해 자체 계정에서 샘플링된 AWS WAF 로그에 액세스할 수 있습니다.

Log Archive 계정에 있는 중앙 집중식 데이터 레이크에 로그를 복제하는 것이 좋습니다. 중앙 집중식 데이터 레이크에 로그를 집계하면 AWS WAF 리소스 및 배포로 향하는 모든 트래픽을 포괄적으로 볼 수 있습니다. 이를 통해 보안팀은 글로벌 보안 위협 패턴을 중앙에서 분석하고 이에 대응할 수 있습니다.

설계 고려 사항

  • 이 패턴은 네트워크 및 보안 관리 책임을 계정 소유자와 개발자에게 전가하므로 개발 프로세스에 오버헤드가 가중될 수 있습니다.

  • 의사 결정에 불일치가 있을 수 있습니다. 서비스가 올바르게 구성되고 보안 권장 사항을 준수할 수 있도록 효과적인 커뮤니케이션, 템플릿 및 교육을 수립해야 합니다.

  • 자동화에 의존하고 있으며 애플리케이션별 제어와 결합된 기본 보안 제어에 대한 명확한 기대치가 있습니다.

  • Firewall Manager 및 AWS Config와 같은 서비스를 사용하여 배포된 아키텍처가 보안 모범 사례를 준수하는지 확인하세요. 또한 구성 오류을 탐지하도록 AWS CloudTrail 모니터링을 구성하세요.

  • 분석을 위해 로그와 지표를 중앙에서 집계하면 복잡성이 발생할 수 있습니다.

경계 보안 구성을 위한 추가 AWS 서비스

동적 오리진: Application Load Balancer

동적 콘텐츠 전송을 위해 Application Load Balancer 오리진을 사용하도록 Amazon CloudFront를 구성할 수 있습니다. 이 설정을 사용하면 요청 경로, 호스트 이름 또는 쿼리 문자열 파라미터와 같은 다양한 요소를 기반으로 요청을 다른 Application Load Balancer 오리진으로 라우팅할 수 있습니다.

Application Load Balancer 오리진을 애플리케이션 계정에 배포합니다. CloudFront 배포가 네트워크 계정에 있는 경우, CloudFront 배포가 Application Load Balancer 오리진에 액세스하려면 교차 계정 권한을 설정해야 합니다. Application Load Balancer의 로그를 로그 아카이브 계정으로 전송합니다.

사용자가 Application Load Balancer에 직접 액세스할 수 없고 CloudFront를 통하지 않고도 액세스할 수 있도록 도우려면 간단한 다음 단계를 완료합니다.

  • Application Load Balancer로 보내는 요청에 사용자 지정 HTTP 헤더를 추가하도록 CloudFront를 구성하고 이 사용자 지정 HTTP 헤더를 포함한 요청만 전달하도록 Application Load Balancer를 구성할 수 있습니다.

  • Application Load Balancer 보안 그룹의 CloudFront용 AWS 관리형 접두사 목록을 사용하세요. CloudFront의 오리진 대상 서버에 속한 IP 주소에서만 Application Load Balancer으로 향하는 인바운드 HTTP/HTTPS 트래픽을 제한합니다.

자세한 내용은 CloudFront 설명서의 Application Load Balancer에 액세스 제한을 참조하세요.

정적 오리진: Amazon S3 및 AWS Elemental MediaStore

정적 콘텐츠 전송을 위해 Amazon S3 또는 AWS Elemental MediaStore 오리진을 사용하도록 CloudFront를 구성할 수 있습니다. 이러한 오리진은 애플리케이션 계정에 배포됩니다. 네트워크 계정에 CloudFront 배포가 있는 경우, 오리진에 액세스하려면 네트워크 계정에서 CloudFront 배포에 대한 교차 계정 권한을 설정해야 합니다.

정적 오리진 엔드포인트가 퍼블릭 인터넷을 통해 직접 액세스되지 않고 CloudFront를 통해서만 액세스되는지 확인하려면 원본 액세스 제어(OAC) 구성을 사용할 수 있습니다. 액세스 제한에 대한 자세한 내용을 알아보려면 CloudFront 설명서의 Amazon S3 오리진에 대한 액세스 제한MediaStore 오리진에 대한 액세스 제한을 참조하세요.

AWS Firewall Manager

AWS Firewall Manager는 다양한 보호를 위해 AWS WAF, AWS Shield Advanced, Amazon VPC 보안 그룹, AWS Network Firewall, Amazon Route 53 Resolver DNS 방화벽을 비롯한 여러 계정과 리소스에서 관리 및 유지 관리 작업을 간소화합니다.

보안 도구 계정을 Firewall Manager 기본 관리자 계정으로 위임하고 이를 사용하여 조직 계정 전체의 AWS WAF 규칙 및 Shield Advanced 보호를 중앙에서 관리할 수 있습니다. Firewall Manager를 사용하면 일반적인 AWS WAF 규칙을 중앙에서 관리하는 동시에 각 애플리케이션 팀에 애플리케이션별 규칙을 웹 ACL에 추가할 수 있는 유연성을 제공합니다. 이를 통해 애플리케이션 팀은 애플리케이션별 AWS WAF 규칙을 추가할 수 있게 되는 동시에 일반적인 취약성에 대한 보호와 같은 조직 전반의 보안 정책을 적용할 수 있습니다.

Firewall Manager 로깅을 사용하면 AWS WAF 로그를 보안 도구 계정의 S3 버킷으로 중앙 집중화하고 로그를 로그 아카이브 계정에 복제하여 보안 조사를 위해 보관할 수 있습니다. 또한 Firewall Manager를 AWS Security Hub와 통합하여 Security Hub의 구성 세부 정보와 DDoS 알림을 중앙에서 시각화할 수 있습니다.

추가 권장 사항은 이 안내서의 보안 도구 계정 섹션에서 AWS Firewall Manager를 참조하세요.

AWS Security Hub

방화벽 관리자와 Security Hub 간의 통합으로 다음과 같은 네 가지 유형의 결과를 Security Hub에 전송합니다.

  • AWS WAF 규칙으로 적절하게 보호되지 않는 리소스

  • AWS Shield Advanced에서 제대로 보호되지 않는 리소스

  • DDoS 공격이 진행 중임을 나타내는 Shield Advanced의 결과

  • 잘못 사용되고 있는 보안 그룹

모든 조직 구성원 계정에서 얻은 이러한 결과는 Security Hub 위임 관리자(보안 도구) 계정에 집계됩니다. 보안 도구 계정은 보안 알림 또는 결과를 한 곳에서 집계 및 구성하고 우선순위를 지정합니다. Amazon CloudWatch Events 규칙을 사용하여 결과를 티켓팅 시스템으로 전송하거나 악의적인 IP 범위 차단과 같은 자동 문제 해결을 만들 수 있습니다.

추가 권장 사항은 이 안내서의 보안 도구 계정 섹션에서 AWS Security Hub를 참조하세요.

Amazon GuardDuty

Amazon GuardDuty에서 제공하는 위협 인텔리전스를 사용하여 GuardDuty 결과에 대한 응답으로 웹 ACL을 자동으로 업데이트할 수 있습니다. 예를 들어 GuardDuty가 의심스러운 활동을 탐지하면 자동화를 사용하여 AWS WAF IP 세트의 항목을 업데이트하고 AWS WAF 웹 ACL을 영향을 받는 리소스에 적용하여 추가 조사 및 문제 해결을 수행하는 동안 의심스러운 호스트로부터의 통신을 차단할 수 있습니다. 보안 도구 계정은 GuardDuty의 위임된 관리자 계정입니다. 따라서 교차 계정 권한이 있는 AWS Lambda 함수를 사용하여 애플리케이션 계정의 AWS WAF IP 세트를 업데이트해야 합니다.

추가 권장 사항은 이 가이드의 보안 도구 계정 섹션에서 Amazon GuardDuty를 참조하세요.

Config

AWS Config는 Firewall Manager의 전제 조건이며 네트워크 계정 및 애플리케이션 계정을 포함한 AWS 계정에 배포됩니다. 또한 AWS Config 규칙을 사용하여 배포된 리소스가 보안 모범 사례를 준수하는지 확인하세요. 예를 들어, AWS Config 규칙을 사용하여 모든 CloudFront 배포가 웹 ACL과 연결되어 있는지 확인하거나, 액세스 로그를 S3 버킷으로 전송하도록 모든 CloudFront 배포를 구성하도록 강제할 수 있습니다.

일반적인 권장 사항은 이 안내서의 보안 도구 계정 섹션에서 AWS Config를 참조하세요.