보안 아키텍처 구축 — 단계별 접근 방식 - AWS 규범적 지침
1단계: OU 및 계정 구조 구축2단계: 강력한 ID 기반 구현3단계: 추적성 유지4단계: 모든 계층에 보안 적용5단계: 전송 중인 데이터와 저장된 데이터 보호6단계: 보안 이벤트에 대비

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 아키텍처 구축 — 단계별 접근 방식

간단한 설문조사를 통해 AWS 보안 참조 아키텍처 (AWSSRA) 의 미래에 영향을 미치세요.

AWS SRA에서 권장하는 다중 계정 보안 아키텍처는 설계 프로세스 초기에 보안을 도입하는 데 도움이 되는 기본 아키텍처입니다. 각 조직의 클라우드 여정은 저마다 다릅니다. 클라우드 보안 아키텍처를 성공적으로 발전시키려면 원하는 목표 상태를 구상하고, 현재 클라우드 준비 상태를 이해하고, 격차를 좁힐 수 있는 민첩한 접근 방식을 채택해야 합니다. AWS SRA는 보안 아키텍처의 참조 대상 상태를 제공합니다. 점진적으로 변환하면 광범위한 예측의 필요성을 최소화하면서 가치를 빠르게 입증할 수 있습니다.

AWS 클라우드 채택 프레임워크 (AWS CAF)구상, 조정, 시작 및 확장이라는 4가지 반복적이고 점진적인 클라우드 전환 단계를 권장합니다. 출시 단계로 들어가서 프로덕션 환경에서 파일럿 이니셔티브를 제공하는 데 집중하려면 규모 조정 단계의 기반이 되는 강력한 보안 아키텍처를 구축하는 데 집중해야 합니다. 그래야 대부분의 비즈니스 크리티컬한 워크로드를 자신 있게 마이그레이션하고 운영할 수 있는 기술적 역량을 확보할 수 있습니다. 이 단계별 접근 방식은 신생 기업, 사업을 확장하려는 중소기업, 새로운 사업부를 인수하거나 인수 합병을 진행 중인 기업에 적용할 수 있습니다. AWS SRA는 이러한 보안 기준 아키텍처를 달성하도록 지원하므로 AWS Organizations에서 확장되는 조직 전체에 보안 제어를 균일하게 적용할 수 있습니다. 기본 아키텍처는 여러 AWS 계정 및 서비스로 구성됩니다. 계획 및 구현은 다단계 프로세스여야 합니다. 그래야 작은 마일스톤을 반복하여 기본 보안 아키텍처를 설정하는 더 큰 목표를 달성할 수 있습니다. 이 섹션에서는 구조화된 접근 방식을 기반으로 클라우드 여정의 일반적인 단계를 설명합니다. 이러한 단계는 AWS Well-Architected Framework 보안 설계 원칙에 부합합니다.

1단계: OU 및 계정 구조 구축

강력한 보안 기반을 구축하기 위한 전제 조건은 잘 설계된 AWS 조직 및 계정 구조입니다. 이 가이드의 SRA 구성 요소 섹션에서 앞서 설명했듯이, 여러 AWS 계정을 보유하면 설계에 따라 다양한 비즈니스 및 보안 기능을 분리하는 데 도움이 됩니다. 처음에는 불필요한 작업처럼 보일 수 있지만 빠르고 안전하게 확장할 수 있도록 지원하기 위한 투자입니다. 또한 이 섹션에서는 AWS Organizations를 사용하여 여러 AWS 계정을 관리하는 방법과 신뢰할 수 있는 액세스 및 위임된 관리자 기능을 사용하여 이러한 여러 계정의 AWS 서비스를 중앙에서 관리하는 방법을 설명합니다.

이 가이드의 앞부분에서 설명한 대로 AWS Control Tower를 사용하여 랜딩 존을 조정할 수 있습니다. 현재 단일 AWS 계정을 사용 중인 경우 여러 AWS 계정으로 전환 안내서를 참조하여 최대한 빨리 여러 계정으로 마이그레이션하십시오. 예를 들어, 스타트업 회사가 현재 단일 AWS 계정에서 제품을 구상하고 프로토타이핑하고 있다면 제품을 시장에 출시하기 전에 다중 계정 전략을 채택하는 것을 고려해야 합니다. 마찬가지로 중소기업 및 대기업도 초기 프로덕션 워크로드를 계획하는 즉시 다중 계정 전략을 수립하기 시작해야 합니다. 기초 OU 및 AWS 계정으로 시작한 다음 워크로드 관련 OU와 계정을 추가합니다.

AWS SRA에서 제공하는 것 이외의 AWS 계정 및 OU 구조 권장 사항은 중소기업을 위한 다중 계정 전략 블로그 게시물을 참조하십시오. OU 및 계정 구조를 마무리할 때는 서비스 제어 정책 (SCP) 을 사용하여 시행하려는 높은 수준의 조직 전반의 보안 제어를 고려해 보십시오.

설계 고려 사항

  • OU 및 계정 구조를 설계할 때 회사의 보고 구조를 복제하지 마십시오. OU는 워크로드 기능 및 워크로드에 적용되는 공통 보안 제어 세트를 기반으로 해야 합니다. 처음부터 완전한 계정 구조를 설계하려고 하지 마세요. 기본 OU에 초점을 맞춘 다음 필요에 따라 워크로드 OU를 추가하세요. OU 간에 계정을 이동하여 설계 초기 단계에서 대체 접근 방식을 실험해 볼 수 있습니다. 하지만 이로 인해 OU 및 계정 경로를 기반으로 하는 SCP 및 IAM 조건에 따라 논리적 권한을 관리하는 데 약간의 오버헤드가 발생할 수 있습니다.

구현 예제

AWS SRA 코드 라이브러리는 계정 대체 연락처의 샘플 구현을 제공합니다. 이 솔루션은 조직 내 모든 계정의 청구, 운영 및 보안 대체 연락처를 설정합니다.

2단계: 강력한 ID 기반 구현

여러 AWS 계정을 만드는 즉시 팀에 해당 계정 내의 AWS 리소스에 대한 액세스 권한을 부여해야 합니다. ID 관리에는 직원 ID 및 액세스 관리와 고객 ID 및 액세스 관리 (CIAM) 라는 두 가지 일반적인 범주가 있습니다. Workforce IAM은 직원 및 자동화된 워크로드가 업무를 수행하기 위해 AWS에 로그인해야 하는 조직을 위한 것입니다. CIAM은 조직에서 조직의 애플리케이션에 대한 액세스를 제공하기 위해 사용자를 인증하는 방법이 필요할 때 사용됩니다. 팀이 애플리케이션을 구축하고 마이그레이션할 수 있으려면 먼저 인력 IAM 전략이 필요합니다. 사람이나 컴퓨터 사용자에게 액세스를 제공하려면 항상 IAM 사용자 대신 IAM 역할을 사용해야 합니다. 조직 관리공유 서비스 계정 내에서 AWS IAM ID 센터를 사용하여 AWS 계정에 대한 싱글 사인온 (SSO) 액세스를 중앙에서 관리하는 방법에 대한 AWS SRA 지침을 따르십시오. 또한 이 지침에서는 IAM ID 센터를 사용할 수 없는 경우 IAM 페더레이션을 사용하기 위한 설계 고려 사항도 제공합니다.

AWS 리소스에 대한 사용자 액세스를 제공하기 위해 IAM 역할을 사용할 때는 이 안내서의 보안 도구조직 관리 섹션에 설명된 대로 AWS IAM Access Analyzer 및 IAM 액세스 어드바이저를 사용해야 합니다. 이러한 서비스는 최소 권한을 달성하는 데 도움이 되며, 이는 우수한 보안 태세를 구축하는 데 도움이 되는 중요한 예방 통제 수단입니다.

설계 고려 사항

  • 권한을 최소화하려면 ID와 ID가 제대로 작동하는 데 필요한 권한 간의 관계를 정기적으로 검토하고 이해하는 프로세스를 설계하십시오. 배우면서 이러한 권한을 세밀하게 조정하고 점차 가능한 최소 권한으로 줄이십시오. 확장성을 위해서는 중앙 보안 팀과 애플리케이션 팀 간의 공동 책임이 되어야 합니다. 리소스 기반 정책, 권한 경계, 속성 기반 액세스 제어, 세션 정책과 같은 기능을 사용하면 애플리케이션 소유자가 세분화된 액세스 제어를 정의할 수 있습니다.

구현 예제

AWS SRA 코드 라이브러리는 이 단계에 적용되는 두 가지 샘플 구현을 제공합니다.

3단계: 추적성 유지

사용자가 AWS에 액세스하여 구축을 시작하면 누가, 언제, 어디서 무엇을 하고 있는지 알고 싶어질 것입니다. 또한 잠재적인 보안 구성 오류, 위협 또는 예상치 못한 행동에 대한 가시성도 필요합니다. 보안 위협을 더 잘 이해하면 적절한 보안 제어의 우선 순위를 정할 수 있습니다. AWS 활동을 모니터링하려면 AWS를 사용하고 Log Archive 계정 내에서 로그를 중앙 집중화하여 조직 기록을 설정하기 위한 AWS CloudTrail SRA 권장 사항을 따르십시오. 보안 이벤트 모니터링의 경우 보안 도구 계정 섹션에 설명된 대로 AWS Security Hub GuardDuty, Amazon, AWS Config 및 AWS Security Lake를 사용하십시오.

설계 고려 사항

  • 새 AWS 서비스를 사용하기 시작하면 서비스에 대한 서비스별 로그를 활성화하고 이를 중앙 로그 리포지토리의 일부로 저장해야 합니다.

구현 예제

AWS SRA 코드 라이브러리는 이 단계에 적용되는 다음과 같은 샘플 구현을 제공합니다.

4단계: 모든 계층에 보안 적용

이 시점에서 갖추어야 할 사항은 다음과 같습니다.

  • AWS 계정에 대한 적절한 보안 제어.

  • SCP와 최소 권한 IAM 역할 및 정책을 통해 정의된 예방 제어를 포함하는 잘 정의된 계정 및 OU 구조.

  • AWS를 사용하여 AWS 활동을 기록하고, AWS CloudTrail 보안 허브, Amazon 및 AWS Config를 사용하여 보안 이벤트를 탐지하고 GuardDuty, Amazon Security Lake를 사용하여 보안을 위해 특별히 구축된 데이터 레이크에 대한 고급 분석을 수행할 수 있습니다.

이 단계에서는 AWS 조직 전체에 보안 서비스 적용 섹션에 설명된 대로 AWS 조직의 다른 계층에 보안을 적용할 계획을 세우십시오. 네트워크 계정 섹션에 설명된 대로 AWS WAF, AWS Shield, AWS Firewall Manager, AWS 네트워크 방화벽, AWS 인증서 관리자 (ACM), 아마존, Amazon Route 53 CloudFront, Amazon VPC와 같은 서비스를 사용하여 네트워킹 계층에 대한 보안 제어를 구축할 수 있습니다. 기술 스택을 아래로 이동할 때는 워크로드 또는 애플리케이션 스택에 특정한 보안 제어를 적용하십시오. 애플리케이션 계정 섹션에 설명된 대로 VPC 엔드포인트, Amazon Inspector, Amazon Systems Manager, AWS Secrets Manager, Amazon Cognito를 사용하십시오.

설계 고려 사항

  • 심층 방어 (DiD) 보안 제어를 설계할 때는 확장 요소를 고려하세요. 중앙 보안 팀이 대역폭을 충분히 확보하지 못하거나 해당 환경에서 모든 애플리케이션이 어떻게 동작하는지 제대로 파악하지 못할 것입니다. 애플리케이션 팀이 애플리케이션에 적합한 보안 제어를 식별하고 설계할 책임과 책임을 지도록 하세요. 중앙 보안 팀은 애플리케이션 팀을 지원하는 데 필요한 올바른 도구를 제공하고 컨설팅을 제공하는 데 집중해야 합니다. AWS가 보다 시프트 레프트 방식의 보안 접근법을 채택하기 위해 사용하는 확장 메커니즘을 이해하려면 AWS가 보안 소유권을 분배하는 메커니즘인 Security Guardians 프로그램을 구축한 방법이라는 블로그 게시물을 참조하십시오.

구현 예제

AWS SRA 코드 라이브러리는 이 단계에 적용되는 다음과 같은 샘플 구현을 제공합니다.

  • EC2 기본 EBS 암호화는 제공된 AWS 지역 내에서 기본 AWS KMS 키를 사용하도록 Amazon EC2의 기본 Amazon Elastic Block Store (Amazon EBS) 암호화를 구성합니다.

  • S3 계정 공개 액세스 차단은 Amazon S3에서 조직 내 계정에 대한 계정 수준의 블록 공개 액세스 (BPA) 설정을 구성합니다.

  • Firewall Manager는 조직 내 계정에 대한 보안 그룹 정책 및 AWS WAF 정책을 구성하는 방법을 보여줍니다.

  • 인스펙터 조직은 조직 내 계정 및 관리 지역에 대한 위임된 관리자 계정 내에서 Amazon Inspector를 구성합니다.

5단계: 전송 중인 데이터와 저장된 데이터 보호

비즈니스 및 고객 데이터는 보호해야 할 소중한 자산입니다. AWS는 이동 중인 데이터와 저장된 데이터를 보호하기 위한 다양한 보안 서비스와 기능을 제공합니다. 네트워크 계정 섹션에 설명된 대로 AWS Certificate CloudFront Manager와 함께 AWS를 사용하면 인터넷을 통해 수집되는 이동 중인 데이터를 보호할 수 있습니다. 내부 네트워크 내에서 이동하는 데이터의 경우 애플리케이션 계정 섹션에 설명된 대로 AWS 사설 인증 기관이 있는 Application Load Balancer를 사용하십시오. AWS KMS와 AWS CloudHSM은 암호화 키 관리를 제공하여 저장된 데이터를 보호할 수 있도록 지원합니다.

6단계: 보안 이벤트에 대비

IT 환경을 운영하면서 보안 이벤트가 발생할 수 있습니다. 보안 이벤트는 IT 환경의 일상적인 운영 변화로 보안 정책 위반 또는 보안 제어 실패 가능성을 나타냅니다. 보안 이벤트를 최대한 빨리 파악하려면 적절한 추적 가능성이 매우 중요합니다. 보안 이벤트가 확대되기 전에 적절한 조치를 취할 수 있도록 이러한 보안 이벤트를 분류하고 이에 대응할 준비를 하는 것도 마찬가지로 중요합니다. 준비를 통해 보안 이벤트를 신속하게 분류하여 잠재적 영향을 파악할 수 있습니다.

AWS SRA는 보안 도구 계정을 설계하고 모든 AWS 계정 내에 공통 보안 서비스를 배포함으로써 AWS 조직 전체에서 보안 이벤트를 탐지할 수 있는 기능을 제공합니다. 보안 도구 계정 내 AWS Detective를 사용하면 보안 이벤트를 분류하고 근본 원인을 식별할 수 있습니다. 보안 조사 중에는 관련 로그를 검토하여 사고의 전체 범위와 일정을 기록하고 이해할 수 있어야 합니다. 관심 있는 특정 행동이 발생할 경우 알림을 생성하기 위한 로그도 필요합니다.

AWS SRA는 모든 보안 및 운영 로그의 변경 불가능한 저장을 위해 중앙 Log Archive 계정을 권장합니다. 로그 그룹에 저장된 데이터에 대해서는 CloudWatch 로그 인사이트를 사용하고, Amazon S3에 CloudWatch 저장된 데이터에 대해서는 Amazon Athena와Amazon OpenSearch 서비스를 사용하여 로그를 쿼리할 수 있습니다. Amazon Security Lake를 사용하면 AWS 환경, 서비스형 소프트웨어 (SaaS) 제공업체, 온프레미스 및 기타 클라우드 공급자의 보안 데이터를 자동으로 중앙 집중화할 수 있습니다. AWS SRA에서 설명한 대로 보안 도구 계정 또는 전용 계정에 구독자를 설정하여 조사를 위해 해당 로그를 쿼리하십시오.

설계 고려 사항

  • 클라우드 전환 초기부터 보안 이벤트를 탐지하고 이에 대응할 준비를 시작해야 합니다. 제한된 리소스를 더 잘 활용하려면 AWS 리소스에 데이터 및 비즈니스 중요도를 할당하여 보안 이벤트를 감지할 때 관련 리소스의 중요도를 기준으로 분류 및 대응의 우선 순위를 지정할 수 있습니다.

  • 이 섹션에서 설명하는 클라우드 보안 아키텍처 구축 단계는 본질적으로 순차적입니다. 하지만 한 단계가 완전히 완료될 때까지 기다렸다가 다음 단계를 시작할 필요는 없습니다. 여러 단계에서 병렬로 작업을 시작하고 클라우드 보안 태세를 발전시키면서 각 단계를 발전시키는 반복적 접근 방식을 채택하는 것이 좋습니다. 여러 단계를 거치면서 설계도 발전할 것입니다. 다음 다이어그램에 표시된 제안 순서를 특정 요구 사항에 맞게 조정하는 것을 고려해 보십시오.

클라우드 보안 아키텍처 구축의 순차적이고 반복적인 단계
구현 예제

AWS SRA 코드 라이브러리는 Detective Organization의 샘플 구현을 제공합니다. Detective Organization은 계정 (예: 감사 또는 보안 도구) 에 관리를 위임하여 자동으로 Detective를 활성화하고 기존 및 미래의 AWS Organizations 계정에 맞게 Detective를 구성합니다.