보안 아키텍처 구축 - 단계별 접근 방식 - AWS 규범적 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 아키텍처 구축 - 단계별 접근 방식

간단한 설문조사를 통해 AWS 보안 참조 아키텍처(AWS SRA)의 미래에 영향을 미칩니다.

SRA AWS Word에서 권장하는 다중 계정 보안 아키텍처는 설계 프로세스 초기에 보안을 주입하는 데 도움이 되는 기본 아키텍처입니다. 각 조직의 클라우드 여정은 고유합니다. 클라우드 보안 아키텍처를 성공적으로 발전시키려면 원하는 대상 상태를 구상하고, 현재 클라우드 준비 상태를 이해하고, 민첩한 접근 방식을 채택하여 격차를 해소해야 합니다. AWS SRA는 보안 아키텍처에 대한 참조 대상 상태를 제공합니다. 점진적으로 변환하면 원거리 예측의 필요성을 최소화하면서 가치를 빠르게 입증할 수 있습니다.

AWS Cloud Adoption Framework(AWS CAF)Envision, Align, Launch, Scale이라는 네 가지 반복 및 증분 클라우드 변환 단계를 권장합니다. 출시 단계에 진입하고 프로덕션 환경에서 파일럿 이니셔티브를 제공하는 데 중점을 두면서 스케일 단계의 기반으로 강력한 보안 아키텍처를 구축하는 데 집중해야 합니다. 이를 통해 가장 비즈니스에 중요한 워크로드를 자신 있게 마이그레이션하고 운영할 수 있는 기술적 역량을 갖추게 됩니다. 이 단계별 접근 방식은 스타트업, 비즈니스를 확장하려는 중소기업 또는 새 사업부를 인수하거나 인수 합병을 진행 중인 기업에 적용됩니다. AWS SRA는 이러한 보안 기준 아키텍처를 달성하는 데 도움이 되므로 AWS Organizations에서 확장하는 조직 전체에 보안 제어를 균일하게 적용할 수 있습니다. 기준 아키텍처는 여러 AWS 계정 및 서비스로 구성됩니다. 계획 및 구현은 더 작은 이정표를 반복하여 기준 보안 아키텍처를 설정하는 더 큰 목표에 도달할 수 있도록 다단계 프로세스여야 합니다. 이 섹션에서는 구조화된 접근 방식을 기반으로 클라우드 여정의 일반적인 단계를 설명합니다. 이러한 단계는 AWS Well-Architected Framework 보안 설계 원칙에 부합합니다.

1단계: OU 및 계정 구조 구축

강력한 보안 기반을 구축하기 위한 사전 조건은 잘 설계된 AWS 조직 및 계정 구조입니다. 이 가이드의 SRA 구성 요소 섹션에서 앞서 설명한 대로 여러 AWS 계정을 보유하면 다양한 비즈니스 및 보안 기능을 설계별로 분리하는 데 도움이 됩니다. 처음에는 불필요한 작업처럼 보일 수 있지만 빠르고 안전하게 확장하는 데 도움이 되는 투자입니다. 또한이 섹션에서는 AWS Organizations를 사용하여 여러 AWS 계정을 관리하는 방법과 신뢰할 수 있는 액세스 및 위임된 관리자 기능을 사용하여 이러한 여러 계정에서 AWS 서비스를 중앙에서 관리하는 방법을 설명합니다.

이 가이드의 앞부분에 설명된 대로 AWS Control Tower를 사용하여 랜딩 존을 오케스트레이션할 수 있습니다. 현재 단일 AWS 계정을 사용하는 경우 가능한 한 빨리 여러 계정으로 마이그레이션하려면 여러 AWS 계정으로 전환 가이드를 참조하세요. 예를 들어 스타트업 회사가 현재 단일 AWS 계정에서 제품을 구상하고 프로토타이핑하는 경우 시장에서 제품을 출시하기 전에 다중 계정 전략을 채택하는 것을 고려해야 합니다. 마찬가지로 중소기업도 초기 프로덕션 워크로드를 계획하는 즉시 다중 계정 전략을 구축하기 시작해야 합니다. 파운데이션 OUs 및 AWS 계정으로 시작한 다음 워크로드 관련 OUs 및 계정을 추가합니다.

AWS Word에서 제공하는 것 이상의 SRA AWS 계정 및 OU 구조 권장 사항은 중소기업을 위한 다중 계정 전략 블로그 게시물을 참조하세요. OU 및 계정 구조를 마무리할 때 서비스 제어 정책(SCPs)을 사용하여 적용하려는 조직 차원의 상위 수준 보안 제어를 고려하세요.

설계 고려 사항
  • OU 및 계정 구조를 설계할 때 회사의 보고 구조를 복제하지 마십시오. OUs는 워크로드 함수와 워크로드에 적용되는 일반적인 보안 제어 세트를 기반으로 해야 합니다. 처음부터 전체 계정 구조를 설계하려고 하지 마세요. 기본 OUs에 초점을 맞춘 다음 필요에 따라 워크로드 OUs를 추가합니다. OUs 간에 계정을 이동하여 설계 초기 단계에서 대체 접근 방식을 실험할 수 있습니다. 그러나 이로 인해 OU 및 계정 경로를 기반으로 하는 SCPs 및 IAM 조건에 따라 논리적 권한 관리에 약간의 오버헤드가 발생할 수 있습니다.

구현 예제

AWS SRA 코드 라이브러리계정 대체 연락의 샘플 구현을 제공합니다. 이 솔루션은 조직 내 모든 계정에 대한 결제, 작업 및 보안 대체 연락처를 설정합니다.

2단계: 강력한 자격 증명 기반 구현

여러 AWS 계정을 생성한 즉시 해당 계정 내의 AWS 리소스에 대한 액세스 권한을 팀에 부여해야 합니다. 자격 증명 관리에는 직원 자격 증명과 액세스 관리, 고객 자격 증명과 액세스 관리(CIAM)라는 두 가지 일반적인 범주가 있습니다. Workforce IAM는 직원과 자동화된 워크로드가 작업을 수행하기 위해 AWS에 로그인해야 하는 조직을 위한 것입니다. CIAM는 조직이 조직의 애플리케이션에 대한 액세스를 제공하기 위해 사용자를 인증하는 방법이 필요할 때 사용됩니다. 팀이 애플리케이션을 구축하고 마이그레이션할 수 있도록 먼저 인력 IAM 전략이 필요합니다. 항상 IAM 사용자 대신 IAM 역할을 사용하여 인간 또는 기계 사용자에게 액세스 권한을 제공해야 합니다. 조직 관리공유 서비스 계정 내에서 AWS IAM Identity Center를 사용하여 SRA AWS 계정에 대한 Single Sign-On(SSO) 액세스를 중앙에서 관리하는 방법에 대한 AWS 지침을 따릅니다. 또한이 지침은 IAM Identity Center를 사용할 수 없는 경우 IAM 페더레이션을 사용하기 위한 설계 고려 사항을 제공합니다.

IAM 역할을 사용하여 AWS 리소스에 대한 사용자 액세스 권한을 제공하려면이 가이드의 보안 도구 및 조직 관리 섹션에 설명된 대로 AWS IAM Access Analyzer 및 IAM 액세스 어드바이저를 사용해야 합니다. 보안 OU - 보안 툴링 계정 이러한 서비스를 사용하면 최소한의 권한을 얻을 수 있으며, 이는 올바른 보안 태세를 구축하는 데 도움이 되는 중요한 예방 제어입니다.

설계 고려 사항
  • 최소 권한을 얻으려면 자격 증명과 적절하게 작동하는 데 필요한 권한 간의 관계를 정기적으로 검토하고 이해하는 프로세스를 설계합니다. 학습하면서 이러한 권한을 미세 조정하고 가능한 최소 권한으로 점진적으로 축소합니다. 확장성을 위해 이는 중앙 보안 팀과 애플리케이션 팀 간의 공동 책임입니다. 리소스 기반 정책, 권한 경계, 속성 기반 액세스 제어세션 정책과 같은 기능을 사용하여 애플리케이션 소유자가 세분화된 액세스 제어를 정의할 수 있습니다.

구현 예제

SRA AWS 코드 라이브러리는이 단계에 적용되는 두 가지 샘플 구현을 제공합니다.

  • IAM 암호 정책은 사용자가 일반적인 규정 준수 표준에 맞게 계정 암호 정책을 설정합니다.

  • Access Analyzer는 위임된 관리자 계정 내에서 조직 수준 분석기를 구성하고 각 계정 내에서 계정 수준 분석기를 구성합니다.

3단계: 추적성 유지

사용자가 AWS에 액세스하고 빌드를 시작하면 누가 무엇을, 언제, 어디서 하고 있는지 알고 싶을 것입니다. 또한 잠재적인 보안 구성 오류, 위협 또는 예상치 못한 동작에 대한 가시성이 필요합니다. 보안 위협을 더 잘 이해하면 적절한 보안 제어의 우선 순위를 지정할 수 있습니다. AWS 활동을 모니터링하려면 SRA AWS CloudTrailWord를 사용하고 로그 아카이브 계정 내에서 로그를 중앙 집중화하여 조직 추적을 설정하기 위한 AWS 권장 사항을 따르세요. 보안 OU - 로그 아카이브 계정 보안 이벤트 모니터링을 위해 보안 도구 계정 섹션에 설명된 대로 AWS Security Hub, Amazon GuardDuty, AWS Config 및 AWS Security Lake를 사용합니다.

설계 고려 사항
  • 새 AWS 서비스를 사용하기 시작할 때 서비스에 대한 서비스별 로그를 활성화하고 이를 중앙 로그 리포지토리의 일부로 저장해야 합니다.

구현 예제

SRA AWS 코드 라이브러리는이 단계에 적용되는 다음과 같은 샘플 구현을 제공합니다.

  • Organization CloudTrail는 조직 추적을 생성하고 기본값을 설정하여 데이터 이벤트(예: Amazon S3 및 AWS Lambda)를 구성하여 AWS Control Tower에서 구성된 CloudTrail 의 복제를 줄입니다. 이 솔루션은 관리 이벤트를 구성하는 옵션을 제공합니다.

  • AWS Config Control Tower 관리 계정을 사용하면 관리 계정의 AWS Config가 리소스 규정 준수를 모니터링할 수 있습니다.

  • 적합성 팩 조직 규칙은 조직 내 계정 및 지정된 리전에 적합성 팩을 배포합니다.

  • AWS Config Aggregator는 Audit 계정 이외의 멤버 계정에 관리를 위임하여 애그리게이터를 배포합니다.

  • Security Hub Organization은 조직 내 계정 및 관리 리전에 대해 위임된 관리자 계정 내에서 Security Hub를 구성합니다.

  • GuardDuty Organization은 조직 내 계정의 위임된 관리자 계정 내에서 GuardDuty 를 구성합니다.

4단계: 모든 계층에 보안 적용

이 시점에서 다음을 수행해야 합니다.

  • AWS 계정에 대한 적절한 보안 제어입니다.

  • SCPs 및 최소 권한 IAM 역할 및 정책을 통해 정의된 예방 제어가 있는 잘 정의된 계정 및 OU 구조입니다.

  • AWS CloudTrailWord를 사용하여 AWS 활동을 로깅하고, Word Security Hub, Amazon GuardDuty 및 AWS AWS Config를 사용하여 보안 이벤트를 감지하고, Amazon Security Lake를 사용하여 보안을 위해 특별히 구축된 데이터 레이크에서 고급 분석을 수행하는 기능입니다.

이 단계에서는 AWS 조직 전체에 보안 서비스 적용 단원에 설명된 대로 AWS 조직의 다른 계층에 보안을 적용할 계획입니다. 네트워크 계정 섹션에 설명된 대로 AWS WAF, AWS Shield, AWS Firewall Manager, AWS Network Firewall, AWS Certificate Manager(ACM), Amazon CloudFront, Amazon Route 53 및 Amazon VPC와 같은 서비스를 사용하여 네트워킹 계층에 대한 보안 제어를 구축할 수 있습니다. 기술 스택을 아래로 이동하면서 워크로드 또는 애플리케이션 스택에 고유한 보안 제어를 적용합니다. 애플리케이션 계정 섹션에 설명된 대로 VPC 엔드포인트, Amazon Inspector, Amazon Systems Manager, AWS Secrets Manager 및 Amazon Cognito를 사용합니다.

설계 고려 사항
  • 심층 방어(DiD) 보안 제어를 설계할 때는 조정 요소를 고려하세요. 중앙 보안 팀은 모든 애플리케이션이 환경에서 어떻게 작동하는지에 대한 대역폭이나 완전한 이해를 하지 못합니다. 애플리케이션 팀이 애플리케이션에 적합한 보안 제어를 식별하고 설계할 책임과 권한을 부여할 수 있습니다. 중앙 보안 팀은 애플리케이션 팀을 활성화하는 데 적합한 도구와 상담을 제공하는 데 중점을 두어야 합니다. AWS가 보안에 대한 더 큰 전환 왼쪽 접근 방식을 채택하는 데 사용하는 조정 메커니즘을 이해하려면 블로그 게시물AWS가 보안 소유권을 배포하는 메커니즘인 보안 가디언 프로그램을 구축한 방법을 참조하세요.

구현 예제

SRA AWS 코드 라이브러리는이 단계에 적용되는 다음과 같은 샘플 구현을 제공합니다.

  • EC2 기본 EBS 암호화는 제공된 EBS 리전 내에서 기본 AWS Word KMS 키를 사용하도록 Amazon EC2의 기본 Amazon Elastic Block Store(Amazon AWS) 암호화를 구성합니다.

  • S3 블록 계정 퍼블릭 액세스는 조직 내 계정에 대해 Amazon S3에서 계정 수준 퍼블릭 액세스 차단(BPA) 설정을 구성합니다.

  • Firewall Manager는 조직 내 계정에 대한 보안 그룹 정책 및 WAF AWS 정책을 구성하는 방법을 보여줍니다.

  • Inspector Organization은 조직 내 계정 및 관리 리전에 대해 위임된 관리자 계정 내에서 Amazon Inspector를 구성합니다.

5단계: 전송 중 및 저장 중 데이터 보호

비즈니스 및 고객 데이터는 보호해야 하는 귀중한 자산입니다. AWS는 이동 중인 데이터와 저장된 데이터를 보호하기 위한 다양한 보안 서비스와 기능을 제공합니다. 네트워크 계정 섹션에 설명된 대로 CloudFront AWS with AWS Certificate Manager를 사용하여 인터넷을 통해 수집된 이동 중인 데이터를 보호합니다. 내부 네트워크 내에서 이동 중인 데이터의 경우 애플리케이션 계정 섹션에 설명된 대로 Word Private Certificate Authority와 함께 Application Load Balancer를 사용합니다. AWS 워크로드 OU - 애플리케이션 계정 AWS KMS 및 AWS CloudHSM는 저장 데이터를 보호하기 위한 암호화 키 관리를 제공하는 데 도움이 됩니다.

6단계: 보안 이벤트 준비

IT 환경을 운영할 때 보안 이벤트가 발생합니다.이 이벤트는 IT 환경의 일상적인 운영에서 보안 정책 위반 가능성 또는 보안 제어 실패를 나타내는 변경 사항입니다. 보안 이벤트를 최대한 빨리 인식하려면 적절한 추적성이 중요합니다. 보안 이벤트가 확대되기 전에 적절한 조치를 취할 수 있도록 이러한 보안 이벤트를 분류하고 이에 대응할 준비를 하는 것도 마찬가지로 중요합니다. 준비는 보안 이벤트를 빠르게 분류하여 잠재적 영향을 이해하는 데 도움이 됩니다.

AWS SRA는 Security Tooling 계정의 설계와 모든 AWS 계정 내의 일반적인 보안 서비스 배포를 통해 AWS 조직 전체에서 보안 이벤트를 감지할 수 있는 기능을 제공합니다. Security Tooling 계정 내의 AWS Detective는 보안 이벤트를 분류하고 근본 원인을 식별하는 데 도움이 됩니다. 보안 조사 중에 관련 로그를 검토하여 인시던트의 전체 범위와 타임라인을 기록하고 이해할 수 있어야 합니다. 또한 관심 있는 특정 작업이 발생할 때 경보를 생성하는 데 로그가 필요합니다.

AWS SRA는 모든 보안 및 운영 로그를 변경할 수 없는 저장을 위해 중앙 Log Archive 계정을 권장합니다. CloudWatch Logs Insights를 사용하여 워드 로그 CloudWatch 그룹에 저장된 데이터를 쿼리하고 Amazon AthenaAmazon OpenSearch Service를 사용하여 Amazon S3에 저장된 데이터를 쿼리할 수 있습니다. Amazon Security Lake를 사용하여 AWS 환경, 서비스형 소프트웨어(SaaS) 공급자, 온프레미스 및 기타 클라우드 공급자의 보안 데이터를 자동으로 중앙 집중화합니다. 조사를 위해 해당 로그를 쿼리하려면 AWS SRA에 설명된 대로 Security Tooling 계정 또는 모든 전용 계정에 구독자를 설정합니다.

설계 고려 사항
  • 클라우드 여정이 시작될 때부터 보안 이벤트를 탐지하고 대응할 준비를 시작해야 합니다. 제한된 리소스를 더 잘 활용하려면 보안 이벤트를 감지할 때 관련 리소스의 중요도에 따라 분류 및 응답의 우선순위를 지정할 수 있도록 AWS 리소스에 데이터 및 비즈니스 중요도를 할당합니다.

  • 이 섹션에서 설명한 대로 클라우드 보안 아키텍처를 구축하는 단계는 본질적으로 순차적입니다. 하지만 다음 단계를 시작하기 전에 한 단계가 완전히 완료될 때까지 기다릴 필요는 없습니다. 클라우드 보안 태세를 발전시키면서 여러 단계에서 동시에 작업을 시작하고 각 단계를 발전시키는 반복적인 접근 방식을 채택하는 것이 좋습니다. 다양한 단계를 거치면 설계가 진화합니다. 다음 다이어그램에 표시된 제안된 시퀀스를 특정 요구 사항에 맞게 조정하는 것이 좋습니다.

클라우드 보안 아키텍처 구축의 순차적 및 반복 단계
구현 예제

AWS SRA 코드 라이브러리Detective Organization의 샘플 구현을 제공하며, 이는 계정에 관리를 위임하여 Detective를 자동으로 활성화하고(예: 감사 또는 보안 도구) 기존 및 향후 AWS Organizations 계정에 대해 Detective를 구성합니다.