기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 조직 전체에 보안 서비스 적용

이전 섹션에서 설명한 대로 고객은 전체 AWS 보안 서비스 세트를 고려하고 전략적으로 구성할 수 있는 추가 방법을 찾고 있습니다. 오늘날 가장 일반적인 조직적 접근 방식은 각 서비스의 역할에 따라 기본 함수별로 보안 서비스를 그룹화하는 것입니다. AWS CAF의 보안 관점에는 자격 증명 및 액세스 관리, 인프라 보호, 데이터 보호 및 위협 탐지를 포함한 9가지 기능 기능이 나열되어 있습니다. AWS 서비스를 이러한 기능 기능과 일치시키는 것은 각 영역에서 구현 결정을 내리는 실용적인 방법입니다. 예를 들어 자격 증명 및 액세스 관리를 살펴볼 때 IAM 및 IAM Identity Center는 고려해야 할 서비스입니다. 위협 탐지 접근 방식을 설계할 때 Amazon GuardDuty를 먼저 고려해야 할 수 있습니다.

이 기능 보기를 보완하기 위해 교차 절단 구조 보기를 사용하여 보안을 볼 수도 있습니다. 즉, '어떤 AWS 서비스를 사용하여 자격 증명, 논리적 액세스 또는 위협 탐지 메커니즘을 제어하고 보호해야 합니까?'라는 질문 외에도 '어떤 AWS 서비스를 전체 AWS 조직에 적용해야 합니까?'라는 질문도 할 수 있습니다.  애플리케이션의 코어에서 Amazon EC2 인스턴스를 보호하기 위해 마련해야 하는 방어 계층은 무엇입니까?” 이 보기에서는 AWS 서비스와 기능을 AWS 환경의 계층에 매핑합니다. 일부 서비스 및 기능은 전체 AWS 조직에 걸쳐 제어를 구현하는 데 적합합니다. 예를 들어 Amazon S3 버킷에 대한 퍼블릭 액세스를 차단하는 것은이 계층에서 특정 제어입니다. 개별 계정 설정의 일부가 아닌 루트 조직에서 수행하는 것이 좋습니다. AWS 계정 내의 개별 리소스를 보호하는 데 도움이 되는 다른 서비스 및 기능이 가장 적합합니다. 프라이빗 TLS 인증서가 필요한 계정 내에서 하위 인증 기관(CA)을 구현하는 것이이 범주의 예입니다. 또 다른 동일하게 중요한 그룹화는 AWS 인프라의 가상 네트워크 계층에 영향을 미치는 서비스로 구성됩니다. 다음 다이어그램은 일반적인 AWS 환경의 6개 계층, 즉 AWS 조직, 조직 단위(OU), 계정, 네트워크 인프라, 보안 주체 및 리소스를 보여줍니다.

각 계층의 제어 및 보호를 포함하여 이러한 구조적 컨텍스트의 서비스를 이해하면 AWS 환경 전체에서 defense-in-depth 전략을 계획하고 구현하는 데 도움이 됩니다. 이 관점에서는 위에서 아래로(예: “전체 AWS 조직에서 보안 제어를 구현하기 위해 어떤 서비스를 사용합니까?”)와 아래에서 위로(예: “어떤 서비스가이 EC2 인스턴스에서 제어를 관리합니까?”) 질문에 모두 답할 수 있습니다. 이 섹션에서는 AWS 환경의 요소를 살펴보고 관련 보안 서비스 및 기능을 식별합니다. 물론 일부 AWS 서비스에는 광범위한 기능 세트가 있으며 여러 보안 목표를 지원합니다. 이러한 서비스는 AWS 환경의 여러 요소를 지원할 수 있습니다.

명확성을 위해 일부 서비스가 명시된 목표에 어떻게 부합하는지에 대한 간략한 설명을 제공합니다. 다음 섹션에서는 각 AWS 계정 내의 개별 서비스에 대해 자세히 설명합니다.

조직 전체 또는 여러 계정

최상위에는 AWS 조직(전체 조직 또는 특정 OUs. 서비스 제어 정책(SCPs)은 예방적 AWS 조직 전체 가드레일을 제공하는 IAM 기능의 좋은 예입니다. 또 다른 예는 AWS CloudTrail입니다. AWS CloudTrail은 해당 AWS 조직의 모든 AWS 계정에 대한 모든 이벤트를 로깅하는 조직 추적을 통해 모니터링을 제공합니다. 이 포괄적인 추적은 각 계정에서 생성될 수 있는 개별 추적과는 다릅니다. 세 번째 예는 AWS Firewall Manager로, AWS WAF 규칙, AWS WAF Classic 규칙, AWS Shield Advanced 보호, Amazon Virtual Private Cloud(Amazon VPC) 보안 그룹, AWS Network Firewall 정책, Amazon Route 53 Resolver DNS Firewall 정책 등 AWS 조직의 모든 계정에서 여러 리소스를 구성, 적용 및 관리하는 데 사용할 수 있습니다. 

다음 다이어그램에서 별표 *로 표시된 서비스는 조직 전체 및 계정 중심의 이중 범위로 작동합니다. 이러한 서비스는 기본적으로 개별 계정 내에서 보안을 모니터링하거나 제어하는 데 도움이 됩니다. 그러나 중앙 집중식 가시성 및 관리를 위해 여러 계정의 결과를 조직 전체 계정으로 집계하는 기능도 지원합니다. 명확성을 위해 전체 OU, AWS 계정 또는 AWS 조직에 적용되는 SCPs를 고려하세요. 반대로 계정 수준(개별 조사 결과가 생성되는 경우)과 조사 결과를 집계하여 보고 관리할 수 있는 AWS 조직 수준(위임된 관리자 기능 사용) 모두에서 Amazon GuardDuty를 구성하고 관리할 수 있습니다.

AWS 계정

OUs 내에는 AWS 계정 내에서 여러 유형의 요소를 보호하는 데 도움이 되는 서비스가 있습니다. 예를 들어 AWS Secrets Manager는 일반적으로 특정 계정에서 관리되며 해당 계정의 리소스(예: 데이터베이스 자격 증명 또는 인증 정보), 애플리케이션 및 AWS 서비스를 보호합니다. AWS 계정 외부의 보안 주체가 지정된 리소스에 액세스할 수 있는 경우 결과를 생성하도록 AWS IAM Access Analyzer를 구성할 수 있습니다. 이전 섹션에서 언급한 것처럼 이러한 서비스 중 다수는 AWS Organizations 내에서 구성 및 관리될 수도 있으므로 여러 계정에서 관리할 수 있습니다. 이러한 서비스는 다이어그램에 별표(*)로 표시됩니다. 또한 여러 계정의 결과를 더 쉽게 집계하고 단일 계정으로 전달할 수 있습니다. 이를 통해 개별 애플리케이션 팀은 워크로드와 관련된 보안 요구 사항을 관리하는 동시에 중앙 집중식 보안 팀에 거버넌스 및 가시성을 제공할 수 있는 유연성과 가시성을 확보할 수 있습니다. Amazon GuardDuty는 이러한 서비스의 예입니다. GuardDuty는 단일 계정과 연결된 리소스 및 활동을 모니터링하며, 여러 멤버 계정(예: AWS 조직의 모든 계정)의 GuardDuty 조사 결과는 위임된 관리자 계정에서 수집, 확인 및 관리할 수 있습니다.

 

가상 네트워크, 컴퓨팅 및 콘텐츠 전송

네트워크 액세스는 보안에 매우 중요하고 컴퓨팅 인프라는 많은 AWS 워크로드의 기본 구성 요소이므로 이러한 리소스 전용 AWS 보안 서비스와 기능이 많이 있습니다. 예를 들어 Amazon Inspector는 AWS 워크로드의 취약성을 지속적으로 검사하는 취약성 관리 서비스입니다. 이러한 스캔에는 환경의 Amazon EC2 인스턴스에 허용되는 네트워크 경로가 있음을 나타내는 네트워크 연결성 검사가 포함됩니다. Amazon Virtual Private Cloud(Amazon VPC)를 사용하면 AWS 리소스를 시작할 수 있는 가상 네트워크를 정의할 수 있습니다. 이 가상 네트워크는 기존 네트워크와 매우 유사하며 다양한 기능과 이점을 포함합니다. VPC 엔드포인트를 사용하면 인터넷 경로 없이도 지원되는 AWS 서비스 및 AWS PrivateLink로 구동되는 엔드포인트 서비스에 VPC를 비공개로 연결할 수 있습니다. 다음 다이어그램은 네트워크, 컴퓨팅 및 콘텐츠 전송 인프라에 초점을 맞춘 보안 서비스를 보여줍니다.

보안 주체 및 리소스

AWS 보안 주체 및 AWS 리소스(IAM 정책 포함)는 AWS의 자격 증명 및 액세스 관리의 기본 요소입니다. AWS의 인증된 보안 주체는 작업을 수행하고 AWS 리소스에 액세스할 수 있습니다. 보안 주체는 AWS 계정 루트 사용자 또는 IAM 사용자로 인증하거나 역할을 수임하여 인증할 수 있습니다.

AWS 리소스는 작업할 수 있는 AWS 서비스 내에 존재하는 객체입니다. EC2 인스턴스, AWS CloudFormation 스택, Amazon Simple Notification Service(Amazon SNS) 주제 및 S3 버킷을 예로 들 수 있습니다. IAM 정책은 IAM 자격 증명(사용자, 그룹 또는 역할) 또는 AWS 리소스와 연결될 때 권한을 정의하는 객체입니다. 자격 증명 기반 정책은 보안 주체가 수행할 수 있는 작업, 리소스 및 조건을 제어하기 위해 보안 주체(역할, 사용자 및 사용자 그룹)에 연결하는 정책 문서입니다. 리소스 기반 정책은 S3 버킷과 같은 리소스에 연결하는 정책 문서입니다. 이러한 정책은 지정된 보안 주체에게 해당 리소스에 대해 특정 작업을 수행하고 해당 권한의 조건을 정의할 수 있는 권한을 부여합니다. 리소스 기반 정책은 인라인 정책입니다. IAM 리소스 섹션에서는 IAM 정책의 유형과 사용 방법을 자세히 살펴봅니다.

이 논의에서 사물을 간단하게 유지하기 위해 계정 보안 주체에서 운영하거나 계정 보안 주체에 적용하는 주요 목적이 있는 IAM 엔터티에 대한 AWS 보안 서비스 및 기능을 나열합니다. 이러한 단순성을 유지하면서 IAM 권한 정책의 유연성과 효과 범위를 확인합니다. 정책의 단일 문은 여러 유형의 AWS 엔터티에 영향을 미칠 수 있습니다. 예를 들어, IAM 자격 증명 기반 정책은 IAM 엔터티와 연결되어 있고 해당 엔터티에 대한 권한(허용, 거부)을 정의하지만이 정책은 지정된 작업, 리소스 및 조건에 대한 권한도 암시적으로 정의합니다. 이러한 방식으로 자격 증명 기반 정책은 리소스에 대한 권한을 정의하는 데 중요한 요소일 수 있습니다.

다음 다이어그램은 AWS 보안 주체에 대한 AWS 보안 서비스 및 기능을 보여줍니다. 자격 증명 기반 정책은 사용자, 그룹 및 역할과 같은 식별 및 그룹화에 사용되는 IAM 리소스 객체에 연결됩니다. 이러한 정책으로 자격 증명이 수행할 수 있는 작업(권한)을 지정할 수 있습니다. IAM 세션 정책은 사용자가 역할을 수임할 때 세션에서 전달하는 인라인 권한 정책입니다. 정책을 직접 전달하거나 자격 증명이 AWS에 페더레이션될 때 정책을 삽입하도록 자격 증명 브로커를 구성할 수 있습니다. 이렇게 하면 여러 사용자가 동일한 역할을 수임할 수 있지만 고유한 세션 권한이 있으므로 관리자가 생성해야 하는 역할 수를 줄일 수 있습니다. IAM Identity Center 서비스는 AWS Organizations 및 AWS API 작업과 통합되며 AWS Organizations의 AWS 계정 전체에서 SSO 액세스 및 사용자 권한을 관리하는 데 도움이 됩니다.

다음 다이어그램은 계정 리소스에 대한 서비스 및 기능을 보여줍니다. 리소스 기반 정책은 리소스에 연결됩니다. 예를 들어 리소스 기반 정책을 S3 버킷, Amazon Simple Queue Service(Amazon SQS) 대기열, VPC 엔드포인트 및 AWS KMS 암호화 키에 연결할 수 있습니다. 리소스 기반 정책을 사용하여 리소스에 액세스할 수 있는 사람과 리소스에 대해 수행할 수 있는 작업을 지정할 수 있습니다. S3 버킷 정책, AWS KMS 키 정책 및 VPC 엔드포인트 정책은 리소스 기반 정책의 유형입니다. AWS IAM Access Analyzer를 사용하면 S3 버킷 또는 IAM 역할과 같이 외부 엔터티와 공유되는 조직 및 계정의 리소스를 식별할 수 있습니다. 이렇게 하면 리소스 및 데이터에 대한 의도하지 않은 액세스라는 보안 위험을 식별할 수 있습니다. AWS Config를 사용하면 AWS 계정에서 지원되는 AWS 리소스의 구성을 평가, 감사 및 평가할 수 있습니다. AWS Config는 AWS 리소스 구성을 지속적으로 모니터링 및 기록하고, 기록된 구성을 원하는 구성과 비교하여 자동으로 평가합니다.