Firewall Manager에서 콘텐츠 감사 보안 그룹 정책 사용 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Firewall Manager에서 콘텐츠 감사 보안 그룹 정책 사용

이 페이지에서는 Firewall Manager 콘텐츠 감사 보안 그룹 정책이 작동하는 방법을 설명합니다.

AWS Firewall Manager 콘텐츠 감사 보안 그룹 정책을 사용하여 조직의 보안 그룹에서 사용 중인 규칙에 정책 작업을 감사하고 적용합니다. 콘텐츠 감사 보안 그룹 정책은 정책에 정의한 범위에 따라 AWS 조직에서 사용 중인 모든 고객 생성 보안 그룹에 적용됩니다.

콘솔을 사용한 콘텐츠 감사 보안 그룹 정책 생성에 대한 지침은 콘텐츠 감사 보안 그룹 정책 생성을 참조하세요.

정책 범위 리소스 유형

다음과 같은 리소스 유형에 콘텐츠 감사 보안 그룹 정책을 적용할 수 있습니다.

  • Amazon Elastic Compute Cloud(AmazonEC2) 인스턴스

  • 탄력적 네트워크 인터페이스

  • Amazon VPC 보안 그룹

보안 그룹이 명시적으로 범위 내에 있거나 범위 내에 있는 리소스와 연결되어 있는 경우 보안 그룹은 정책 범위 내에서 고려됩니다.

정책 규칙 옵션

각 콘텐츠 감사 정책에는 관리형 정책 규칙 또는 사용자 지정 정책 규칙을 사용할 수 있지만 둘 다 사용할 수는 없습니다.

  • 관리형 정책 규칙 - 관리형 규칙이 포함된 정책에서는 애플리케이션 및 프로토콜 목록을 사용하여 Firewall Manager가 감사하고 준수 또는 비준수로 표시하는 규칙을 제어할 수 있습니다. Firewall Manager에서 관리하는 목록을 사용할 수 있습니다. 자체 애플리케이션 및 프로토콜 목록을 만들어 사용할 수도 있습니다. 이러한 유형의 목록 및 사용자 지정 목록의 관리 옵션에 대한 자세한 내용은 Firewall Manager 관리형 목록 사용을 참조하세요.

  • 사용자 지정 정책 규칙 - 사용자 지정 정책 규칙이 포함된 정책에서는 기존 보안 그룹을 정책의 감사 보안 그룹으로 지정합니다. 감사 보안 그룹 규칙을 Firewall Manager가 감사하고 준수 또는 비준수로 표시하는 규칙을 정의하는 템플릿으로 사용할 수 있습니다.

감사 보안 그룹

정책에서 사용할 수 있으려면 먼저 Firewall Manager 관리자 계정을 사용하여 이러한 감사 보안 그룹을 만들어야 합니다. Amazon Virtual Private Cloud(Amazon VPC) 또는 Amazon Elastic Compute Cloud(Amazon )를 통해 보안 그룹을 관리할 수 있습니다EC2. 자세한 내용은 Amazon VPC 사용 설명서보안 그룹 작업을 참조하세요.

콘텐츠 감사 보안 그룹 정책에 사용하는 보안 그룹은 Firewall Manager에서 정책의 범위에 있는 보안 그룹에 대한 비교 참조로만 사용됩니다. Firewall Manager는 이를 조직의 어떤 리소스와도 연결하지 않습니다.

감사 보안 그룹에서 규칙을 정의하는 방법은 정책 규칙 설정에 따라 달라집니다.

  • 관리형 정책 규칙 - 관리형 정책 규칙 설정의 경우 감사 보안 그룹을 사용하여 정책의 다른 설정을 재정의하고 다른 규정 준수 결과를 초래할 수 있는 규칙을 명시적으로 허용하거나 거부합니다.

    • 감사 보안 그룹에 정의된 규칙을 항상 허용하도록 선택하면 감사 보안 그룹에 정의된 규칙과 일치하는 모든 규칙이 다른 정책 설정과 상관없이 정책을 준수하는 것으로 간주됩니다.

    • 감사 보안 그룹에 정의된 규칙을 항상 거부하도록 선택하면 감사 보안 그룹에 정의된 규칙과 일치하는 모든 규칙이 다른 정책 설정과 상관없이 정책을 미준수하는 것으로 간주됩니다.

  • 사용자 지정 정책 규칙 - 사용자 지정 정책 규칙 설정의 경우 감사 보안 그룹은 범위 내 보안 그룹 규칙에 허용되거나 허용되지 않는 항목의 예를 제공합니다.

    • 규칙 사용을 허용하도록 선택한 경우 범위 내 모든 보안 그룹에는 정책의 감사 보안 그룹 규칙의 허용 범위 내에 있는 규칙만 있어야 합니다. 이 경우 정책의 보안 그룹 규칙은 수행하도록 허용할 수 있는 작업의 예를 제공합니다.

    • 규칙 사용을 거부하도록 선택한 경우 범위 내 모든 보안 그룹에는 정책의 감사 보안 그룹 규칙의 허용 범위 내에 없는 규칙만 있어야 합니다. 이 경우 정책의 보안 그룹은 수행하도록 허용할 수 없는 작업의 예를 제공합니다.

정책 생성 및 관리

감사 보안 그룹 정책을 생성할 때 자동 문제 해결을 비활성화해야 합니다. 자동 문제 해결을 활성화하기 전에 정책 생성의 효과를 검토하는 것이 좋습니다. 예상되는 효과를 검토한 후 정책을 편집하고 자동 문제 해결을 활성화할 수 있습니다. 자동 문제 해결을 활성화하면 Firewall Manager는 범위 내 보안 그룹에서 규정을 준수하지 않는 규칙을 업데이트하거나 제거합니다.

감사 보안 그룹 정책의 영향을 받는 보안 그룹

조직에서 고객이 생성한 모든 보안 그룹은 감사 보안 그룹 정책의 범위에 속할 수 있습니다.

복제본 보안 그룹은 고객이 생성한 것이 아니므로 감사 보안 그룹 정책의 범위에 직접 포함될 수 없습니다. 하지만 복제본 보안 그룹은 정책의 자동 문제 해결 활동의 결과로 업데이트될 수 있습니다. 공통 보안 그룹 정책의 기본 보안 그룹은 고객이 생성하며 감사 보안 그룹 정책의 범위에 속할 수 있습니다. 감사 보안 그룹 정책에 따라 기본 보안 그룹이 변경되는 경우 Firewall Manager는 이러한 변경 사항을 복제본에 자동으로 전파합니다.