SEC02-BP05 보안 인증 정보를 주기적으로 감사하고 교체 - AWS Well-Architected 프레임워크
구현 지침리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SEC02-BP05 보안 인증 정보를 주기적으로 감사하고 교체

자격 증명을 주기적으로 감사하고 교체하여 리소스에 액세스하는 데 자격 증명을 사용할 수 있는 기간을 제한합니다. 장기 자격 증명은 많은 위험을 초래하며 이러한 위험은 장기 자격 증명을 정기적으로 교체하여 줄일 수 있습니다.

원하는 성과: 자격 증명 교체를 구현하여 장기 자격 증명 사용과 관련된 위험을 줄입니다. 자격 증명 교체 정책 미준수를 정기적으로 감사하고 개선합니다.

일반적인 안티 패턴:

  • 자격 증명 사용을 감사하지 않습니다.

  • 장기 자격 증명을 불필요하게 사용합니다.

  • 장기 자격 증명을 사용하고 정기적으로 교체하지 않습니다.

이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 높음

구현 가이드

임시 보안 인증에 의존할 수 없고 장기 보안 인증이 필요한 경우 보안 인증 정보를 감사하여 다중 인증(MFA)과 같이 정의된 제어가 적용되고 정기적으로 교체되며 적절한 액세스 수준이 있는지 확인합니다.

올바른 제어 기능이 적용되는지 확인하려면 주기적인 검증(가능한 자동화된 도구 사용)을 실시해야 합니다. 인적 자격 증명의 경우, 사용자가 주기적으로 암호를 변경하고 액세스 키 사용을 중지하며 그 대신 임시 자격 증명을 사용하도록 규정해야 합니다. AWS Identity and Access Management (IAM) 사용자에서 중앙 집중식 자격 증명으로 이동하면 자격 증명 보고서를 생성하여 사용자를 감사할 수 있습니다.

또한 자격 증명 공급자MFA에서 적용 및 모니터링하는 것이 좋습니다. 를 설정AWS Config 규칙하거나 AWS Security Hub 보안 표준 를 사용하여 사용자가 를 구성했는지 모니터링할 수 있습니다MFA. IAM Roles Anywhere를 사용하여 기계 자격 증명에 대한 임시 자격 증명을 제공하는 것이 좋습니다. IAM 역할 및 임시 자격 증명을 사용할 수 없는 상황에서는 액세스 키를 자주 감사하고 교체하는 것이 필요합니다.

구현 단계

  • 자격 증명 정기 감사: 자격 증명 공급자에 구성된 자격 증명 감사를 IAM 통해 승인된 자격 증명만 워크로드에 액세스할 수 있는지 확인할 수 있습니다. 이러한 자격 증명에는 IAM 사용자, AWS IAM Identity Center 사용자, Active Directory 사용자 또는 다른 업스트림 자격 증명 공급자의 사용자가 포함될 수 있지만 이에 국한되지 않습니다. 예를 들어 퇴사하는 사람을 제거하고 더 이상 필요하지 않은 크로스 계정 역할을 제거합니다. IAM 엔터티가 액세스하는 서비스에 대한 권한을 주기적으로 감사하는 프로세스를 마련합니다. 이렇게 하면 사용되지 않는 권한을 제거하기 위해 수정해야 하는 정책을 식별하는 데 도움이 됩니다. 자격 증명 보고서 및 AWS Identity and Access Management Access Analyzer를 사용하여 IAM 자격 증명 및 권한을 감사할 수 있습니다. Amazon CloudWatch 을 사용하여 환경 내에서 호출되는 특정 API 통화에 대한 경보를 설정할 수 있습니다. AWS 또한 Amazon GuardDuty 은 예기치 않은 활동 에 대해 경고할 수 있습니다. 이는 보안 IAM 인증 정보에 대한 과도한 액세스 허용 또는 의도하지 않은 액세스를 나타낼 수 있습니다.

  • 자격 증명을 정기적으로 교체: 임시 자격 증명을 사용할 수 없는 경우 장기 IAM 액세스 키를 정기적으로 교체하세요(최대 90일마다). 자신도 모르게 액세스 키가 의도치 않게 공개된 경우 자격 증명을 사용하여 리소스에 액세스할 수 있는 기간이 제한됩니다. IAM 사용자의 액세스 키 교체에 대한 자세한 내용은 액세스 키 교체를 참조하세요.

  • 검토 IAM 권한: 의 보안을 개선하려면 각 IAM 정책을 AWS 계정정기적으로 검토하고 모니터링합니다. 정책이 최소 권한 원칙을 준수하는지 확인합니다.

  • IAM 리소스 생성 및 업데이트 자동화 고려: IAM Identity Center는 역할 및 정책 관리와 같은 많은 IAM 작업을 자동화합니다. 또는 템플릿을 확인하고 버전을 제어할 AWS CloudFormation 수 있으므로 인적 오류의 가능성을 줄이기 위해 역할 및 정책을 포함한 IAM 리소스 배포를 자동화하는 데 사용할 수 있습니다.

  • IAM Roles Anywhere를 사용하여 머신 자격 증명에 대한 IAM 사용자를 대체합니다. IAM Roles Anywhere를 사용하면 온프레미스 서버와 같이 기존에는 불가능했던 영역에서 역할을 사용할 수 있습니다. IAM Roles Anywhere는 신뢰할 수 있는 X.509 인증서를 사용하여 임시 자격 증명을 인증 AWS 하고 수신합니다. 장기 보안 인증 정보는 더 이상 온프레미스 환경에 저장되지 않으므로 IAM Roles Anywhere를 사용하면 이러한 보안 인증 정보를 교체할 필요가 없습니다. 만료가 가까워지면 X.509 인증서를 모니터링하고 교체해야 합니다.

리소스

관련 모범 사례:

관련 문서:

관련 비디오:

관련 예제: