SEC08-BP04 액세스 제어 적용
저장 데이터를 보호하려면 격리 및 버전 관리와 같은 메커니즘을 사용하여 액세스 제어를 적용하고 최소 권한 원칙을 적용합니다. 데이터에 대한 퍼블릭 액세스 권한 부여를 방지합니다.
원하는 성과: 인증된 사용자만 알아야 할 데이터에 액세스할 수 있는지 확인합니다. 정기적인 백업 및 버전 관리를 통해 데이터를 보호하여 의도적이거나 우발적인 데이터 수정 또는 삭제를 방지합니다. 중요한 데이터를 다른 데이터와 분리하여 기밀성과 데이터 무결성을 보호합니다.
일반적인 안티 패턴:
-
민감도 요구 사항이 다르거나 분류가 다른 데이터를 함께 저장합니다.
-
복호화 키에 지나치게 관대한 권한을 사용합니다.
-
데이터를 잘못 분류합니다.
-
중요한 데이터의 자세한 백업을 유지하지 않습니다.
-
프로덕션 데이터에 대한 지속적인 액세스를 제공합니다.
-
데이터 액세스를 감사하거나 정기적으로 권한을 검토하지 않습니다.
이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 낮음
구현 가이드
액세스(최소 권한 사용), 격리, 버전 관리를 포함한 여러 제어를 사용하여 저장 데이터를 보호할 수 있습니다. 데이터에 대한 액세스는 AWS CloudTrail과 같은 탐지 메커니즘과 Amazon Simple Storage Service(S3) 액세스 로그와 같은 서비스 수준 로그를 사용하여 감사해야 합니다. 퍼블릭 액세스가 가능한 데이터의 인벤토리를 만들고 시간이 지남에 따라 공개적으로 사용 가능한 데이터의 양을 줄이기 위한 계획을 수립해야 합니다.
Amazon S3 Glacier 볼트 잠금 및 Amazon S3 객체 잠금은 Amazon S3의 객체에 대한 필수 액세스 제어를 제공합니다. 규정 준수 옵션으로 볼트 정책을 잠그면 루트 사용자도 잠금이 만료되기 전까지는 변경할 수 없습니다.
구현 단계
-
액세스 제어 적용: 암호화 키 액세스를 포함하여 최소 권한을 사용하는 액세스 제어를 적용합니다.
-
다양한 분류 수준에 따라 데이터 분리: 데이터 분류 수준에 서로 다른 AWS 계정을 사용하고, AWS Organizations를 사용하여 해당 계정을 관리합니다.
-
AWS Key Management Service(AWS KMS) 정책 검토: AWS KMS 정책에서 부여된 액세스 수준을 검토합니다.
-
Amazon S3 버킷 및 객체 권한 검토: S3 버킷 정책에 부여된 액세스 수준을 정기적으로 검토합니다. 퍼블릭 읽기 또는 쓰기가 가능한 버킷을 사용하지 않는 것이 모범 사례입니다. 또한 AWS Config를 사용하여 공개적으로 사용 가능한 버킷을 감지하고 Amazon CloudFront를 사용하여 Amazon S3에서 콘텐츠를 지원하는 것이 좋습니다. 퍼블릭 액세스를 허용하면 안 되는 버킷은 퍼블릭 액세스가 되지 않도록 적절히 구성되어 있는지 확인합니다. 기본적으로 모든 S3 버킷은 프라이빗 버킷이며 명시적으로 액세스 권한이 부여된 사용자만 액세스할 수 있습니다.
-
AWS IAM Access Analyzer 사용: IAM Access Analyzer는 Amazon S3 버킷을 분석하고 S3 정책이 외부 엔터티에 액세스를 부여할 때 조사 결과를 생성합니다.
-
해당되는 경우 Amazon S3 버전 관리 및 객체 잠금을 사용합니다.
-
Amazon S3 인벤토리 사용: Amazon S3 인벤토리는 S3 객체의 복제 및 암호화 상태를 감사하고 보고하는 데 사용할 수 있습니다.
-
Amazon EBS 및 AMI 공유 권한 검토: 권한을 공유하면 워크로드에 대해 외부에 존재하는 AWS 계정과 이미지 및 볼륨을 공유할 수 있습니다.
-
AWS Resource Access Manager 공유를 주기적으로 검토하여 리소스를 계속 공유해야 하는지 확인합니다. Resource Access Manager를 사용하면 Amazon VPC 내에서 AWS 네트워크 방화벽 정책, Amazon Route 53 Resolver 규칙, 서브넷과 같은 리소스를 공유할 수 있습니다. 공유 리소스를 정기적으로 감사하고 더 이상 공유할 필요가 없는 리소스 공유를 중지합니다.
리소스
관련 모범 사례:
관련 문서:
관련 비디오:
