SEC08-BP03 저장 데이터 자동화 보호 - 보안 요소
구현 지침 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SEC08-BP03 저장 데이터 자동화 보호

자동화를 사용하여 저장된 데이터 제어를 검증하고 적용하세요.  자동 스캐닝을 사용하여 데이터 스토리지 솔루션의 잘못된 구성을 탐지하고, 가능하다면 자동화된 프로그래밍 방식 응답을 통해 수정을 수행합니다.  CI/CD 프로세스에 자동화를 통합하여 프로덕션 환경에 배포하기 전에 데이터 스토리지 구성 오류를 감지할 수 있습니다.

원하는 성과: 자동화된 시스템이 데이터 스토리지 위치를 스캔하고 모니터링하여 제어 기능의 잘못된 구성, 무단 액세스 및 예상치 못한 사용이 있는지 확인합니다.  잘못 구성된 스토리지 위치를 탐지하면 자동 수정이 시작됩니다.  자동화된 프로세스는 데이터 백업을 생성하고 원본 환경 외부에 변경 불가능한 사본을 저장합니다.

일반적인 안티 패턴:

  • 지원되는 경우에 기본 설정으로 암호화를 활성화하는 옵션을 고려하고 있지 않습니다.

  • 자동 백업 및 복구 전략을 수립할 때 운영 이벤트 외에 보안 이벤트는 고려하지 않습니다.

  • 스토리지 서비스에 대한 공개 액세스 설정을 적용하지 않습니다.

  • 저장 데이터를 보호하기 위한 제어 기능을 모니터링하고 감사하지 않습니다.

이 모범 사례 확립의 이점: 자동화는 데이터 스토리지 위치를 잘못 구성할 위험을 방지하는 데 도움이 됩니다. 프로덕션 환경에 잘못된 구성이 유입되는 것을 방지하는 데 도움이 됩니다. 이 모범 사례는 잘못된 구성이 발생할 경우 이를 탐지하고 수정하는 데도 도움이 됩니다. 

이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 중간

구현 가이드 

자동화는 저장 데이터를 보호하기 위한 관행 전반에 적용되는 주제입니다. SEC01-BP06 표준 보안 제어의 자동 배포는 와 같은 인프라 코드(IaC) 템플릿을 사용하여 리소스 구성을 캡처하는 방법을 설명합니다AWS CloudFormation.  이러한 템플릿은 버전 제어 시스템에 커밋되며 CI/CD 파이프라인을 AWS 통해 에 리소스를 배포하는 데 사용됩니다.  이러한 기술은 Amazon S3 버킷의 암호화 설정과 같은 데이터 스토리지 솔루션의 구성을 자동화하는 데도 동일하게 적용됩니다. 

AWS CloudFormation Guard의 규칙을 사용하여 IaC 템플릿에서 정의한 설정에 CI/CD 파이프라인의 잘못된 구성이 있는지 확인할 수 있습니다.  또는 다른 IaC 도구에서 CloudFormation 아직 사용할 수 없는 설정을 모니터링하여 를 잘못 구성했는지 확인할 수 있습니다AWS Config.  0SEC04-BP044 규정 미준수 리소스에 대한 개선 시작 에 설명된 대로 구성이 잘못된 구성을 위해 생성하는 알림은 자동으로 수정될 수 있습니다.

권한 관리 전략의 일부로 자동화를 사용하는 것도 자동화된 데이터 보호의 필수 구성 요소입니다. SEC03-BP02 최소 권한 액세스 권한 부여SEC03-BP04 권한 축소는 권한을 줄일 수 있을 때 조사 결과를 생성하기 위해 에서 지속적으로 모니터링하는 최소 권한 액세스 정책 구성을 지속적으로 설명합니다. AWS Identity and Access Management Access Analyzer  모니터링 권한을 위한 자동화 외에도 EBS 볼륨(EC2인스턴스를 통해), S3 버킷 및 지원되는 Amazon GuardDuty Amazon Relational Database Service을 구성할 수 있습니다.

자동화는 민감한 데이터가 승인되지 않은 위치에 저장되는 시점을 탐지하는 역할도 합니다. SEC07-BP03 식별 및 분류 자동화Amazon Macie가 S3 버킷에서 예상치 못한 민감한 데이터를 모니터링하고 자동 응답을 시작할 수 있는 알림을 생성하는 방법을 설명합니다.

REL09 데이터 백업의 관행에 따라 자동 데이터 백업 및 복구 전략을 개발합니다. 데이터 백업 및 복구는 운영 이벤트와 마찬가지로 보안 이벤트 복구에도 중요합니다.

구현 단계

  1. IaC 템플릿에서 데이터 스토리지 구성을 캡처합니다.  CI/CD 파이프라인의 자동 검사를 사용하여 구성 오류를 감지합니다.

    1. 를 IaC 템플릿에 사용하고 CloudFormation Guard를 사용하여 템플릿 구성 오류 여부를 확인할 수 있습니다.

    2. AWS Config를 사용하여 사전 평가 모드에서 규칙을 실행합니다. 이 설정을 사용하면 리소스를 생성하기 전에 CI/CD 파이프라인의 한 단계로 리소스의 규정 준수를 확인할 수 있습니다.

  2. 리소스에서 데이터 스토리지 구성 오류를 모니터링합니다.

    1. 데이터 스토리지 리소스에서 제어 구성의 변경 사항을 모니터링하고 잘못된 구성이 감지되면 수정 조치를 간접 호출하는 알림을 생성하도록 AWS Config를 설정합니다.

    2. 자동 SEC수정에 대한 자세한 지침은 04-BP04 규정 미준수 리소스에 대한 수정 시작을 참조하세요.

  3. 자동화를 통해 데이터 액세스 권한을 지속적으로 모니터링하고 줄입니다.

    1. IAM Access Analyzer는 지속적으로 실행되어 잠재적으로 권한이 감소될 수 있는 알림을 생성할 수 있습니다.

  4. 비정상적인 데이터 액세스 동작을 모니터링하고 알림을 보냅니다.

    1. GuardDuty 는 EBS 볼륨, S3 버킷 및 RDS 데이터베이스와 같은 데이터 스토리지 리소스의 알려진 위협 서명과 기준 액세스 동작과의 편차를 모두 감시합니다.

  5. 예상치 못한 위치에 저장되는 민감한 데이터를 모니터링하고 알림을 보냅니다.

    1. Amazon Macie를 사용하여 S3 버킷에서 민감한 데이터를 지속적으로 스캔합니다.

  6. 안전하고 암호화된 데이터 백업을 자동화합니다.

    1. AWS Backup 는 에서 다양한 데이터 소스의 암호화되고 안전한 백업을 생성하는 관리형 서비스입니다 AWS.  Elastic Disaster Recovery를 사용하면 전체 서버 워크로드를 복사하고 몇 초 만에 측정한 복구 시점 목표(RPO)를 사용하여 지속적인 데이터 보호를 유지할 수 있습니다.  두 서비스가 함께 작동하도록 구성하여 데이터 백업 생성 및 장애 조치 위치에 복사하는 작업을 자동화할 수 있습니다.  이렇게 하면 운영 또는 보안 이벤트의 영향을 받는 경우에도 데이터를 계속 사용할 수 있습니다.

리소스

관련 모범 사례:

관련 문서:

관련 예제:

관련 도구: