본문 바로가기

AWS Security

(3)
3. 인프라 보호 [격리를 통한 보호] 인프라를 보호하면 의도하지 않은 무단 액세스 및 기타 잠재적 취약성으로부터 워크로드 내의 시스템 및 리소스가 보호됩니다. Amazon Virtual Private Cloud(Amazon VPC)를 사용하면 클라우드에서 AWS 리소스를 격리할 수 있습니다. 리소스에 대한 심층 방어 접근 방식을 제공하는 가장 일반적인 VPN 기능은 다음과 같습니다. 1) 서브넷 라우팅 - 서브넷을 사용하면 보안 및 운영상의 필요에 따라 인스턴스와 AWS 리소스를 그룹화할 수 있습니다. 서브넷을 사용하여 네트워크에 대한 라우팅을 구성할 수도 있으며, 라우팅을 사용하면 리소스의 대상과 인터넷을 통해 접속할 수 있는지 여부를 지정할 수 있습니다. 2) 네트워크 ACL - VPC 내에서 보안 계층을 추가하기 ..
2. 탐지 제어 [로그 캡처 및 수집] 탐지 제어는 거버넌스 프레임워크의 필수적인 부분이며, 잠재적 보안 위협 또는 사고를 식별하는 데 사용할 수 있습니다. AWS에서 탐지 제어를 처리하는 경우 다수의 접근 방식을 고려할 수 있습니다. CloudTrail 계정에 대한 API 호출을 기록합니다. AWS 리소스의 변경 사항을 추적하고 운영 문제를 해결하여 내부 정책 및 규정 표준의 준수 여부를 확인할 수 있습니다. 누가 요청했는지, 언제 어디서 실행했는지, 어떤 인스턴스를 실행했는지 알 수 있습니다. 규정 준수를 입증하는 방법 중 하나는 모든 CloudTrail 로그를 변경 불가능한 형태로 유지하는 것입니다. 예를 들면 계정 A가 CloudTrail을 사용하여 모든 작업을 추적하는 경우 모든 로그를 계정 B로 복사하는 것입..
1. 자격 증명 및 액세스 관리 [AWS IAM 사용자 및 그룹] 클라우드에서 리소스를 보호하는 방법의 기본은 접근 자격 증명을 관리하는 것입니다. AWS 계정을 개설하면 시작할 때 사용하는 자격 증명으로 해당 계정의 모든 AWS 서비스와 리소스에 액세스할 수 있으며, 이 자격 증명을 사용하여 IAM에서 권한이 있는 사용자와 역할 기반 액세스를 설정합니다. IAM은 AWS 계정 내에서 각 사용자와 사용자 권한을 생성 및 관리하기 위한 중앙 집중식 메커니즘입니다. IAM 그룹은 사용자 모음으로, 그룹을 사용하여 유사한 유형의 사용자에 대한 권한을 지정할 수 있습니다. 계정별로 최소 필요 권한을 부여하려면 많은 노동이 필요하겠지만, 그룹별 최소 필요 권한을 지정하여 관리자 그룹, 모니터링 그룹, 개발자 그룹, 테스터 그룹 등을 생성하여 관..