기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Elastic Beanstalk의 보안 모범 사례
AWS Elastic Beanstalk은 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용해 주십시오.
기타 Elastic Beanstalk 보안 주제는 AWS Elastic Beanstalk 보안 단원을 참조하십시오.
예방 보안 모범 사례
예방적 보안 통제는 사고가 발생하기 전에 사고를 예방하려고 시도합니다.
최소 권한 액세스 구현
Elastic Beanstalk는 인스턴스 프로파일, 서비스 역할및 IAM 사용자를 위한 AWS Identity and Access Management(IAM) 관리형 정책을 제공합니다. 이러한 관리형 정책은 환경 및 애플리케이션이 올바르게 작동하는 데 필요할 수 있는 모든 권한을 지정합니다.
애플리케이션에 우리의 관리형 정책의 모든 권한이 필요한 것은 아닙니다. 이러한 정책을 사용자 지정하여 환경 인스턴스, Elastic Beanstalk 서비스 및 사용자의 작업 수행에 필요한 권한만 부여할 수 있습니다. 이는 다른 사용자 역할이 다른 권한 요구를 가질 수 있는 사용자 정책과 특히 관련이 있습니다. 최소 권한 액세스를 구현하는 것이 오류 또는 악의적인 의도로 인해 발생할 수 있는 보안 위험과 영향을 최소화할 수 있는 근본적인 방법입니다.
민감한 애플리케이션 데이터 보호
애플리케이션이 자격 증명, API 키 또는 구성 데이터와 같은 민감한 정보에 액세스해야 할 경우 보안을 유지하기 위해 다음과 같은 모범 사례를 따르세요.
-
애플리케이션 코드 내에서 SDK 또는 API를 사용해 AWS Secrets Manager 또는 AWS Systems Manager Parameter Store에서 민감한 데이터를 직접 조회하세요. 이를 통해 민감한 정보에 가장 안전하고 유연하게 액세스할 수 있습니다.
-
AWS Secrets Manager 또는 AWS Systems Manager 파라미터에서 민감한 데이터를 환경 변수로 전달하는 경우(자세한 내용은 보안 암호를 환경 변수로 가져오기 참조), EC2 키 페어에 대한 액세스를 엄격히 제한하고, 인스턴스에 최소 권한 원칙에 따라 적절한 IAM 역할을 구성하세요.
-
애플리케이션 코드에서 민감한 데이터를 출력하거나 로그로 기록하거나 노출하지 마세요. 이러한 값은 로그 파일이나 오류 메시지에 포함되어 권한 없는 사용자가 보게 될 위험이 있습니다.
플랫폼 정기 업데이트
Elastic Beanstalk는 정기적으로 새 플랫폼 버전을 출시하여 모든 플랫폼을 업데이트합니다. 새 플랫폼 버전은 운영 체제, 실행 시간, 애플리케이션 서버 및 웹 서버 업데이트, Elastic Beanstalk 구성 요소 업데이트를 제공합니다. 이러한 많은 플랫폼 업데이트에는 중요한 보안 수정 사항이 포함되어 있습니다. 지원되는 플랫폼 버전(일반적으로 플랫폼의 최신 버전)에서 Elastic Beanstalk 환경이 실행되고 있는지 확인하십시오. 자세한 내용은 Elastic Beanstalk 환경의 플랫폼 버전 업데이트을 참조하세요.
환경 플랫폼을 최신 상태로 유지하는 가장 쉬운 방법은 관리형 플랫폼 업데이트를 사용하도록 환경을 구성하는 것입니다.
환경 인스턴스에 IMDSv2 적용
Elastic Beanstalk 환경의 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스는 온인스턴스 구성 요소인 인스턴스 메타데이터 서비스(IMDS)를 사용하여 인스턴스 메타데이터에 안전하게 액세스합니다. IMDS는 데이터 액세스를 위한 두 가지 방법인 IMDSv1과 IMDSv2를 지원합니다. IMDSv2는 세션 지향 요청을 사용하며 IMDS에 액세스하기 위해 사용될 수 있는 여러 유형의 취약성을 완화합니다. IMDSv2의 장점에 대한 자세한 내용은 EC2 인스턴스 메타데이터 서비스에 심층적인 방어 기능을 추가하기 위한 향상된 기능
IMDSv2가 더 안전하므로 인스턴스에서 IMDSv2를 사용하는 것이 좋습니다. IMDSv2를 적용하려면 애플리케이션의 모든 구성 요소가 IMDSv2를 지원하는지 확인한 다음 IMDSv1을 비활성화하십시오. 자세한 내용은 Elastic Beanstalk 환경 인스턴스에서 IMDS 구성 섹션을 참조하세요.
탐지 보안 모범 사례
탐지 보안 통제는 보안 위반이 발생한 후 이를 식별합니다. 잠재적인 보안 위협이나 사고를 탐지하는 데 도움이 됩니다.
모니터링 구현
모니터링은 Elastic Beanstalk 솔루션의 신뢰성, 보안, 가용성 및 성능을 유지하는 데 중요한 부분입니다. AWS에서는 AWS 서비스를 모니터링할 수 있는 여러 가지 도구와 서비스를 제공합니다.
다음은 모니터링 대상 항목의 예입니다:
-
Elastic Beanstalk를 위한 Amazon CloudWatch 지표 — 주요 Elastic Beanstalk 지표와 애플리케이션의 사용자 지정 지표에 대한 경보를 설정합니다. 자세한 내용은 Amazon CloudWatch와 함께 Elastic Beanstalk 사용을 참조하세요.
-
AWS CloudTrail 항목 –
UpdateEnvironment또는TerminateEnvironment와 같이 가용성에 영향을 줄 수 있는 작업을 추적합니다. 자세한 내용은 로 Elastic Beanstalk API 호출 로깅AWS CloudTrail을 참조하세요.
AWS Config 활성화
AWS Config는 AWS 계정에 있는 리소스의 구성을 자세히 보여 줍니다. 리소스 간에 어떤 관계가 있는지 파악하고, 구성 변경 이력을 확인하고, 시간이 지나면서 구성과 관계가 어떻게 변하는지 확인할 수 있습니다.
AWS Config를 사용해 리소스 구성이 데이터 규칙을 준수하는지 평가하는 규칙을 정의할 수 있습니다. AWS Config 규칙은 Elastic Beanstalk 리소스에 대한 이상적인 구성 설정을 나타냅니다. 리소스가 규칙을 위반하고 규정 위반으로 플래그가 지정된 경우 AWS Config에서는 Amazon Simple Notification Service(Amazon SNS) 주제를 사용하여 알림을 제공할 수 있습니다. 자세한 내용은 AWS Config를 사용하여 Elastic Beanstalk 리소스 찾기 및 추적 섹션을 참조하십시오.
