기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon GameLift Servers의 보안 모범 사례
<a name="security-best-practices"></a>

Amazon EC2의 독립형 기능으로 Amazon GameLift Servers FleetIQ를 사용하는 경우 *Amazon EC2 사용 설명서*에서 [Amazon EC2의 보안](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html)을 참조하세요.

Amazon GameLift Servers는 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용하세요.

## 플릿 런타임 환경을 최신 상태로 유지
<a name="security-best-practices-fleetupdates"></a>

Amazon GameLift Servers에서는 관리형 플릿(관리형 EC2 및 관리형 컨테이너 플릿 포함)을 정기적으로 교체하여 게임 서버의 안전한 런타임 환경을 유지할 것을 적극 권장합니다. 런타임 업데이트 없이 장기간 실행되는 플릿에는 오래된 종속성과 게임 서버를 손상시킬 수 있는 보안 취약성이 포함될 수 있습니다. Amazon GameLift Servers 플릿에 배포된 소프트웨어에 대한 책임을 공유하는 방법에 대한 자세한 내용은 [Amazon GameLift Servers의 구성 및 취약성 분석](vulnerability-analysis-management.md) 섹션을 참조하세요.

관리형 플릿의 런타임 환경은 Amazon Machine Image(AMI) 버전에 따라 결정됩니다. 새 플릿이 생성되면 Amazon GameLift Servers가 플릿에 사용 가능한 최신 AMI 버전을 할당하고 해당 플릿의 모든 컴퓨팅 인스턴스가 해당 버전과 함께 배포됩니다. AMI 버전을 업데이트하려면 새 플릿을 생성해야 합니다. 현재 AMI 버전에 대한 자세한 내용은 [Amazon GameLift Servers AMI 버전](reference-ec2-ami-version-history.md) 섹션을 참조하세요.

권장 모범 사례:
+ **플릿 수명 모니터링 및 30일 이상 된 플릿 교체** - Amazon GameLift Servers 콘솔에서 플릿 생성 날짜를 추적하거나 CLI를 사용하여 플릿 속성을 검색할 수 있습니다. Amazon GameLift Servers는 90일 이상 된 플릿에 대해 콘솔에 경고를 표시하고 1년 이상 된 플릿에 대해 이메일로 계정 소유자에게 알립니다.
**참고**  
플릿을 업데이트해도(예: [UpdateFleetAttributes](https://docs.aws.amazon.com/gameliftservers/latest/apireference/API_UpdateFleetAttributes.html) 또는 [UpdateContainerFleet](https://docs.aws.amazon.com/gameliftservers/latest/apireference/API_UpdateContainerFleet.html) 사용) AMI 버전은 변경되지 않습니다. 새 플릿을 생성해야 합니다.
+ **보안 상태에 따라 정기적으로 플릿 교체** - 새 플릿을 생성하고 이전 플릿을 사용 중지하도록 정기적인 일정을 설정합니다. [Amazon Q](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/code-reviews.html)와 같은 서비스를 사용하여 현재 AMI 버전으로 게임 코드를 검토하고, 보안 문제를 감지하며, 문제 해결 단계를 제안하는 것이 좋습니다.
+ **배포 전에 최신 AMI 버전으로 서버 빌드 테스트** - 새 플릿을 생성하기 전에 서버 빌드를 수정하고Amazon GameLift Servers에 이를 업로드해야 할 수 있습니다.
+ ** AWS 계정의 플릿 할당량 관리** - 대체 플릿을 생성하는 데 필요한 경우 한도 증가를 요청할 수 있습니다. 자세한 내용은 [Amazon GameLift Servers 엔드포인트 및 할당량](limits-regions.md) 단원을 참조하십시오.
+ **플릿 교체 자동화 고려** - 프로세스를 자동화하여 새 플릿을 생성하고 이전 플릿에서 플레이어 트래픽을 마이그레이션할 수 있습니다. 예제:
  +  AWS CloudFormation 를 사용하여 플릿 생성 및 관리를 자동화합니다. 플릿 구성을 CloudFormation 템플릿으로 유지하고 이를 사용하여 리소스 스택을 시작합니다.
  + Amazon GameLift Servers 별칭 기능을 활용하여 특정 플릿 ID를 추상화합니다. 플릿 별칭을 사용하면 진행 중인 게임 세션을 중단하지 않고 플레이어 트래픽을 기존 플릿에서 새 플릿으로 쉽게 전환할 수 있습니다. 자세한 내용은 [별칭을 사용하여 Amazon GameLift Servers 플릿 지정 추상화](aliases-intro.md)을 참조하세요.
  + 블루/그린 배포 전략을 사용하여 마이그레이션 위험을 줄이고 가동 중지 시간을 0으로 유지합니다. 두 개의 동일한 프로덕션 환경을 사용하면 프로덕션과 유사한 전체 테스트 환경을 활용하고, 마이그레이션 프로세스를 더 잘 제어하며, 즉각적인 롤백을 보장할 수 있습니다.

## 포트 구성 보호
<a name="security-best-practices-ports"></a>

보안 위험이 있으므로 인터넷에 포트를 열지 않는 것이 좋습니다. 예를 들어 다음 구성은 인터넷상의 모든 사용자가 인스턴스에 액세스할 수 있도록 허용하는 원격 데스크톱 포트를 엽니다.

```
{
  "FleetId": "<fleet identifier>",
  "InboundPermissionAuthorizations": [ 
      { 
        "FromPort": 3389,
        "IpRange": "0.0.0.0/0",
        "Protocol": "RDP",
        "ToPort": 3389
      }
  ]
}
```

 대신 다음 예제와 같이 [UpdateFleetPortSettings](https://docs.aws.amazon.com/gameliftservers/latest/apireference/API_UpdateFleetPortSettings.html)를 사용하여 특정 IP 주소 또는 주소 범위가 있는 포트를 엽니다.

```
{
  "FleetId": "<fleet identifier>",
  "InboundPermissionAuthorizations": [ 
      { 
        "FromPort": 3389,
        "IpRange": "54.186.139.221/32",
        "Protocol": "TCP",
        "ToPort": 3389
      }
  ]
}
```

## 추가 보안 리소스
<a name="security-best-practices-resources"></a>

Amazon GameLift Servers를 보다 안전하게 사용할 수 있는 방법에 대한 자세한 내용은 [AWS Well-Architected Tool 보안 원칙](https://wa.aws.amazon.com/wat.pillar.security.en.html)을 참조하세요.