Accelerate의 데이터 보호 - AMS Accelerate 사용 설명서
Amazon Macie로 모니터링GuardDuty로 모니터링Amazon Route 53 Resolver DNS 방화벽으로 모니터링데이터 암호화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Accelerate의 데이터 보호

AMS Accelerate는 Amazon GuardDuty, Amazon Macie(선택 사항) 및 기타 내부 독점 도구 및 프로세스와 AWS 서비스 같은 네이티브를 활용하여 관리형 계정을 지속적으로 모니터링합니다. 경보가 트리거된 후 AMS Accelerate는 경보에 대한 초기 분류 및 대응을 담당합니다. AMS 응답 프로세스는 NIST 표준을 기반으로 합니다. AMS Accelerate는 보안 인시던트 대응 시뮬레이션을 사용하여 대응 프로세스를 정기적으로 테스트하여 워크플로를 기존 고객 보안 대응 프로그램에 맞게 조정합니다.

AMS Accelerate가 AWS 또는 보안 정책의 위반 또는 위반에 대한 임박한 위협을 탐지하면 Accelerate는 영향을 받는 리소스 및 구성 관련 변경 사항을 포함한 정보를 수집합니다. AMS Accelerate는 모든 관리형 계정에서 모니터링 대시보드, 인시던트 대기열 및 서비스 요청을 적극적으로 검토하고 조사하는 전용 운영자와 함께 연중무휴 follow-the-sun 지원을 제공합니다. Accelerate는 내부 보안 전문가와 조사하여 활동을 분석하고 계정에 나열된 보안 에스컬레이션 연락처를 통해 사용자에게 알립니다.

조사 결과에 따라 Accelerate는 사전에 고객과 소통합니다. 활동이 무단이거나 의심스러운 경우 AMS는 사용자와 협력하여 문제를 조사하고 해결하거나 억제합니다. GuardDuty에서 생성한 특정 결과 유형은 Accelerate가 조치를 취하기 전에 영향을 확인해야 합니다. 예를 들어, GuardDuty 결과 유형 UnauthorizedAccess:IAMUser/ConsoleLogin은 사용자 중 한 명이 비정상적인 위치에서 로그인했음을 나타냅니다. AMS는 사용자에게 알리고이 동작이 합법적인지 확인하기 위해 결과를 검토하도록 요청합니다.

Amazon Macie로 모니터링

AMS Accelerate는 개인 건강 정보(PHI), 개인 식별 정보(PII) 및 금융 데이터와 같은 크고 포괄적인 민감한 데이터 목록을 탐지하기 위해 Amazon Macie를 지원하고 사용하는 것이 모범 사례입니다.

모든 Amazon S3 버킷에서 정기적으로 실행되도록 Macie를 구성할 수 있습니다. 이렇게 하면 시간이 지남에 따라 버킷 내의 새 객체 또는 수정된 객체에 대한 평가가 자동화됩니다. 보안 조사 결과가 생성되면 AMS는 사용자에게 알리고 사용자와 협력하여 필요에 따라 조사 결과를 해결합니다.

자세한 내용은 Amazon Macie 조사 결과 분석을 참조하세요.

GuardDuty로 모니터링

GuardDuty는 악성 IP 주소 및 도메인 목록과 같은 위협 인텔리전스 피드와 기계 학습을 사용하여 AWS 환경 내에서 예기치 않고 잠재적으로 승인되지 않은 악의적인 활동을 식별하는 지속적인 보안 모니터링 서비스입니다. 여기에는 권한 에스컬레이션, 노출된 자격 증명 사용, 악성 IP 주소 또는 도메인과의 통신과 같은 문제가 포함될 수 있습니다. GuardDuty는 무단 인프라 배포, 사용한 적이 없는 AWS 리전에 배포된 인스턴스와 같은 손상 징후가 있는지 AWS 계정 액세스 동작을 모니터링합니다. 또한 GuardDuty는 암호 강도 감소를 위한 암호 정책 변경과 같은 비정상적인 API 호출을 감지합니다. 자세한 내용은 GuardDuty 사용 설명서를 참조하세요.

GuardDuty 결과를 보고 분석하려면 다음 단계를 완료하세요.

  1. https://console.aws.amazon.com/guardduty/에서 GuardDuty 콘솔을 엽니다.

  2. 조사 결과를 선택한 다음 특정 조사 결과를 선택하여 세부 정보를 봅니다. 각 결과에 대한 세부 정보는 결과 유형, 관련된 리소스 및 활동의 특성에 따라 달라집니다.

사용 가능한 결과 필드에 대한 자세한 내용은 GuardDuty 결과 세부 정보를 참조하세요.

GuardDuty 억제 규칙을 사용하여 결과 필터링

억제 규칙은 값과 페어링된 필터 속성으로 구성된 기준 집합입니다. 억제 규칙을 사용하여 거짓 긍정 조사 결과 또는 알려진 활동과 같이 조치를 취하지 않을 가치가 낮은 조사 결과를 필터링할 수 있습니다. 결과를 필터링하면 환경에 가장 큰 영향을 미칠 수 있는 보안 위협을 더 쉽게 인식할 수 있습니다.

결과를 필터링하기 위해 억제 규칙은 지정된 기준과 일치하는 새 결과를 자동으로 보관합니다. 보관된 결과는 AWS Security Hub, Amazon S3 또는 CloudTrail Events로 전송되지 않습니다. 따라서 Security Hub 또는 타사 SIEM 알림 및 티켓팅 애플리케이션을 통해 GuardDuty 조사 결과를 사용하는 경우 억제 필터는 실행 불가능한 데이터를 줄입니다.

AMS에는 관리형 계정에 대한 금지 규칙을 식별하기 위한 정의된 기준 집합이 있습니다. 관리형 계정이이 기준을 충족하면 AMS는 필터를 적용하고 배포된 억제 필터를 자세히 설명하는 서비스 요청(SR)을 생성합니다.

SR을 통해 AMS와 통신하여 억제 필터를 수정하거나 되돌릴 수 있습니다.

보관된 조사 결과 보기

GuardDuty는 조사 결과가 억제 규칙과 일치하는 경우에도 조사 결과를 계속 생성합니다. 억제된 결과는 아카이브된 것으로 표시됩니다. GuardDuty는 보관된 결과를 90일 동안 저장합니다. 결과 테이블에서 아카이브됨을 선택하여 해당 90일 동안 GuardDuty 콘솔에서 아카이브된 결과를 볼 수 있습니다. 또는 service.archivedfindingCriteriatrueListFindings API를 사용하여 GuardDuty API를 통해 보관된 결과를 볼 수 있습니다.

억제 규칙의 일반적인 사용 사례

다음 검색 결과 유형에는 억제 규칙을 적용하는 일반적인 사용 사례가 있습니다.

  • Recon:EC2/Portscan: 승인된 취약성 스캐너를 사용할 때 결과를 자동으로 보관하려면 억제 규칙을 사용합니다.

  • UnauthorizedAccess:EC2/SSHBruteForce: Bastion 인스턴스를 대상으로 할 때 결과를 자동으로 보관하는 억제 규칙을 사용합니다.

  • Recon:EC2/PortProbeUnprotectedPort: 의도적으로 노출된 인스턴스를 대상으로 하는 경우 억제 규칙을 사용하여 결과를 자동으로 아카이브합니다.

Amazon Route 53 Resolver DNS 방화벽으로 모니터링

Amazon Route 53 Resolver는 퍼블릭 레코드, Amazon VPC별 DNS 이름 및 Amazon Route 53 프라이빗 호스팅 영역에 대한 AWS 리소스의 DNS 쿼리에 재귀적으로 응답하며 기본적으로 모든 VPCs. Route 53 Resolver DNS 방화벽을 사용하면 Virtual Private Cloud(VPC)에 대한 아웃바운드 DNS 트래픽을 필터링하고 제어할 수 있습니다. 이렇게 하려면 DNS 방화벽 규칙 그룹에 재사용 가능한 필터링 규칙 컬렉션을 생성하고 규칙 그룹을 VPC에 연결한 다음 DNS 방화벽 로그 및 지표 활동을 모니터링합니다. 활동에 따라 DNS 방화벽의 동작을 적절하게 조정할 수 있습니다. 자세한 내용은 DNS 방화벽을 사용하여 아웃바운드 DNS 트래픽 필터링을 참조하세요.

Route 53 Resolver DNS 방화벽 구성을 보고 관리하려면 다음 절차를 사용합니다.

  1. 에 로그인 AWS Management Console 하고 https://console.aws.amazon.com/vpc/ Amazon VPC 콘솔을 엽니다.

  2. DNS 방화벽에서 규칙 그룹을 선택합니다.

  3. 기존 구성을 검토, 편집 또는 삭제하거나 새 규칙 그룹을 생성합니다. 자세한 내용은 Route 53 Resolver DNS 방화벽 작동 방식을 참조하세요.

Amazon Route 53 Resolver DNS 방화벽 모니터링 및 보안

Amazon Route 53 DNS 방화벽은 규칙 연결, 규칙 작업 및 규칙 평가 우선 순위의 개념을 사용합니다. 도메인 목록(domain list)은 규칙 그룹 내부의 DNS 방화벽 규칙에서 사용하는 재사용 가능한 도메인 사양 집합입니다. 규칙 그룹을 VPC 와 연결하면 DNS 방화벽은 규칙에 사용되는 도메인 목록과 DNS 쿼리를 비교합니다. DNS 방화벽이 일치하는 항목을 찾으면 일치하는 규칙의 작업에 따라 DNS 쿼리를 처리합니다. 규칙 그룹 및 규칙에 대한 자세한 내용은 DNS 방화벽 규칙 그룹 및 규칙을 참조하세요.

도메인 목록은 두 가지 주요 범주로 나뉩니다.

  • 가 자동으로 AWS 생성하고 유지 관리하는 관리형 도메인 목록입니다.

  • 생성 및 유지 관리하는 자체 도메인 목록입니다.

규칙 그룹은 연결 우선 순위 인덱스를 기반으로 평가됩니다.

기본적으로 AMS는 다음 규칙과 규칙 그룹으로 구성된 기준 구성을 배포합니다.

  • 라는 규칙 그룹 1개DefaultSecurityMonitoringRule. 규칙 그룹은 활성화된 각의 각 기존 VPC에 대해 생성 시 사용할 수 있는 연결 우선 순위가 가장 높습니다 AWS 리전.

  • 작업 ALERTDefaultSecurityMonitoringRule와 함께 AWSManagedDomainsAggregateThreatList 관리형 도메인 목록을 사용하여 규칙 그룹 내에서 우선순위가 1인 라는 하나의 DefaultSecurityMonitoringRule 규칙.

기존 구성이 있는 경우 기존 구성보다 우선 순위가 낮은 기준 구성이 배포됩니다. 기존 구성이 기본값입니다. 기존 구성이 쿼리 해결을 처리하는 방법에 대한 우선 순위가 더 높은 지침을 제공하지 않는 경우 AMS 기준 구성을 catch-all로 사용합니다. 기준 구성을 변경하거나 제거하려면 다음 중 하나를 수행합니다.

  • Cloud Service Delivery Manager(CSDM) 또는 Cloud Architect(CA)에 문의하세요.

  • 서비스 요청을 생성하십시오.

AMS Accelerate의 데이터 암호화

AMS Accelerate는 데이터 암호화 AWS 서비스 에 여러를 사용합니다.

Amazon Simple Storage Service는 전송 중 및 저장 데이터를 보호하는 여러 객체 암호화 옵션을 제공합니다. 서버 측 암호화는 데이터 센터의 디스크에 저장하기 전에 객체를 암호화하고 객체를 다운로드할 때 암호를 해독합니다. 요청을 인증하기만 하면 액세스 권한을 갖게 되며, 객체의 암호화 여부와 관계없이 액세스 방식에는 차이가 없습니다. 자세한 내용은 Amazon S3의 데이터 보호를 참조하세요.