기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
보안 FAQ
AMS는 글로벌 운영 센터를 통해 연중무휴 follow-the-sun 지원을 제공합니다. 전용 AMS 운영 엔지니어는 대시보드와 인시던트 대기열을 적극적으로 모니터링합니다. 일반적으로 AMS는 자동화를 통해 계정을 관리합니다. 드문 경우지만 특정 문제 해결 또는 배포 전문 지식이 필요한 경우 AMS 운영 엔지니어가 AWS 계정에 액세스할 수 있습니다.
다음은 AMS 운영 엔지니어 또는 자동화가 계정에 액세스할 때 AMS Accelerate가 사용하는 보안 모범 사례, 제어, 액세스 모델 및 감사 메커니즘에 대한 일반적인 질문입니다.
AMS 운영 엔지니어는 언제 내 환경에 액세스하나요?
AMS 운영 엔지니어는 계정 또는 인스턴스에 지속적으로 액세스할 수 없습니다. 고객 계정에 대한 액세스는 알림, 인시던트, 변경 요청 등과 같은 정당한 비즈니스 사용 사례에 대해서만 AMS 운영자에게 부여됩니다. 액세스는 AWS CloudTrail 로그에 문서화됩니다.
액세스 근거, 트리거 및 트리거 이니시에이터는 섹션을 참조하세요AMS 고객 계정 액세스 트리거.
AMS 운영 엔지니어는 내 계정에 액세스할 때 어떤 역할을 맡습니까?
드물지만(~5%) 환경에서 사람의 개입이 필요한 경우 AMS 운영 엔지니어는 기본 읽기 전용 액세스 역할을 사용하여 계정에 로그인합니다. 기본 역할은 Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift, Amazon ElastiCache와 같은 데이터 스토어에 일반적으로 저장되는 콘텐츠에 액세스할 수 없습니다.
AMS 운영 엔지니어 및 시스템이 계정에서 서비스를 제공하는 데 필요한 역할 목록은 섹션을 참조하세요AMS 고객 계정 액세스 IAM 역할.
AMS 작업 엔지니어는 내 계정에 어떻게 액세스하나요?
고객 계정에 액세스하기 위해 AMS 운영 엔지니어는 AWS 내부 AMS 액세스 서비스를 사용합니다. 이 내부 서비스는 계정에 대한 액세스가 안전하고 감사되도록 안전한 프라이빗 채널을 통해서만 사용할 수 있습니다.
AMS 작업 엔지니어는 내부 AMS 액세스 서비스 인증을 2단계 인증과 함께 사용합니다. 또한 운영 엔지니어는 AWS 계정에 액세스해야 하는 필요성을 설명하는 비즈니스 근거(인시던트 티켓 또는 서비스 요청 ID)를 제공해야 합니다.
운영 엔지니어의 권한 부여에 따라 AMS 액세스 서비스는 엔지니어에게 적절한 역할(읽기 only/Operator/Admin)과 AWS 콘솔에 대한 로그인 URL을 제공합니다. 계정에 대한 액세스는 수명이 짧고 시간 제한이 있습니다.
Amazon EC2 인스턴스에 액세스하기 위해 AMS 작업 엔지니어는 브로커와 동일한 내부 AMS 액세스 서비스를 사용합니다. 액세스 권한이 부여되면 AMS 작업 엔지니어는 AWS Systems Manager Session Manager 를 사용하여 수명이 짧은 세션 자격 증명으로 인스턴스에 액세스합니다.
Windows 인스턴스에 대한 RDP 액세스를 제공하기 위해 운영 엔지니어는 Amazon EC2 Systems Manager를 사용하여 인스턴스에 로컬 사용자를 생성하고 인스턴스로 포트 전달을 설정합니다. 작업 엔지니어는 인스턴스에 대한 RDP 액세스에 로컬 사용자 자격 증명을 사용합니다. 로컬 사용자 자격 증명은 세션이 끝날 때 제거됩니다.
다음 다이어그램은 AMS 운영 엔지니어가 계정에 액세스하는 데 사용하는 프로세스를 간략하게 설명합니다.
AMS 관리형 AWS 계정에서 AMS의 변경 사항을 추적하려면 어떻게 해야 합니까?
계정 액세스
자동화 또는 AMS Accelerate 운영 팀의 변경 사항을 추적할 수 있도록 AMS는 Amazon Athena 콘솔 및 AMS Accelerate 로그에 변경 레코드 SQL 인터페이스를 제공합니다. 이러한 리소스는 다음 정보를 제공합니다.
계정에 액세스한 사람.
계정에 액세스한 시간입니다.
계정에 액세스하는 데 사용된 권한입니다.
계정에서 AMS Accelerate가 변경한 사항입니다.
계정에서 변경한 이유.
리소스 구성
CloudTrail 로그를 보고 지난 90일 동안 AWS 리소스의 구성을 추적합니다. 구성이 90일보다 오래된 경우 Amazon S3의 로그에 액세스합니다.
인스턴스 로그
Amazon CloudWatch 에이전트는 운영 체제 로그를 수집합니다. CloudWatch 로그를 보고 운영 체제에서 지원하는 로그인 및 기타 작업 로그를 확인합니다.
자세한 내용은 AMS Accelerate 계정의 변경 사항 추적 단원을 참조하십시오.
내 계정에 대한 AMS 운영 엔지니어 액세스에 대한 프로세스 제어는 무엇입니까?
AMS에 가입하기 전에 운영 엔지니어는 범죄 신원 조회를 거칩니다. AMS 엔지니어는 고객 인프라를 관리하기 때문에 필수 연간 신원 조회도 수행합니다. 엔지니어가 신원 조회에 실패하면 액세스가 취소됩니다.
모든 AMS 운영 엔지니어는 리소스에 대한 액세스 권한을 부여받기 전에 인프라 보안, 데이터 보안 및 인시던트 대응과 같은 필수 보안 교육을 완료해야 합니다.
권한 있는 액세스는 어떻게 관리되나요?
일부 사용자는 추가 교육을 완료하고 승격된 액세스를 위한 권한 있는 액세스 권한을 유지해야 합니다. 액세스 및 사용량을 검사하고 감사합니다. AMS는 권한이 있는 액세스를 예외적인 상황 또는 최소 권한 액세스가 요청을 충족할 수 없는 상황으로 제한합니다. 권한 있는 액세스도 시간 제한입니다.
AMS 운영 엔지니어가 MFA를 사용하나요?
예. 모든 사용자는 MFA 및 존재 증명을 사용하여 서비스를 제공해야 합니다.
AMS 직원이 조직을 떠나거나 직무 역할을 변경하면 액세스는 어떻게 되나요?
고객 계정 및 리소스에 대한 액세스는 내부 그룹 멤버십을 통해 프로비저닝됩니다. 멤버십은 AMS의 특정 직무 역할, 보고 관리자 및 고용 상태를 포함한 엄격한 기준을 기반으로 합니다. 운영 엔지니어의 직군이 변경되거나 사용자 ID가 비활성화되면 액세스가 취소됩니다.
내 계정에 대한 AMS 작업 엔지니어 액세스를 제어하는 액세스 제어는 무엇입니까?
환경에 액세스하기 위한 “알아야 할 필요” 및 “최소 권한” 원칙을 적용하는 여러 계층의 기술 제어가 있습니다. 다음은 액세스 제어 목록입니다.
고객 계정 및 리소스에 액세스하려면 모든 운영 엔지니어가 특정 내부 AWS 그룹에 속해야 합니다. 그룹 멤버십은 반드시 알아야 할 필요성을 기반으로 하며 사전 정의된 기준으로 자동화됩니다.
AMS는 환경에 대한 '비지속성' 액세스를 연습합니다. 즉, AMS 작업을 통한 AWS 계정 액세스는 수명이 짧은 자격 증명으로 "just-in-time"됩니다. 계정에 대한 액세스는 내부 비즈니스 사례 정당화(서비스 요청, 인시던트, 변경 관리 요청 등)가 제출되고 검토된 후에만 제공됩니다.
AMS는 최소 권한 원칙을 따릅니다. 따라서 권한 있는 운영 엔지니어는 기본적으로 읽기 전용 액세스를 수임합니다. 쓰기 액세스는 인시던트 또는 변경 요청으로 인해 환경을 변경해야 하는 경우에만 엔지니어가 사용합니다.
AMS는 쉽게 식별할 수 있는 표준 AWS Identity and Access Management 역할을 사용하여 “ams” 접두사를 사용하여 계정을 모니터링하고 관리합니다. 감사를 AWS CloudTrail 위해 모든 액세스가 로그인됩니다.
AMS는 자동 백엔드 도구를 사용하여 변경 실행의 고객 정보 검증 단계에서 계정에 대한 무단 변경을 감지합니다.
AMS는 루트 사용자 액세스를 어떻게 모니터링하나요?
루트 액세스는 항상 인시던트 대응 프로세스를 트리거합니다. AMS는 Amazon GuardDuty 탐지를 사용하여 루트 사용자 활동을 모니터링합니다. GuardDuty가 알림을 생성하면 AMS는 추가 조사를 위한 이벤트를 생성합니다. AMS는 예기치 않은 루트 계정 활동이 감지되면 이를 알리고 AMS 보안 팀이 조사를 시작합니다.
AMS는 보안 인시던트에 어떻게 대응하나요?
AMS는 Amazon GuardDuty, Amazon Macie와 같은 탐지 서비스 및 고객이 보고한 보안 문제에서 생성된 보안 이벤트를 조사합니다. AMS는 보안 대응 팀과 협력하여 보안 인시던트 대응(SIR) 프로세스를 실행합니다. AMS SIR 프로세스는 NIST SP 800-61 개정 2, 컴퓨터 보안 인시던트 처리 가이드
AMS는 어떤 업계 표준 인증 및 프레임워크를 준수하나요?
다른 AWS 서비스와 마찬가지로 AWS Managed Services는 OSPAR, HIPAA, HITRUST, GDPR, SOC*, ISO*, FedRAMP(중간/높음), IRAP 및 PCI 인증을 받았습니다. 와 AWS 일치하는 고객 규정 준수 인증, 규정 및 프레임워크에 대한 자세한 내용은 AWS 규정 준수를
보안 가드레일
AWS Managed Services는 여러 제어를 사용하여 정보 자산을 보호하고 AWS 인프라를 안전하게 유지하는 데 도움이 됩니다. AMS Accelerate는 AWS Config 규칙 및 수정 작업 라이브러리를 유지 관리하여 계정이 보안 및 운영 무결성에 대한 업계 표준을 준수하도록 합니다. AWS Config 규칙은 기록된 리소스의 구성 변경을 지속적으로 추적합니다. 변경 사항이 규칙의 조건을 위반하는 경우 AMS는 해당 결과를 사용자에게 보고합니다. 위반의 심각도에 따라 위반을 자동으로 또는 요청으로 해결할 수 있습니다.
AMS는 규칙을 사용하여 다음 표준의 요구 사항을 충족 AWS Config 합니다.
인터넷 보안 센터(CIS)
미국 국립표준기술연구소(NIST) 클라우드 보안 프레임워크(CSF)
HIPAA(미국 건강 보험 양도 및 책임에 관한 법)
Payment Card Industry(PCI) 데이터 보안 표준(DSS)
자세한 내용은 AMS Accelerate의 보안 관리 섹션을 참조하세요.
보안 인증, 프레임워크 및 규정 준수에 대한 최신 보고서에 액세스하려면 어떻게 해야 하나요 AWS?
다음 방법을 사용하여 AWS 서비스에 대한 현재 보안 및 규정 준수 보고서를 찾을 수 있습니다.
AWS Artifact
를 사용하여 AWS 서비스의 보안, 가용성 및 기밀성에 대한 최신 보고서를 다운로드할 수 있습니다. 글로벌 규정 준수 프레임워크를 준수하는 AWS Managed Services를 포함한 대부분의 AWS 서비스 목록은 섹션을 참조하세요https://aws.amazon.com/compliance/services-in-scope/
. 예를 들어 PCI를 선택하고 AWS Managed Services를 검색합니다. "AMS"를 검색하여 AMS 관리형 AWS 계정에서 AMS별 보안 아티팩트를 찾을 수 있습니다. AWS Managed Services는 SOC 3
의 범위 내에 있습니다. AWS SOC 2(시스템 및 조직 제어) 보고서가 AWS Artifact 리포지토리에 게시됩니다. 이 보고서는 미국 공인회계사협회(AICPA) TSP 섹션 100, 신뢰 서비스 기준의 보안, 가용성 및 기밀성 기준을 충족하는 AWS 제어를 평가합니다.
AMS는 AMS 기능의 다양한 측면에 대한 참조 아키텍처 다이어그램을 공유하나요?
AMS 참조 아키텍처를 보려면 AWS Managed Services for Proactive Monitoring PDF를 다운로드합니다.
AMS는 내 계정에 액세스하는 사람과 액세스를 위한 비즈니스 요구 사항을 어떻게 추적하나요?
서비스 연속성과 계정 보안을 지원하기 위해 AMS는 선제적 상태 또는 유지 관리, 상태 또는 보안 이벤트, 계획된 활동 또는 고객 요청에 대한 응답으로만 계정 또는 인스턴스에 액세스합니다. 계정에 대한 액세스는 AMS Accelerate의 액세스 모델에 설명된 대로 AMS 프로세스를 통해 승인됩니다. 이러한 권한 부여 흐름에는 우발적이거나 부적절한 액세스를 방지하기 위한 가드레일이 포함되어 있습니다. 액세스 흐름의 일환으로 AMS는 비즈니스 요구 사항을 권한 부여 시스템에 제공합니다. 이러한 비즈니스 요구 사항은 AMS로 연 사례와 같이 계정과 연결된 작업 항목일 수 있습니다. 또는 패치 솔루션과 같은 승인된 워크플로가 비즈니스 요구 사항일 수 있습니다. 모든 액세스에는 액세스 요청을 비즈니스 요구 사항에 맞게 조정하기 위해 비즈니스 규칙에 따라 내부 AMS 시스템에서 실시간으로 검증, 확인 및 승인하는 근거가 필요합니다.
AMS 운영 엔지니어에게는 유효한 비즈니스 요구 없이 계정에 액세스할 수 있는 경로가 제공되지 않습니다. 모든 계정 액세스 및 관련 비즈니스 요구 사항은 AWS 계정 내의 AWS CloudTrail 항목으로 내보내집니다. 이를 통해 완전한 투명성과 자체 감사 및 검사를 수행할 수 있는 기회가 제공됩니다. 검사 외에도 AMS는 자동 검사를 수행하고 필요에 따라 액세스 요청에 대한 수동 검사를 수행하며 비정상적인 액세스를 검토하기 위해 도구 및 인적 액세스에 대한 감사를 수행합니다.
AMS 엔지니어는 Amazon S3, Amazon RDS, DynamoDB, Amazon Redshift와 같은 AWS 데이터 스토리지 서비스에 저장된 데이터에 액세스할 수 있나요?
AMS 엔지니어는 데이터 스토리지에 일반적으로 사용되는 AWS 서비스에 저장된 고객 콘텐츠에 액세스할 수 없습니다. 이러한 서비스에서 데이터를 읽거나, 쓰거나, 수정하거나, 삭제하는 데 사용되는 AWS APIs에 대한 액세스는 AMS 엔지니어 액세스에 사용되는 IAM 역할과 관련된 명시적 IAM 거부 정책에 의해 제한됩니다. 또한 내부 AMS 가드레일 및 자동화는 AMS 운영 엔지니어가 거부 조건을 제거하거나 수정하는 것을 방지합니다.
AMS 엔지니어는 Amazon EBS, Amazon EFS 및 Amazon FSx에 저장된 고객 데이터에 액세스할 수 있나요?
AMS 엔지니어는 Amazon EC2 인스턴스에 관리자로 로그인할 수 있습니다. 운영 체제(OS) 문제 및 패치 실패를 포함하되 이에 국한되지 않는 특정 시나리오에서 문제를 해결하려면 관리자 액세스가 필요합니다. AMS 엔지니어는 일반적으로 시스템 볼륨에 액세스하여 감지된 문제를 해결합니다. 그러나 AMS 엔지니어에 대한 액세스는 시스템 볼륨으로 제한되거나 제한되지 않습니다.
내 환경에 대한 권한이 높은 자동화 역할에 대한 액세스는 어떻게 제한되거나 제어되나요?
ams-access-admin 역할은 AMS 자동화에서만 사용됩니다. 이러한 자동화는 AMS가 원격 측정, 상태 및 보안 데이터 수집을 위해 환경에 배포하는 데 사용하는 필수 리소스를 배포, 관리 및 유지 관리하여 운영 기능을 수행합니다. AMS 엔지니어는 자동화 역할을 수임할 수 없으며 내부 시스템의 역할 매핑에 의해 제한됩니다. 런타임 시 AMS는 범위가 축소된 최소 권한 세션 정책을 모든 자동화에 동적으로 적용합니다. 이 세션 정책은 자동화의 기능과 권한을 제한합니다.
AMS는 자동화 역할에 대한 AWS Well-Architected Framework에서 권장하는 최소 권한 원칙을 어떻게 구현하나요?
런타임 시 AMS는 범위가 축소된 최소 권한 세션 정책을 모든 자동화에 적용합니다. 이렇게 범위가 축소된 세션 정책은 자동화의 기능과 권한을 제한합니다. IAM 리소스를 생성할 권한이 있는 세션 정책에도 권한 경계를 연결해야 합니다. 이 권한 경계는 권한 에스컬레이션 위험을 줄입니다. 모든 팀은 해당 팀에서만 사용하는 세션 정책을 온보딩합니다.
자동화 역할과 관련된 무단 액세스 시도 또는 의심스러운 활동을 탐지하는 데 사용되는 로깅 및 모니터링 시스템은 무엇입니까?
AWS 는 AWS 서비스 팀이 내부적으로 사용할 수 있는 핵심 로그 아카이브 기능을 제공하는 중앙 집중식 리포지토리를 유지 관리합니다. 이러한 로그는 확장성, 내구성 및 가용성을 높이기 위해 Amazon S3에 저장됩니다. 그러면 AWS 서비스 팀은 중앙 로그 서비스에서 서비스 로그를 수집, 보관 및 볼 수 있습니다.
의 프로덕션 호스트 AWS 는 마스터 기준 이미지를 사용하여 배포됩니다. 기준 이미지에는 보안을 위한 로깅 및 모니터링을 포함하는 표준 구성 및 함수 세트가 탑재되어 있습니다. 이러한 로그는 AWS 보안 사고가 의심되는 경우 근본 원인 분석을 위해 보안 팀이 저장하고 액세스할 수 있습니다.
지정된 호스트에 대한 로그는 해당 호스트를 소유한 팀에서 사용할 수 있습니다. 팀은 로그에서 운영 및 보안 분석을 검색할 수 있습니다.
자동화 인프라와 관련된 보안 인시던트 또는 침해는 어떻게 처리되며 신속한 대응 및 완화에 도움이 되는 프로토콜은 무엇입니까?
AWS 비상 계획 및 인시던트 대응 플레이북은 보안 인시던트를 탐지, 완화, 조사 및 평가하기 위한 도구와 프로세스를 정의하고 테스트했습니다. 이러한 계획 및 플레이북에는 계약 및 규제 요구 사항에 따라 잠재적 데이터 침해에 대응하기 위한 지침이 포함되어 있습니다.
자동화 인프라에서 정기적인 보안 평가, 취약성 스캔 및 침투 테스트를 수행합니까?
AWS 보안은 다양한 도구를 사용하여 AWS 환경의 호스트 운영 체제, 웹 애플리케이션 및 데이터베이스에 대한 정기적인 취약성 검사를 수행합니다. AWS 보안 팀은 또한 해당 공급업체 결함에 대한 뉴스 피드를 구독하고 공급업체의 웹 사이트 및 기타 관련 아웃렛에서 새 패치를 사전에 모니터링합니다.
자동화 인프라에 대한 액세스는 권한 있는 직원으로만 어떻게 제한되나요?
AWS 시스템에 대한 액세스는 최소 권한을 기반으로 할당되며 승인된 개인이 승인합니다. 역할 및 책임 영역(예: 액세스 요청 및 승인, 변경 관리 요청 및 승인, 변경 개발, 테스트 및 배포 등)은 AWS 시스템의 무단 또는 의도하지 않은 수정 또는 오용을 줄이기 위해 서로 다른 개인으로 분리됩니다. 그룹 또는 공유 계정은 시스템 경계 내에서 허용되지 않습니다.
자동화 파이프라인에서 보안 표준을 유지하고 무단 액세스 또는 데이터 침해를 방지하기 위해 구현되는 조치는 무엇입니까?
서비스, 호스트, 네트워크 디바이스, Windows 및 UNIX 그룹을 포함한 리소스에 대한 액세스는 적절한 소유자 또는 관리자가 AWS 독점 권한 관리 시스템에서 승인합니다. 권한 관리 도구 로그는 액세스 변경 요청을 캡처합니다. 직무 변경은 리소스에 대한 직원의 액세스를 자동으로 취소합니다. 해당 직원에 대한 지속적인 액세스를 요청하고 승인해야 합니다.
AWS 는 원격 위치에서 내부 AWS 네트워크에 인증하기 위해 승인된 암호화 채널을 통한 2단계 인증을 요구합니다. 방화벽 디바이스는 컴퓨팅 환경에 대한 액세스를 제한하고, 컴퓨팅 클러스터의 경계를 적용하고, 프로덕션 네트워크에 대한 액세스를 제한합니다.
감사 정보 및 감사 도구를 무단 액세스, 수정 및 삭제로부터 보호하기 위한 프로세스가 구현됩니다. 감사 레코드에는 필요한 분석 요구 사항을 지원하기 위한 데이터 요소 세트가 포함되어 있습니다. 또한 온디맨드 검사 또는 분석을 위해, 그리고 보안 관련 또는 비즈니스에 영향을 미치는 이벤트에 대응하여 승인된 사용자가 감사 레코드를 사용할 수 있습니다.
AWS 시스템(예: 네트워크, 애플리케이션, 도구 등)에 대한 사용자 액세스 권한은 종료 또는 비활성화 후 24시간 이내에 취소됩니다. 비활성 사용자 계정은 최소 90일마다 비활성화 및/또는 제거됩니다.
권한 에스컬레이션 또는 액세스 오용을 감지하여 AMS 팀에 사전에 알리기 위해 액세스 또는 감사 로깅에 대한 이상 탐지 또는 모니터링이 켜져 있습니까?
의 프로덕션 호스트 AWS 에는 보안을 위한 로깅이 탑재되어 있습니다. 이 서비스는 로그온, 실패한 로그온 시도 및 로그오프를 포함하여 호스트에서 인적 작업을 로깅합니다. 이러한 로그는 AWS 보안 사고가 의심되는 경우 근본 원인 분석을 위해 보안 팀이 저장하고 액세스할 수 있습니다. 지정된 호스트에 대한 로그는 해당 호스트를 소유한 팀에서도 사용할 수 있습니다. 서비스 팀은 프런트엔드 로그 분석 도구를 사용하여 로그에서 운영 및 보안 분석을 검색할 수 있습니다. 프로세스는 로그 및 감사 도구를 무단 액세스, 수정 및 삭제로부터 보호하는 데 도움이 되도록 구현됩니다. AWS 보안 팀은 로그 분석을 수행하여 정의된 위험 관리 파라미터를 기반으로 이벤트를 식별합니다.
AMS 관리형 계정에서 추출되는 고객 데이터 유형은 무엇이며 이를 어떻게 활용하고 저장하나요?
AMS는 어떤 목적으로도 콘텐츠에 액세스하거나 사용하지 않습니다. AMS는 고객 콘텐츠를 고객 계정과 AWS 서비스 관련하여 고객 또는 최종 사용자가에서 처리, 저장 또는 호스팅하기 AWS 위해 전송하는 소프트웨어(기계 이미지 포함), 데이터, 텍스트, 오디오, 비디오 또는 이미지와 고객 또는 최종 사용자가 사용을 통해 위에서 도출한 모든 계산 결과로 정의합니다 AWS 서비스.
