기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# SALZ: 기본 설정
AWS Managed Services(AMS) 네트워크는 대부분의 서비스에 대해 기본값으로 표준화된 방식으로 구성됩니다.
이 섹션에서는 AMS가 보안, 액세스, 모니터링, 로깅, 연속성 및 패치 적용, 관리에 사용하는 기본 설정을 설명합니다.
인프라 비용의 예는 [기본 구성 요소를](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html#basic-components) 참조하세요.
방화벽 규칙은에서 제공됩니다. [방화벽 설정](setup-firewall.md)
# 엔드포인트 보안(EPS)
AMS Advanced 환경에서 프로비저닝하는 리소스에는 엔드포인트 보안(EPS) 모니터링 클라이언트 설치가 자동으로 포함됩니다. 이 프로세스를 통해 AMS Advanced 관리형 리소스를 모니터링하고 연중무휴로 지원할 수 있습니다. 또한 AMS Advanced는 모든 에이전트 활동을 모니터링하고 보안 이벤트가 감지되면 인시던트가 생성됩니다.
**참고**
보안 인시던트는 인시던트로 처리됩니다. 자세한 내용은 [인시던트 대응](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html)을 참조하세요.
엔드포인트 보안은 맬웨어 방지 보호를 제공합니다. 특히 다음 작업이 지원됩니다.
+ EC2 인스턴스가 EPS에 등록
+ EPS에서 EC2 인스턴스 등록 취소
+ EC2 인스턴스 실시간 맬웨어 방지 보호
+ EPS 에이전트 시작 하트비트
+ 격리된 파일 EPS 복원
+ EPS 이벤트 알림
+ EPS 보고
AMS Advanced는 엔드포인트 보안(EPS)에 Trend Micro를 사용합니다. 이는 기본 EPS 설정입니다. Trend Micro에 대해 자세히 알아보려면 [Trend Micro Deep Security Help Center](https://help.deepsecurity.trendmicro.com/aws/welcome.html?redirected=true)를 참조하세요. Amazon 이외의 링크는 예고 없이 변경될 수 있습니다.
AMS 고급 다중 계정 랜딩 존(MALZ) 기본 설정은 다음 섹션에 설명되어 있습니다. 기본이 아닌 AMS 다중 계정 랜딩 존 EPS 설정은 [ AMS 고급 다중 계정 랜딩 존 EPS 기본이 아닌 설정을](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#malz-eps-settings) 참조하세요.
**참고**
자체 EPS를 가져올 수 있습니다. [AMS 자체 EPS 가져오기를 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html).
## 일반 EPS 설정
엔드포인트 보안 일반 네트워크 설정.
**EPS 기본값**
| 설정 | 기본값 |
| --- | --- |
| 방화벽 포트(인스턴스의 보안 그룹) | EPS Deep Security Manager 에이전트(DSMs)는 Agent/Relay to Manager 통신을 위해 포트 4120이 열려 있고 Manager 콘솔을 위해 포트 4119가 열려 있어야 합니다. 관리자/에이전트에서 릴레이로 통신하려면 EPS 릴레이에 포트 4122가 열려 있어야 합니다. 에이전트가 모든 요청을 시작하기 때문에 고객 인스턴스 인바운드 통신을 위해 특정 포트를 열면 안 됩니다. |
| 통신 방향 | 에이전트/어플라이언스 시작됨 |
| 하트비트 간격 | 10분 |
| 알림 전 누락된 하트비트 수 | 2 |
| 서버 시간 간에 허용되는 최대 드리프트(차이) | 무제한 |
| 비활성(등록되었지만 온라인이 아닌) 가상 머신에 대한 오프라인 오류 발생 | 아니요 |
| 기본 정책 | 기본 정책(다음 설명 참조) |
| 호스트 이름이 동일한 여러 컴퓨터 활성화 | 허용됨 |
| 보류 중인 업데이트에 대한 알림이 발생합니다. | 7일 후 |
| 일정 업데이트 | AMS는 Trend Micro Deep Security Manager(DSM)/Deep Security Agent(DSA) 소프트웨어 업데이트를 위한 월간 릴리스 주기를 목표로 합니다. 그러나 AMS는 업데이트를 위해 SLA를 유지 관리하지 않습니다. 업데이트는 배포 중에 AMS 개발자 팀이 플릿 전체에서 수행합니다. DSA/DSA 업데이트는 AMS가 기본적으로 13주 동안 로컬로 보관하는 Trend MicroDSM 시스템 이벤트에 기록됩니다. 공급업체 설명서는 Trend Micro Deep Security Help Center의 [시스템 이벤트를](https://help.deepsecurity.trendmicro.com/12_0/aws/Events-Alerts/ref-events-system.html) 참조하세요. 로그는 Amazon CloudWatch의 로그 그룹 /aws/ams/eps/var/log/DSM.log로도 내보내집니다. |
| 소스 업데이트 | Trend Micro 업데이트 서버(https://ipv6-iaus.trendmicro.com/iau\$1server.dll/) |
| 이벤트 또는 로그 데이터 삭제 | 이벤트 및 로그는 7일 후에 Amazon 데이터베이스에서 삭제됩니다. |
| 에이전트 소프트웨어 버전이 보류됨 | 최대 5개 |
| 최신 규칙 업데이트가 보류됨 | 최대 10개 |
| 로그 스토리지 | 기본적으로 로그 파일은 Amazon S3에 안전하게 저장되지만 감사 및 규정 준수 요구 사항을 충족하는 데 도움이 되도록 Amazon Glacier에 보관할 수도 있습니다. |
## 기본 정책
엔드포인트 보안 기본 정책 기본 설정입니다.
**EPS 기본 정책**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/eps-defaults.html)
## 맬웨어 방지
엔드포인트 보안 맬웨어 방지 설정.
**EPS 맬웨어 방지 기본값**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/eps-defaults.html)
# 보안 그룹
AWS VPCs에서 AWS 보안 그룹은 하나 이상의 스택(인스턴스 또는 인스턴스 세트)에 대한 트래픽을 제어하는 가상 방화벽 역할을 합니다. 스택이 시작되면 스택이 하나 이상의 보안 그룹과 연결되어 스택에 도달할 수 있는 트래픽이 결정됩니다.
+ 퍼블릭 서브넷의 스택의 경우 기본 보안 그룹은 모든 위치(인터넷)의 HTTP(80) 및 HTTPS(443) 트래픽을 수락합니다. 또한 스택은 회사 네트워크의 내부 SSH 및 RDP 트래픽과 AWS 접속을 허용합니다. 그러면 이러한 스택이 모든 포트를 통해 인터넷으로 나갈 수 있습니다. 또한 프라이빗 서브넷과 퍼블릭 서브넷의 다른 스택으로 나갈 수도 있습니다.
+ 프라이빗 서브넷의 스택은 프라이빗 서브넷의 다른 스택으로 송신할 수 있으며, 스택 내의 인스턴스는 모든 프로토콜을 통해 서로 완전히 통신할 수 있습니다.
**중요**
프라이빗 서브넷의 스택에 대한 기본 보안 그룹을 사용하면 프라이빗 서브넷의 모든 스택이 해당 프라이빗 서브넷의 다른 스택과 통신할 수 있습니다. 프라이빗 서브넷 내의 스택 간 통신을 제한하려면 제한을 설명하는 새 보안 그룹을 생성해야 합니다. 예를 들어 프라이빗 서브넷의 스택이 특정 포트를 통해서만 특정 애플리케이션 서버에서 통신할 수 있도록 데이터베이스 서버와의 통신을 제한하려면 특수 보안 그룹을 요청합니다. 이렇게 하는 방법은이 단원에서 설명합니다.
## 기본 보안 그룹
------
#### [ MALZ ]
다음 표에서는 스택의 기본 인바운드 보안 그룹(SG) 설정을 설명합니다. SG의 이름은 "SentinelDefaultSecurityGroupPrivateOnly-vpc-ID"이며, 여기서 *ID*는 AMS 다중 계정 랜딩 존 계정의 VPC ID입니다. 모든 트래픽은이 보안 그룹을 통해 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly"로 아웃바운드할 수 있습니다(스택 서브넷 내의 모든 로컬 트래픽 허용).
모든 트래픽은 두 번째 보안 그룹 "SentinelDefaultSecurityGroupPrivateOnly"에 의해 0.0.0.0/0으로 아웃바운드할 수 있습니다.
**작은 정보**
EC2 생성 또는 OpenSearch 생성 도메인과 같은 AMS 변경 유형에 대한 보안 그룹을 선택하는 경우 여기에 설명된 기본 보안 그룹 중 하나 또는 생성한 보안 그룹을 사용합니다. AWS EC2 콘솔 또는 VPC 콘솔에서 VPC당 보안 그룹 목록을 찾을 수 있습니다.
내부 AMS용으로 사용되는 추가 기본 보안 그룹이 있습니다.
**AMS 기본 보안 그룹(인바운드 트래픽)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/about-security-groups.html)
------
#### [ SALZ ]
다음 표에서는 스택의 기본 인바운드 보안 그룹(SG) 설정을 설명합니다. SG의 이름은 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly-*ID*"이며, 여기서 *ID*는 고유 식별자입니다. 모든 트래픽은이 보안 그룹을 통해 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly"로 아웃바운드할 수 있습니다(스택 서브넷 내의 모든 로컬 트래픽 허용).
모든 트래픽은 두 번째 보안 그룹 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnlyEgressAll-*ID*"에 의해 0.0.0.0/0으로 아웃바운드할 수 있습니다.
**작은 정보**
EC2 생성 또는 OpenSearch 생성 도메인과 같은 AMS 변경 유형에 대한 보안 그룹을 선택하는 경우 여기에 설명된 기본 보안 그룹 중 하나 또는 생성한 보안 그룹을 사용합니다. AWS EC2 콘솔 또는 VPC 콘솔에서 VPC당 보안 그룹 목록을 찾을 수 있습니다.
내부 AMS용으로 사용되는 추가 기본 보안 그룹이 있습니다.
**AMS 기본 보안 그룹(인바운드 트래픽)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/about-security-groups.html)
------
## 보안 그룹 생성, 변경 또는 삭제
사용자 지정 보안 그룹을 요청할 수 있습니다. 기본 보안 그룹이 애플리케이션 또는 조직의 요구 사항을 충족하지 않는 경우 새 보안 그룹을 수정하거나 생성할 수 있습니다. 이러한 요청은 승인 필수로 간주되며 AMS 운영 팀에서 검토합니다.
스택 및 VPCs 외부에서 보안 그룹을 생성하려면 `Deployment | Advanced stack components | Security group | Create (review required)` 변경 유형(ct-1oxx2g2d7hc90)을 사용하여 RFC를 제출합니다.
Active Directory(AD) 보안 그룹 수정의 경우 다음 변경 유형을 사용합니다.
+ 사용자를 추가하려면: 관리 \$1 디렉터리 서비스 \$1 사용자 및 그룹 \$1 그룹에 사용자 추가 [ct-24pi85mjtza8k]를 사용하여 RFC 제출
+ 사용자를 제거하려면: 관리 \$1 디렉터리 서비스 \$1 사용자 및 그룹 \$1 그룹에서 사용자 제거 [ct-2019s9y3nfml4]를 사용하여 RFC 제출
**참고**
'검토 필요' CTs를 사용하는 경우 ASAP **예약** 옵션(콘솔에서 **ASAP** 선택, API/CLI에서 시작 및 종료 시간 비워 두기)을 사용하는 것이 좋습니다. 이러한 CTs는 AMS 운영자가 RFC를 검사하고 승인 및 실행 전에 사용자와 통신해야 하기 때문입니다. 이러한 RFCs 예약하는 경우 최소 24시간을 허용해야 합니다. 예정된 시작 시간 전에 승인이 이루어지지 않으면 RFC가 자동으로 거부됩니다.
## 보안 그룹 찾기
스택 또는 인스턴스에 연결된 보안 그룹을 찾으려면 EC2 콘솔을 사용합니다. 스택 또는 인스턴스를 찾은 후 스택 또는 인스턴스에 연결된 모든 보안 그룹을 볼 수 있습니다.
명령줄에서 보안 그룹을 찾고 출력을 필터링하는 방법은 섹션을 참조하세요[https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html).
# EC2 IAM 인스턴스 프로파일
인스턴스 프로파일은 IAM 역할을 위한 컨테이너로서 인스턴스 시작 시 EC2 인스턴스에 역할 정보를 전달하는 데 사용할 수 있습니다.
------
#### [ MALZ ]
AMS 기본 인스턴스 프로파일은 `customer-mc-ec2-instance-profile` 및 입니다`customer-mc-ec2-instance-profile-s3`. 이러한 인스턴스 프로파일은 다음 표에 설명된 권한을 제공합니다.
**정책 설명**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/defaults-instance-profile.html)
------
#### [ SALZ ]
IAM 인스턴스 정책의 권한을 `customer-mc-ec2-instance-profile`부여하는 AMS 기본 인스턴스 프로파일가 하나 있습니다`customer_ec2_instance_profile_policy`. 이 인스턴스 프로파일은 다음 표에 설명된 권한을 제공합니다. 프로파일은 인스턴스에 로그인하는 사용자가 아닌 인스턴스에서 실행되는 애플리케이션에 권한을 부여합니다.
정책에는 종종 여러 문이 포함되며, 각 문은 서로 다른 리소스 세트에 권한을 부여하거나 특정 조건에서 권한을 부여합니다.
CW = CloudWatch. ARN = Amazon 리소스 이름. \$1 = 와일드카드(임의).
**EC2 기본 IAM 인스턴스 프로파일 권한**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/defaults-instance-profile.html)
------
Amazon IAM 정책에 익숙하지 않은 경우 중요 정보는 [IAM 정책 개요를](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) 참조하세요.
**참고**
정책에는 종종 여러 문이 포함되며, 각 문은 서로 다른 리소스 세트에 권한을 부여하거나 특정 조건에서 권한을 부여합니다.
# 모니터링되는 지표 기본값
다음 표에는 모니터링되는 항목과 기본 알림 임계값이 나와 있습니다. 변경 관리 요청(RFC)을 사용하여 기본값을 변경할 수 있습니다.
**참고**
CloudWatch는 2016년 11월 1일에 지표 보존 기간을 연장했습니다. 자세한 내용은 [CloudWatch 제한을 참조하세요](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html).
**기준 모니터링의 알림**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/onboardingguide/monitoring-default-metrics.html)
# 로그 보존 및 교체 기본값
이 섹션에서는 AMS 로그 관리 기본값을 설명합니다. 자세한 내용은 [로그 관리를](https://docs.aws.amazon.com/managedservices/latest/userguide/log-mgmt.html) 참조하세요.
+ 교체 = 인스턴스 내 로그 전환
+ 보존 = Amazon CloudWatch Logs 및 Amazon Simple Storage Service(S3)에 로그를 보관하는 기간
로그는 필요에 따라 CloudWatch Logs(이를 구성할 수 있음) 및 S3에 보관됩니다. 만료되거나 삭제되지 않으며 서비스 내구성이 적용됩니다. 자세한 S3 내구성 정보는 [ Amazon S3의 데이터 보호를](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html) 참조하세요.
감사 및 보안상의 이유로 무기한 보관되는 로그를 제외한 모든 AWS CloudTrail 로그에 대한 로그 보존 변경을 요청할 수 있습니다.
로그 교체는 인스턴스 내에서 구성됩니다. 기본적으로 운영 체제 및 보안 로그는 100MB를 초과하는 경우 매시간 교체되며, 이는 인스턴스의 디스크에서 짧게 실행되지 않도록 하기 위해 수행됩니다.
인스턴스 내의 로그 에이전트는 로그를 CloudWatch Logs에 온라인으로 업로드하고, CloudWatch Logs에서 로그는 S3에 보관됩니다.
로그는 생성된 원시 형식으로 CloudWatch Logs 및 S3에 저장되며 사전 처리가 없습니다.
# 연속성 관리 기본값
이 섹션에서는 AMS 연속성 관리 기본값을 설명합니다. AMS 백업에 대한 자세한 내용은 AMS 사용 설명서 연속성 관리 장을 참조하세요.
백업 구성은 온보딩 시 수행됩니다. 기본(권장) 백업 설정입니다.
# VPC 태그 및 기본값
AMS 백업에 대한 최신 정보는 [연속성 관리를 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/continuity-mgmt.html).
**중요**
기본적으로 EC2 스택 백업은 비활성화됩니다(백업 = 거짓). RFC(CT ct-140EC27q0sjyt1h)를 통해 EC2 스택을 요청할 `Key: Backup, Value: True` 때 태그를 추가하여 생성 시 EC2 인스턴스 백업을 활성화할 수 있습니다. EC2 인스턴스가 생성된 후 태그를 추가하려면 관리 \$1 고급 스택 구성 요소 \$1 EC2 인스턴스 스택 \$1 CT 업데이트(ct-38s4s4tm4ic4u)를 사용하여 RFC를 제출합니다.
# EC2 인스턴스 태그 및 기본값
**EC2 스택 백업 태그**는 스택에 연결된 EBS 볼륨의 스냅샷이 필요한지 여부를 지정합니다.
태그` Key: Backup`
태그` Value: True, False`
기본적으로 값은 `False` 백업 태그가 없고 스택에 예약된 백업이 없습니다.
백업을 활성화`Value: True`하려면 태그를 `Key: Backup` 로 변경하면 VPC 백업 태그로 설정된 일정에 따라 백업이 수행됩니다.
**참고**
태그 값(값만 해당)의 대소문자는 구분되지 않으므로 True/true 또는 False/false는 모두 허용됩니다.
# RDS 인스턴스 백업 및 기본값
Amazon Relational Database Service(RDS) 기본값은 스택 템플릿에 정의되어 있습니다.
` Backup: Yes`
` Backup Window: 22:00-23:00 (RDS local time zone)`
` Retention Period: 7 (7 snapshots stored)`
# 패치 기본값
이 섹션에서는 AMS 패치 기본값을 설명합니다. AMS 패치에 대한 자세한 내용은 AMS 사용 설명서 패치 관리 장을 참조하세요.
AMS는 패치된 AMIs를 매월 릴리스합니다. 모든 새 스택 요청은 최신 AMS AMI로 구성해야 합니다.
**중요**
태그 기반 패치인 AMS Patch Orchestrator는 AWS Systems Manager(SSM) 기능을 사용하여 인스턴스에 태그를 지정하거나 AMS 태그를 지정할 수 있으며, 구성한 기준 및 창을 사용하여 해당 인스턴스에 패치를 적용할 수 있습니다. 자세한 내용은 [패치 오케스트레이터: 태그 기반 패치 모델을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/patch-orchestrator.html).
AMS 표준, 계정 기반, 패치: 인플레이스 패치를 수신하는 스택이 있는 각 계정에 대해 '패치 화요일' 직후 예정된 적용 가능한 패치에 대한 알림이 전송됩니다. 알림에는 모든 스택 및 해당 패치 목록과 제안된 패치 창이 포함됩니다. 중요한 패치의 경우 기간은 10일 전에 설정되고 표준 패치의 경우 14일 전에 설정됩니다. 알림에 회신하지 않으면 패치가 적용되지 않습니다. 특정 패치를 제외하려면 알림에 회신하거나 서비스 요청을 제출합니다. 패치 적용에 대한 동의로 회신하지만 다른 일정을 구체적으로 요청하지 않으면 수신하는 알림에 설명된 대로 패치가 적용됩니다.
**참고**
패치 서비스 알림은 계정 연락처로 전송되는 이메일이며 AWS Support 콘솔에 대한 링크가 포함되어 있습니다. AWS Support 콘솔 또는 알림이 서비스 알림으로 표시되는 AMS 서비스 요청 페이지를 통해 회신할 수 있습니다.
AMS 표준 패치 적용 프로세스 시 AMS는 다음을 수행합니다.
1. 제안된 패치 기간 14일 전에 패치 서비스 알림이 전송됩니다. 패치 서비스 알림은 계정의 파일에 있는 연락처 이메일 주소로 이메일을 통해 전송됩니다.
1. 패치 알림에 제공된 스택 목록을 기반으로 스택에서 연결 가능한 모든 EC2 인스턴스를 식별합니다. 이 경우 "Reachable"은 EC2 상태가 "Running"이고 EC2 Run Command 에이전트가 완전히 작동하는 인스턴스를 의미합니다.
1. AMS는 스택이 정상 상태를 유지하도록 충분한 수의 EC2 인스턴스가 동시에 실행( `healthy-host-threshold` 설정을 통해 구성)되도록 하는 방식으로 패치를 수행합니다.
1. 모든 EC2 인스턴스에 대한 패치 적용 작업이 완료되면 AMS는 RFC를 패치 적용 상태인 성공, 부분 성공 또는 실패로 업데이트합니다. 성공 이외의 상태인 경우 운영자가 패치 결과를 추적하고 수정 조치를 취할 수 있는 티켓이 생성됩니다.