AMS의 데이터 보호 - AMS 고급 사용 설명서
Amazon MacieGuardDutyAmazon Route 53 Resolver DNS 방화벽AWS Certificate Manager (ACM) 인증서AMS의 데이터 암호화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AMS의 데이터 보호

AMS는 Amazon GuardDuty, Amazon Macie(선택 사항) 및 기타 내부 독점 도구 및 프로세스와 같은 네이티브 AWS 서비스를 활용하여 관리형 계정을 지속적으로 모니터링합니다. 경보가 트리거된 후 AMS는 경보에 대한 초기 분류 및 대응을 담당합니다. 대응 프로세스는 NIST 표준을 기반으로 합니다. AMS는 보안 인시던트 대응 시뮬레이션을 사용하여 대응 프로세스를 정기적으로 테스트하여 워크플로를 기존 고객 보안 대응 프로그램에 맞게 조정합니다.

AMS가 AWS 또는 보안 정책에 대한 위반 또는 임박한 위반 위협을 감지하면 영향을 받는 리소스 및 구성 관련 변경 사항을 포함한 정보를 수집합니다. AMS는 모든 관리형 계정에서 모니터링 대시보드, 인시던트 대기열 및 서비스 요청을 적극적으로 검토하고 조사하는 전담 운영자와 함께 연중무휴 follow-the-sun 지원을 제공합니다. AMS는 보안 전문가와 조사하여 활동을 분석하고 계정에 나열된 보안 에스컬레이션 연락처를 통해 사용자에게 알립니다.

조사 결과에 따라 AMS는 사전에 고객과 소통합니다. 활동이 무단이거나 의심스러운 경우 AMS는 사용자와 협력하여 문제를 조사 및 해결하거나 억제합니다. AMS가 조치를 취하기 전에 영향을 확인해야 하는 GuardDuty에서 생성된 특정 결과 유형이 있습니다. 예를 들어 GuardDuty 결과 유형 UnauthorizedAccess:IAMUser/ConsoleLogin은 사용자 중 한 명이 비정상적인 위치에서 로그인했음을 나타냅니다. AMS는 사용자에게 알리고이 동작이 합법적인지 확인하기 위해 결과를 검토하도록 요청합니다.

Amazon Macie

AWS Managed Services에서는 Macie를 사용하여 개인 건강 정보(PHI), 개인 식별 정보(PII) 및 금융 데이터와 같은 중요 데이터의 대규모 종합 목록을 탐지할 것을 권장합니다.

Macie는 모든 Amazon S3 버킷에서 정기적으로 실행되도록 구성하여 시간이 지남에 따라 버킷 내의 새 객체 또는 수정된 객체에 대한 평가를 자동화할 수 있습니다. 보안 조사 결과가 생성되면 AMS는 사용자에게 이를 알리고 사용자와 협력하여 필요에 따라 문제를 해결합니다.

자세한 내용은 Amazon Macie 조사 결과 분석을 참조하세요.

Amazon Macie 보안

Macie는 AWS에 저장된 민감한 데이터를 자동으로 검색, 분류 및 보호하여 데이터 손실을 방지하는 데 도움이 되는 인공 지능/AI 기반 보안 서비스입니다. Macie는 기계 학습을 사용하여 개인 식별 정보(PII) 또는 지적 재산과 같은 민감한 데이터를 인식하고, 비즈니스 가치를 할당하고,이 데이터가 저장되는 위치와 조직에서 사용되는 방식에 대한 가시성을 제공합니다. Macie는 데이터 액세스 활동에 이상이 있는지 지속적으로 모니터링하고 무단 액세스 또는 의도하지 않은 데이터 유출 위험을 감지하면 알림을 전송합니다. Macie 서비스는 Amazon S3 및 AWS CloudTrail 데이터 소스를 지원합니다.

AMS는 Macie의 알림을 지속적으로 모니터링하고, 알림을 받으면 리소스와 계정을 보호하기 위한 빠른 조치를 취합니다. AMS가 지원하는 서비스 목록에 Macie를 추가하면 이제 지침에 따라 모든 계정에서 Macie를 활성화하고 구성할 책임도 있습니다. Macie 알림 및 작업이 AWS 콘솔 또는 지원되는 통합에서 펼쳐질 때 해당 알림을 볼 수 있습니다. 계정 온보딩 중에 PII를 저장하는 데 사용하는 계정을 표시할 수 있습니다. PII가 있는 모든 새 계정의 경우 Macie를 사용하는 것이 좋습니다. PII가 있는 기존 계정의 경우 문의하면 계정에서 해당 계정을 켭니다. 따라서 추가 보호 계층을 사용할 수 있으며 AMS에서 관리하는 AWS 환경에서 Macie의 모든 이점을 누릴 수 있습니다.

AMS Macie FAQs

  • 모든 AMS 계정에 Trend Micro 및 GuardDuty가 활성화된 경우 Macie가 필요한 이유는 무엇입니까?

    Macie는 보유한 데이터, 데이터가 비즈니스에 미치는 가치, 해당 데이터에 대한 액세스와 관련된 동작을 분류하는 데 도움이 되므로 Amazon S3에서 데이터를 보호할 수 있습니다. Amazon GuardDuty는 위협 행위자 정찰, 인스턴스 문제 및 문제가 있는 계정 활동과 같은 위협을 식별하는 데 도움을 주어 AWS 계정, 워크로드 및 데이터를 광범위하게 보호합니다. 두 서비스 모두 사용자 동작 분석, 기계 학습 및 이상 탐지를 통합하여 각 범주에서 위협을 탐지합니다. Trend Micro는 PII 및 위협을 식별하는 데 중점을 두지 않습니다.

  • AMS 계정에서 Macie를 켜려면 어떻게 해야 하나요?

    계정에 PII/PHI가 저장되어 있거나 저장하려는 경우 CSDM에 문의하거나 서비스 요청을 제기하여 AMS에서 관리하는 신규 또는 기존 계정에 Macie를 활성화합니다.

  • AMS 계정에서 Macie를 활성화하면 어떤 비용이 발생하나요?

    Macie 요금은 Amazon Elastic Compute Cloud(Amazon EC2)와 같은 다른 서비스와 유사한 AMS에서 작동합니다. 사용량에 따라 Amazon Macie에 대해 비용을 지불하고 SLAs에 따라 AMS 상승을 지불합니다. Macie 요금은 사용량을 기준으로 합니다. AWS CloudTrail 이벤트 및 Amazon S3 스토리지를 기준으로 측정된 Amazon Macie 요금을 참조하세요. Amazon S3 Macie 요금은 Amazon S3 버킷에 추가된 증분 데이터를 기반으로 청구되므로 활성화 후 두 번째 달부터 일반화되는 경향이 있습니다.

Macie에 대한 자세한 내용은 Amazon Macie를 참조하세요.

GuardDuty

GuardDuty는 악성 IP 주소 및 도메인 목록과 같은 위협 인텔리전스 피드와 기계 학습을 사용하여 AWS 환경 내에서 예기치 않고 잠재적으로 승인되지 않은 악의적인 활동을 식별하는 지속적인 보안 모니터링 서비스입니다. 여기에는 권한 에스컬레이션, 노출된 자격 증명 사용, 악성 IP 주소 또는 도메인과의 통신과 같은 문제가 포함될 수 있습니다. 또한 GuardDuty는 Amazon Web Services 계정 액세스 동작에서 사용된 적이 없는 리전에 배포된 인스턴스와 같은 무단 인프라 배포 또는 암호 강도를 줄이기 위한 암호 정책 변경과 같은 비정상적인 API 호출과 같은 손상 징후가 있는지 모니터링합니다. 자세한 내용은 GuardDuty 사용 설명서를 참조하세요.

GuardDuty 결과를 보고 분석하려면 다음 절차를 사용합니다.

  1. GuardDuty 콘솔을 엽니다.

  2. 조사 결과를 선택한 다음 특정 조사 결과를 선택하여 세부 정보를 봅니다. 각 결과에 대한 세부 정보는 결과 유형, 관련된 리소스 및 활동의 특성에 따라 달라집니다.

사용 가능한 결과 필드에 대한 자세한 내용은 GuardDuty 결과 세부 정보를 참조하세요.

GuardDuty 보안

Amazon GuardDuty는 AWS 계정 및 워크로드를 지속적으로 모니터링하고 보호할 수 있는 위협 탐지 기능을 제공합니다. Amazon GuardDuty는 이벤트, Amazon VPC 흐름 로그 및 도메인 이름 시스템(DNS) 로그에 AWS CloudTrail 있는 계정 및 네트워크 활동에서 생성된 메타데이터의 연속 스트림을 분석합니다. 또한 알려진 악성 IP 주소, 이상 탐지 및 기계 학습과 같은 통합 위협 인텔리전스를 사용하여 위협을 더 정확하게 식별합니다. GuardDuty는 모니터링되는 AMS 서비스입니다. Amazon GuardDuty 모니터링에 대한 자세한 내용은 섹션을 참조하세요GuardDuty 모니터링. GuardDuty에 대한 자세한 내용은 Amazon GuardDuty를 참조하세요.

모든 새 AMS 계정에는 기본적으로 GuardDuty가 활성화되어 있습니다. AMS는 계정 온보딩 중에 GuardDuty를 구성합니다. 언제든지 변경 요청을 제출하여 설정을 수정할 수 있습니다. GuardDuty 요금은 Amazon Elastic Compute Cloud(Amazon EC2)와 같은 다른 서비스와 유사하게 AMS에 적용됩니다. 사용량에 따라 GuardDuty 요금을 지불하고 SLAs에 따라 AMS 증가를 지불합니다. GuardDuty 요금은 Amazon VPC 흐름 로그의 AWS CloudTrail 이벤트 및 볼륨을 기준으로 측정된 사용량(Amazon GuardDuty 요금)을 기준으로 합니다.

AMS의 GuardDuty의 경우 다음과 같은 기본 탐지 범주가 활성화됩니다.

  • 정찰 -- 비정상적인 API 활동, VPC 내 포트 스캔, 로그인 요청 실패의 비정상적인 패턴 또는 알려진 잘못된 IP에서 검색하는 차단되지 않은 포트와 같은 위협 행위자의 정찰을 제안하는 활동입니다.

  • 인스턴스 문제 -- 암호화폐 마이닝, 도메인 생성 알고리즘(DGA)을 사용한 맬웨어, 아웃바운드 서비스 활동 거부, 비정상적으로 많은 양의 네트워크 트래픽, 비정상적인 네트워크 프로토콜, 알려진 악성 IP와의 아웃바운드 인스턴스 통신, 외부 IP 주소에서 사용하는 임시 Amazon EC2 자격 증명, DNS를 사용한 데이터 유출과 같은 문제가 있는 인스턴스 활동.

  • 계정 활동 - 계정 활동을 나타내는 일반적인 패턴에는 비정상적인 지리적 위치 또는 익명화 프록시의 API 호출, 로깅 비활성화 AWS CloudTrail 시도, 비정상적인 인스턴스 또는 인프라 시작, 비정상적인 AWS 리전의 인프라 배포, 알려진 악성 IP 주소의 API 호출이 포함됩니다.

AMS는 관리형 계정에서 GuardDuty를 사용하여 GuardDuty의 조사 결과 및 알림을 지속적으로 모니터링하고, 알림이 표시되면 AMS 작업은 사전 조치를 취하여 리소스와 계정을 보호합니다. AWS 콘솔 또는 지원되는 통합에서 GuardDuty 조사 결과 및 작업을 펼칠 때 이를 볼 수 있습니다.

GuardDuty는 계정의 Trend Micro Deep Security Manager와 함께 작동합니다. Trend Micro Deep Security Manager는 호스트 기반 침입 탐지/침입 방지 서비스를 제공합니다. Trend Micro Web Reputation 서비스는 호스트가 위협으로 알려진 호스트 또는 웹 서비스와 통신을 시도하는 시기를 감지하는 기능에서 GuardDuty와 일부 중복됩니다. 그러나 GuardDuty는 추가 위협 탐지 범주를 제공하고 Trend Micro의 호스트 기반 탐지를 보완하는 방법인 네트워크 트래픽을 모니터링하여 이를 달성합니다. 네트워크 기반 위협 탐지를 사용하면 호스트에 문제가 있는 동작이 있는 경우 제어가 실패하지 않도록 하여 보안을 강화할 수 있습니다. AMS는 모든 AMS 계정에서 GuardDuty를 사용할 것을 권장합니다.

Trend Micro에 대해 자세히 알아보려면 Trend Micro Deep Security Help Center를 참조하세요. Amazon 이외의 링크는 예고 없이 변경될 수 있습니다.

GuardDuty 모니터링

GuardDuty는 AMS가 캡처하고 경고할 수 있는 보안 조사 결과를 생성하여 AWS 환경의 상태를 알려줍니다.

Amazon GuardDuty는 VPC 흐름 로그, AWS CloudTrail 이벤트 로그 및 도메인 이름 시스템 로그를 분석하고 처리하여 AWS 환경의 보안을 모니터링합니다. 신뢰할 수 있는 사용자 지정 IP 목록 및 위협 목록도 사용하도록 GuardDuty를 구성하여이 모니터링 범위를 확장할 수 있습니다.

  • 신뢰할 수 있는 IP 목록은 AWS 인프라 및 애플리케이션과의 보안 통신을 위해 허용한 IP 주소로 구성됩니다. GuardDuty는 신뢰할 수 있는 IP 목록의 IP 주소에 대한 결과를 생성하지 않습니다. 해당 시점에 리전별로 AWS 계정당 신뢰할 수 있는 IP 목록을 하나만 업로드할 수 있습니다.

  • 위협 목록은 알려진 악성 IP 주소로 구성되어 있습니다. GuardDuty는 위협 목록을 기반으로 조사 결과를 생성합니다. 해당 시점에 리전별로 AWS 계정당 위협 목록을 최대 6개까지 업로드할 수 있습니다.

GuardDuty를 구현하려면 AMS CT 배포 | 모니터링 및 알림 | GuardDuty IP 세트 | 생성(ct-08avsj2e9mc7g)을 사용하여 승인된 IP 주소 세트를 생성합니다. AMS CT 배포 | 모니터링 및 알림 | GuardDuty 위협 인텔리전스 세트 | 생성(ct-25v6r7t8gvkq5)을 사용하여 거부된 IP 주소 세트를 생성할 수도 있습니다.

AMS가 모니터링하는 서비스 목록은 섹션을 참조하세요AMS 모니터링 시스템은 무엇을 모니터링합니까?.

Amazon Route 53 Resolver DNS 방화벽

Amazon Route 53 Resolver는 퍼블릭 레코드, Amazon VPC별 DNS 이름 및 Amazon Route 53 프라이빗 호스팅 영역에 대한 AWS 리소스의 DNS 쿼리에 재귀적으로 응답하며 기본적으로 모든 VPCs. Route 53 Resolver DNS 방화벽을 사용하면 Virtual Private Cloud(VPC)에 대한 아웃바운드 DNS 트래픽을 필터링하고 제어할 수 있습니다. 이렇게 하려면 DNS 방화벽 규칙 그룹에 재사용 가능한 필터링 규칙 컬렉션을 생성하고 규칙 그룹을 VPC에 연결한 다음 DNS 방화벽 로그 및 지표 활동을 모니터링합니다. 활동에 따라 DNS 방화벽의 동작을 적절하게 조정할 수 있습니다. 자세한 내용은 DNS 방화벽을 사용하여 아웃바운드 DNS 트래픽 필터링을 참조하세요.

Route 53 Resolver DNS 방화벽 구성을 보고 관리하려면 다음 절차를 사용합니다.

  1. 에 로그인 AWS Management 콘솔 하고 https://console.aws.amazon.com/vpc/ Amazon VPC 콘솔을 엽니다.

  2. DNS 방화벽에서 규칙 그룹을 선택합니다.

  3. 기존 구성을 검토, 편집 또는 삭제하거나 새 규칙 그룹을 생성합니다. 자세한 내용은 Route 53 Resolver DNS 방화벽 작동 방식을 참조하세요.

Amazon Route 53 Resolver DNS 방화벽 모니터링 및 보안

Amazon Route 53 DNS 방화벽은 규칙 연결, 규칙 작업 및 규칙 평가 우선 순위의 개념을 사용합니다. 도메인 목록(domain list)은 규칙 그룹 내부의 DNS 방화벽 규칙에서 사용하는 재사용 가능한 도메인 사양 집합입니다. 규칙 그룹을 VPC 와 연결하면 DNS 방화벽은 규칙에 사용되는 도메인 목록과 DNS 쿼리를 비교합니다. DNS 방화벽이 일치하는 항목을 찾으면 일치하는 규칙의 작업에 따라 DNS 쿼리를 처리합니다. 규칙 그룹 및 규칙에 대한 자세한 내용은 DNS 방화벽 규칙 그룹 및 규칙을 참조하세요.

도메인 목록은 두 가지 주요 범주로 나뉩니다.

  • 가 자동으로 AWS 생성하고 유지 관리하는 관리형 도메인 목록입니다.

  • 생성 및 유지 관리하는 자체 도메인 목록입니다.

규칙 그룹은 연결 우선 순위 인덱스를 기반으로 평가됩니다.

기본적으로 AMS는 다음 규칙과 규칙 그룹으로 구성된 기준 구성을 배포합니다.

  • 라는 규칙 그룹 1개DefaultSecurityMonitoringRule. 규칙 그룹은 활성화된 각의 각 기존 VPC에 대해 생성 시 사용할 수 있는 연결 우선 순위가 가장 높습니다 AWS 리전.

  • 작업 ALERTDefaultSecurityMonitoringRule와 함께 AWSManagedDomainsAggregateThreatList 관리형 도메인 목록을 사용하여 규칙 그룹 내에서 우선순위가 1인 라는 하나의 DefaultSecurityMonitoringRule 규칙.

기존 구성이 있는 경우 기존 구성보다 우선 순위가 낮은 기준 구성이 배포됩니다. 기존 구성이 기본값입니다. 기존 구성이 쿼리 해결을 처리하는 방법에 대한 우선 순위가 더 높은 지침을 제공하지 않는 경우 AMS 기준 구성을 catch-all로 사용합니다. 기준 구성을 변경하거나 제거하려면 다음 중 하나를 수행합니다.

계정이 개발자 모드 또는 직접 변경 모드에서 운영되는 경우 직접 변경을 수행할 수 있습니다.

AWS Certificate Manager (ACM) 인증서

AMS에는 CT, 배포 | 고급 스택 구성 요소 | 추가 SANs 포함된 ACM 인증서 | 생성(ct-3l14e139i5p50)이 있으며, 이를 사용하여 최대 5개의 추가 주체 대체 이름(SAN)(예: example.com, example.net, example.org)으로 AWS Certificate Manager 인증서에 대한 요청을 제출할 수 있습니다. 자세한 내용은 What Is AWS Certificate Manager?ACM Certificate Characteristic을 참조하세요.

참고

이 제한 시간 설정은 실행뿐만 아니라 이메일 검증을 통한 ACM 인증서 검증에 관한 것입니다. 검증이 없으면 RFC가 실패합니다.

AMS의 데이터 암호화

AMS는 데이터 암호화에 여러 AWS 서비스, 특히 Amazon Simple Storage Service, AWS Key Management Service (AWS KMS), Amazon Elastic Block Store, Amazon Relational Database Service, Amazon Redshift Amazon ElastiCache, AWS Lambda및 Amazon OpenSearch Service를 사용합니다.

Amazon S3

Amazon S3은 전송 중인 데이터와 유휴 시 데이터를 보호하는 몇 가지 객체 암호화 옵션을 제공합니다. 서버 측 암호화는 데이터 센터의 디스크에 저장하기 전에 객체를 암호화하고 객체를 다운로드할 때 암호를 해독합니다. 요청을 인증하기만 하면 액세스 권한을 갖게 되며, 객체의 암호화 여부와 관계없이 액세스 방식에는 차이가 없습니다. 자세한 내용은 Amazon S3의 데이터 보호를 참조하세요.

Amazon EBS

Amazon EBS 암호화를 사용하면 자체 키 관리 인프라를 구축, 유지 관리 및 보호할 필요가 없습니다. Amazon EBS 암호화는 암호화된 볼륨 및 스냅샷을 생성할 때 AWS KMS 키를 사용합니다. 암호화 작업은 Amazon EC2 인스턴스를 호스팅하는 서버에서 발생합니다. 이는 인스턴스와 연결된 Amazon EBS 스토리지 간에 data-at-rest data-in-transit 모두 안전한지 확인하기 위해 수행됩니다. 인스턴스에는 암호화된 볼륨과 암호화되지 않은 볼륨을 동시에 연결할 수 있습니다. 자세한 내용은 Amazon EBS 암호화를 참조하세요.

Amazon RDS

Amazon RDS는 Amazon RDS DB 인스턴스를 암호화할 수 있습니다. 저장 시 암호화된 데이터에는 DB 인스턴스의 기본 스토리지, 자동 백업, 읽기 전용 복제본 및 스냅샷이 포함됩니다. Amazon RDS 암호화 DB 인스턴스는 업계 표준 AES-256 암호화 알고리즘을 사용하여 Amazon RDS DB 인스턴스를 호스팅하는 서버의 데이터를 암호화합니다. 데이터가 암호화되면 Amazon RDS는 성능에 최소한의 영향을 미치면서 투명하게 데이터 액세스 인증 및 암호 해독을 처리합니다. 암호화를 사용하도록 데이터베이스 클라이언트 애플리케이션을 수정하지 않아도 됩니다. 자세한 내용은 Amazon RDS 리소스 암호화 단원을 참조하십시오.

Amazon Simple Queue Service

기본 Amazon SQS 관리형 서버 측 암호화(SSE) 옵션 외에도 Amazon SQS 관리형 SSE(SSE-SQS)를 사용하면 Amazon SQS 관리형 암호화 키를 사용하여 메시지 대기열을 통해 전송되는 민감한 데이터를 보호하는 사용자 지정 관리형 서버 측 암호화를 생성할 수 있습니다. 서버 측 암호화(SSE)를 사용하면 암호화된 대기열에서 민감한 데이터를 전송할 수 있습니다. SSE는 Amazon SQS 관리형 암호화 키(SSE-SQS) 또는 (SSE- AWS KMS KMS)에서 관리되는 키를 사용하여 대기열의 메시지 콘텐츠를 보호합니다. 를 사용하여 SSE를 관리하는 방법에 대한 자세한 내용은 저장 시 암호화를 AWS Management 콘솔참조하세요.

유휴 시(저장된) 데이터 암호화

OpenSearch Service 도메인은 저장된 데이터 암호화, 데이터 무단 액세스를 방지하는 보안 기능을 제공합니다. 이 기능은 AWS Key Management Service (AWS KMS)를 사용하여 암호화 키를 저장하고 관리하며 고급 암호화 표준 알고리즘을 256비트 키(AES-256)와 함께 사용하여 암호화를 수행합니다. 자세한 내용은 Amazon OpenSearch Service의 저장 데이터 암호화를 참조하세요.

키 관리

AWS KMS 는 데이터를 암호화하는 데 사용되는 암호화 키인 고객 마스터 키(CMKs)를 쉽게 생성하고 제어할 수 있는 관리형 서비스입니다. AWS KMS CMKs는 중국(베이징) 및 중국(닝샤) 리전을 제외하고 FIPS 140-2 암호화 모듈 검증 프로그램에서 검증한 하드웨어 보안 모듈(HSMs)로 보호됩니다. 자세한 내용은 AWS Key Management Service란?을 참조하십시오.