기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS OpsWorks 구성 관리(CM)의 보안
<a name="security-opscm"></a>

의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.

보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이를 클라우드*의* 보안과 클라우드 *내* 보안으로 설명합니다.
+ **클라우드 보안 **- AWS 는 클라우드에서 AWS AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다. AWS 또한는 안전하게 사용할 수 있는 서비스를 제공합니다. 서드 파티 감사원은 정기적으로 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)의 일환으로 보안 효과를 테스트하고 검증합니다. OpsWorks CM에 적용되는 규정 준수 프로그램에 대해 알아보려면 [규정 준수 프로그램 제공 범위 내AWS 서비스](https://aws.amazon.com/compliance/services-in-scope/)를 참조하세요.
+ **클라우드의 보안** - 사용자의 책임은 사용하는 AWS 서비스에 따라 결정됩니다. 또한 귀하는 귀사의 데이터 민감도, 귀사의 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.

이 설명서는 OpsWorks CM을 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다. 다음 주제에서는 보안 및 규정 준수 목표에 맞게 OpsWorks CM을 구성하는 방법을 보여줍니다. 또한 OpsWorks CM 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스를 사용하는 방법을 알아봅니다.

**Topics**
+ [OpsWorks CM의 데이터 보호](data-protection.md)
+ [데이터 암호화](#protection-encryption-opscm)
+ [OpsWorks CM의 자격 증명 및 액세스 관리](security-iam-opscm.md)
+ [인터네트워크 트래픽 개인 정보](#protection-privacy-opscm)
+ [OpsWorks CM에서 로깅 및 모니터링](#sec-opsworks-log-mon-opscm)
+ [OpsWorks CM에 대한 규정 준수 확인](opsworks-stacks-compliance-opscm.md)
+ [OpsWorks CM의 복원력](disaster-recovery-resiliency-opscm.md)
+ [AWS OpsWorks CM의 인프라 보안](infrastructure-security-opscm.md)
+ [OpsWorks CM의 구성 및 취약성 분석](#sec-config-vulnerability-opscm)
+ [OpsWorks CM의 보안 모범 사례](#sec-security-bestpractice-opscm)

## 데이터 암호화
<a name="protection-encryption-opscm"></a>

OpsWorks CM은 승인된 AWS 사용자와 OpsWorks CM 서버 간의 서버 백업 및 통신을 암호화합니다. 그러나 OpsWorks CM 서버의 루트 Amazon EBS 볼륨은 암호화되지 않습니다.

### 유휴 데이터 암호화
<a name="protection-encryption-rest-opscm"></a>

OpsWorks CM 서버 백업은 암호화됩니다. 그러나 OpsWorks CM 서버의 루트 Amazon EBS 볼륨은 암호화되지 않습니다. 이는 사용자가 구성할 수 없습니다.

### 전송 중 데이터 암호화
<a name="protection-encryption-transit-opscm"></a>

OpsWorks CM은 TLS 암호화와 함께 HTTP를 사용합니다. OpsWorks 사용자가 서명된 인증서를 제공하지 않는 경우 CM은 기본적으로 자체 서명된 인증서를 사용하여 서버를 프로비저닝하고 관리합니다. CA(인증 기관)에서 서명한 인증서를 사용하는 것이 좋습니다.

### 키 관리
<a name="protection-key-management-opscm"></a>

AWS Key Management Service 고객 관리형 키와 AWS 관리형 키는 현재 OpsWorks CM에서 지원되지 않습니다.

## 인터네트워크 트래픽 개인 정보
<a name="protection-privacy-opscm"></a>

OpsWorks CM은 AWS HTTPS 또는 TLS 암호화를 사용하는 HTTP에서 일반적으로 사용하는 것과 동일한 전송 보안 프로토콜을 사용합니다.

## OpsWorks CM에서 로깅 및 모니터링
<a name="sec-opsworks-log-mon-opscm"></a>

OpsWorks CM은 모든 API 작업을 CloudTrail에 기록합니다. 자세한 내용은 다음 항목을 참조하세요.
+ [를 사용하여 OpsWorks for Puppet Enterprise API 호출 로깅 AWS CloudTrail](logging-opspup-using-cloudtrail.md)
+ [를 사용하여 AWS OpsWorks for Chef Automate API 호출 로깅 AWS CloudTrail](logging-opsca-using-cloudtrail.md)

## OpsWorks CM의 구성 및 취약성 분석
<a name="sec-config-vulnerability-opscm"></a>

OpsWorks CM은 OpsWorks CM 서버에서 실행 중인 운영 체제에 대해 정기적인 커널 및 보안 업데이트를 수행합니다. 사용자는 현재 날짜로부터 최대 2주 동안 자동 업데이트가 발생하는 기간을 설정할 수 있습니다. OpsWorks CM은 Chef 및 Puppet Enterprise 마이너 버전의 자동 업데이트를 푸시합니다. 에 대한 업데이트 구성에 대한 자세한 내용은이 설명서의 [ 시스템 유지 관리(Chef)](opscm-maintenance.md)를 AWS OpsWorks for Chef Automate참조하세요. OpsWorks for Puppet Enterprise에 대한 업데이트 구성에 대한 자세한 내용은 이 안내서의 [시스템 유지 관리(Puppet)](opspup-maintenance.md)를 참조하세요.

## OpsWorks CM의 보안 모범 사례
<a name="sec-security-bestpractice-opscm"></a>

OpsWorks CM은 모든 AWS 서비스와 마찬가지로 자체 보안 정책을 개발하고 구현할 때 고려해야 할 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 사용자의 환경에 적절하지 않거나 충분하지 않을 수 있으므로 규정이 아닌 참고용으로만 사용하세요.
+ **스타터 키트와 다운로드한 로그인 자격 증명을 보호합니다.** 새 OpsWorks CM 서버를 생성하거나 OpsWorks CM 콘솔에서 새 스타터 키트 및 자격 증명을 다운로드할 때 최소 한 가지 인증 요소가 필요한 안전한 위치에 이러한 항목을 저장합니다. 자격 증명은 서버에 대한 관리자 수준의 액세스를 제공합니다.
+ **구성 코드를 보호합니다.** 소스 리포지토리에 권장되는 프로토콜을 사용하여 Chef 또는 Puppet 구성 코드(Cookbook 및 모듈)를 보호합니다. 예를 들어 [AWS CodeCommit의 리포지토리로 권한을 제한](https://docs.aws.amazon.com/codecommit/latest/userguide/auth-and-access-control.html#auth-and-access-control-iam-access-control-identity-based)하거나 [GitHub 웹 사이트의 지침에 따라 GitHub 리포지토리를 보호](https://help.github.com/en/github/managing-security-vulnerabilities/adding-a-security-policy-to-your-repository)할 수 있습니다.
+ **CA가 서명한 인증서를 사용하여 노드에 연결합니다.** OpsWorks CM 서버에 노드를 등록하거나 부트스트래핑할 때 자체 서명된 인증서를 사용할 수 있지만 모범 사례로 CA 서명 인증서를 사용합니다. CA(인증 기관)에서 서명한 인증서를 사용하는 것이 좋습니다.
+ **Chef 또는 Puppet 관리 콘솔 로그인 자격 증명**을 다른 사용자와 공유하지 마십시오. 관리자는 Chef 또는 Puppet 콘솔 웹 사이트의 각 사용자에 대해 별도의 사용자를 만들어야 합니다.
  + [Chef Automate에서 사용자 관리](https://automate.chef.io/docs/users/)
  + [Puppet Enterprise에서 사용자 관리](https://puppet.com/docs/pe/2017.3/rbac_user_roles_intro.html)
+ **자동 백업 및 시스템 유지 관리 업데이트를 구성합니다.** OpsWorks CM 서버에서 자동 유지 관리 업데이트를 구성하면 서버에서 최신 보안 관련 운영 체제 업데이트를 실행하는 데 도움이 됩니다. 자동 백업을 구성하면 재해 복구를 용이하게 하고 사고 또는 장애 발생 시 복원 시간을 단축할 수 있습니다. OpsWorks CM 서버 백업을 저장하는 Amazon S3 버킷에 대한 액세스를 제한합니다. **모든** 사용자에게 액세스 권한을 부여하지 마십시오. 필요에 따라 다른 사용자에게 읽기 또는 쓰기 액세스 권한을 개별적으로 부여하거나, IAM에서 해당 사용자에 대한 보안 그룹을 생성하고 보안 그룹에 액세스 권한을 할당합니다.
  + [시스템 유지 관리(Chef)](opscm-maintenance.md)
  + [시스템 유지 관리(Puppet)](opspup-maintenance.md)
  + [AWS OpsWorks for Chef Automate 서버 백업 및 복원](opscm-backup-restore.md)
  + [OpsWorks for Puppet Enterprise 서버 백업 및 복원](opspup-backup-restore.md)
  + *AWS Identity and Access Management 사용 설명서*의 [첫 번째 IAM 위임 사용자 및 사용자 그룹 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html)
  + [Amazon 심플 스토리지 서비스 개발자 가이드*의 *Amazon S3 보안 모범 사례](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html)