보안 요소 - AWS 권장 가이드
강력한 자격 증명 기반 구현추적성 유지모든 계층에 보안 적용보안 모범 사례 자동화데이터에서 멀리 떨어진 곳에 두기보안 이벤트 준비

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 요소

AWS Well-Architected Framework의 보안 원칙은 클라우드 기능을 활용하여 정보, 인프라 및 리소스에 대한 강력한 보호 메커니즘을 설정하는 데 중점을 둡니다. 이러한 원칙은 혁신을 지원하면서 전반적인 보안 태세를 강화하는 데 도움이 됩니다.

WorkSpaces 애플리케이션 스트리밍 환경에이 원칙을 적용하기 위한 주요 중점 영역:

  • 데이터 무결성 및 기밀성

  • 사용자 권한 관리

  • 보안 이벤트를 감지하기 위한 제어 설정

강력한 자격 증명 기반 구현

자격 증명 관리를 중앙 집중화하고 장기 자격 증명을 방지하면서 AWS 리소스에 액세스하는 데 필요한 최소 권한을 사용합니다.

  • WorkSpaces 애플리케이션 리소스에 대한 최소 권한 부여:

    • 최소한의 필수 권한으로 WorkSpaces 애플리케이션 플릿에 대한 특정 IAM 역할을 생성합니다.

    • 이미지 빌더에 대한 제한된 IAM 권한을 구성합니다.

    • WorkSpaces 애플리케이션 관리 기능에 대한 관리 액세스를 제한합니다.

    • 스택 및 플릿 관리에 대한 세분화된 권한을 정의합니다.

  • 적절한 사용자 인증 메커니즘을 구현합니다.

    • 엔터프라이즈 자격 증명 공급자 통합을 위한 SAML 2.0 페더레이션을 구성합니다.

    • 사용자 관리를 AWS IAM Identity Center 위해를 설정합니다.

    • 특정 인증 시나리오에 필요한 경우에만 사용자 지정 자격 증명 브로커를 사용합니다.

    • 지원되는 경우 다중 인증(MFA)을 구현합니다.

  • 애플리케이션에 대한 사용자 액세스 제어:

    • 특정 애플리케이션에 대한 액세스를 제한하도록 애플리케이션 권한을 구성합니다.

    • 사용자 역할을 기반으로 애플리케이션 할당 그룹을 생성합니다.

    • 스택 권한을 통해 애플리케이션 액세스를 관리합니다.

    • 세션 정책을 구현하여 애플리케이션 동작을 제어합니다.

  • 적절한 제어로 사용자 세션을 보호합니다.

    • 세션 제한 시간 정책을 구성합니다.

    • 연결 해제 제한 시간 작업을 설정합니다.

    • 세션 지속성 요구 사항을 구현합니다.

    • 파일 시스템 리디렉션 권한을 제어합니다.

  • WorkSpaces 애플리케이션에 대한 인증서 기반 인증을 구성합니다. 자세한 내용은 AWS 블로그 게시물 Simplify certificate-based authentication for WorkSpaces Applications and WorkSpaces with AWS Private CA Connector for Active Directory를 참조하세요.

  • 세션 태그를 사용하여 세분화된 액세스 제어를 구현합니다. 자세한 내용은 AWS 블로그 게시물 세션 태그를 사용하여 WorkSpaces 애플리케이션 권한 단순화를 참조하세요.

추적성 유지

모든 환경 변경 및 활동에 대한 실시간 모니터링 및 자동 응답 시스템을 구현합니다.

  • 애플리케이션 시작, 충돌 및 오류를 포함한 애플리케이션별 이벤트를 모니터링하도록 애플리케이션 로그에 대한 CloudWatch 로깅을 구성합니다. 세션 시작, 중지 및 사용자 연결 이벤트를 포함한 스트리밍 세션 정보를 추적하도록 세션 로그를 구성합니다.

  • CloudTrail을 활성화하여 모든 WorkSpaces 애플리케이션 API 호출을 기록하고 플릿 생성 및 수정, 이미지 빌더 작업, 스택 구성, 사용자 관리 활동과 같은 관리 이벤트를 추적합니다.

  • WorkSpaces 애플리케이션 인스턴스 활동 모니터링:

    • 시스템 수준 이벤트를 캡처하도록 인스턴스 로깅을 구성합니다.

    • 애플리케이션 시작 및 실패를 추적합니다.

    • 시스템 리소스 사용량 및 성능을 모니터링합니다.

  • 사용자 활동 추적:

    • 사용자 인증 시도 및 실패를 모니터링합니다. CloudWatch 지표 및 CloudWatch Logs를 사용하여 사용자 로그인 시도, 세션 시작 및 종료 시간, 세션 연결 해제 이벤트를 추적할 수 있습니다.

    • 애플리케이션 사용 패턴을 추적합니다. WorkSpaces 애플리케이션 사용 보고서를 활성화하여 세션 기간, 시작 및 종료 시간, 사용된 인스턴스 유형, 액세스된 애플리케이션과 같은 정보를 검색합니다.

    • 활성화된 홈 폴더를 통해 파일 시스템 활동을 기록합니다.

    • 클립보드 설정 및 인쇄 작업을 구성하여 데이터 손실 방지 목표를 달성합니다.

  • 사용자 인증 실패, 비정상적인 세션 패턴, 리소스 액세스 위반과 같은 보안 관련 지표에 대한 CloudWatch 경보를 구성합니다.

  • EUC 툴킷을 사용하여 활성 세션 및 상태를 추적하고, 사용 중인 활성 세션의 IP 주소를 모니터링하고, 감사를 위해 세션 데이터를 내보냅니다. 자세한 내용은 AWS 블로그 게시물 EUC 툴킷을 사용하여 Amazon WorkSpaces 애플리케이션 및 Amazon WorkSpaces 관리를 참조하세요.

모든 계층에 보안 적용

네트워크 엣지에서 애플리케이션 코드에 이르기까지 인프라의 모든 구성 요소에 걸쳐 여러 계층의 보안 제어를 구현합니다.

  • 네트워크 계층 보안 구성:

    • 엄격한 보안 그룹 규칙을 구현합니다.

    • WorkSpaces 애플리케이션 플릿 인스턴스를 인터넷에 직접 액세스할 수 없는 프라이빗 서브넷에 배치합니다. NAT 디바이스를 통해 인터넷 액세스를 제어합니다.

    • Virtual Private Cloud(VPC) 엔드포인트를 사용하여 지원되는에 액세스합니다 AWS 서비스 (예: Amazon S3).

    • 네트워크 액세스 제어 목록(ACLs.

    • 스트리밍 포트(HTTPS 및 WebSocket Secure용 TCP 8443) 액세스를 특정 IP 범위로 제한합니다.

  • 액세스 계층 보안 구성:

  • 애플리케이션 계층 보안 구성:

    • 특정 애플리케이션에 액세스할 수 있는 사용자를 제어하도록 애플리케이션 권한을 구성합니다.

    • 파일 시스템 리디렉션 제어를 활성화하여 로컬 드라이브에 대한 액세스를 제한합니다.

    • 보안 요구 사항에 따라 클립보드, 파일 전송 및 인쇄 권한을 구성합니다.

    • 보안 정책에 따라 USB 디바이스 액세스 제어를 설정합니다.

  • 이미지 계층 보안 구성:

    • 보안 요구 사항을 충족하는 강화된 기본 이미지를 생성하고 유지 관리합니다.

    • 기본 이미지를 최신 보안 패치로 업데이트합니다.

    • 기본 이미지에서 Windows 보안 설정을 구성합니다.

    • 기본 이미지에서 불필요한 Windows 서비스 및 기능을 비활성화합니다.

보안 모범 사례 자동화

버전 제어 템플릿에서 자동화된 코드 정의 보안 제어를 사용하여 안전하고 확장 가능한 인프라 배포를 지원합니다.

  • 와 같은 서비스를 사용하여 코드형 인프라(IaC) AWS CloudFormation 를 사용하여 모든 플릿 배포에서 일관된 보안 구성을 구현합니다. 자세한 내용은 AWS 블로그 게시물 Amazon Amazon WorkSpaces 애플리케이션 및 Amazon WorkSpaces에 추가 보안 그룹 자동 연결을 참조Amazon WorkSpaces.

  • Image Assistant CLI를 사용하여 이미지 생성 보안 프로세스를 자동화합니다.

  • 자동 응답에 Amazon CloudWatch 경보, Amazon EventBridge 규칙 및 AWS Lambda 함수를 사용하여 용량 사용률 임계값 초과, 무단 액세스 시도 및 보안 그룹 변경에 대한 자동 응답을 구성합니다.

데이터에서 멀리 떨어진 곳에 두기

데이터 처리 프로세스를 자동화하여 직접적인 인적 액세스를 최소화하고 오류 또는 잘못된 처리 위험을 줄입니다.

  • 특정 애플리케이션에 액세스할 수 있는 사용자를 제어하도록 애플리케이션 권한을 구성합니다.

  • 동적 애플리케이션 프레임워크를 사용하여 동적 앱 공급자를 구축하여 사용자 속성을 기반으로 애플리케이션을 동적으로 사용할 수 있도록 합니다.

  • 사용자가 액세스할 수 있는 로컬 드라이브를 제어하고, 특정 폴더에 대한 액세스를 제한하고, 로컬 세션과 스트리밍 세션 간의 파일 전송 권한을 관리하도록 파일 시스템 리디렉션을 구성합니다.

  • 클립보드 제한을 구현하여 로컬 세션과 스트리밍 세션 간의 클립보드 공유를 비활성화하고, 필요한 경우 단방향 클립보드 흐름을 활성화하고, 무단 데이터 복사를 방지합니다.

  • 애플리케이션 구성 지속성을 구성하여 애플리케이션 구성을 자동으로 저장 및 복원하고, 수동 구성 요구 사항을 제거하며, 일관된 사용자 경험을 유지합니다.

보안 이벤트 준비

자동화된 도구를 사용하여 보안 이벤트에서 신속하게 탐지, 조사 및 복구할 수 있도록 하여 인시던트 대응 계획을 개발하고 연습합니다.

  • 실패한 인증 시도, 플릿 보안 그룹 변경, 이미지 구성 수정 및 비정상적인 스트리밍 세션 패턴에 대한 CloudWatch 경보를 설정합니다.

  • 다음과 같은 일반적인 WorkSpaces 애플리케이션 보안 시나리오에 대한 대응 절차를 문서화합니다.

    • 무단 액세스 시도

      • 감지: 인증 실패를 모니터링합니다.

      • 응답: 사용자 권한을 취소하고, 세션 로그를 검토하고, 액세스 정책을 업데이트합니다.

    • 손상된 스트리밍 인스턴스

      • 감지: 인스턴스 동작을 모니터링합니다.

      • 응답: 영향을 받는 세션을 종료하고, 플릿 인스턴스를 교체하고, 보안 그룹 구성을 검토합니다.

    • 데이터 유출 시도

      • 감지: 파일 전송 활동을 모니터링합니다.

      • 응답: 클립보드 및 파일 전송 로그를 검토하고, 파일 전송 권한을 조정하고, 데이터 보호 정책을 업데이트합니다.

  • 플릿 인스턴스 교체, 보안 그룹 복원, 사용자 액세스 재구성 및 애플리케이션 설정 복구를 위한 자동 복구 프로세스를 구현합니다.

  • 보안 조사 결과 및 위협 탐지 AWS 서비스 를 위한 Amazon GuardDuty와 같은 AWS Security Hub CSPM 보안 관리에 사용합니다.