기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
플랫폼 엔지니어링
재사용 가능한 패키지형 클라우드 제품으로 안전하고 규정을 준수하는 다중 계정 클라우드 환경을 빌드합니다.
개발 팀을 뒷받침하여 혁신을 지원하려면 비즈니스 요구 사항에 맞게 신속하게 플랫폼이 적응해 나가야 합니다. (AWS CAF Business perspective를 참조하세요.) 제품 관리 요구 사항에 적응할 수 있을 만큼 유연하고, 보안 제약 조건을 준수할 만큼 견고하며, 운영 요구 사항을 충족할 수 있을 만큼 빠른 속도를 갖추려면 그렇게 해야 합니다. 이 프로세스를 수행하려면 향상된 보안 기능과 재사용 가능한 패키지형 클라우드 제품으로 규정을 준수하는 다중 계정 클라우드 환경을 빌드해야 합니다.
효과적인 클라우드 환경에서 팀은 새 계정을 쉽게 프로비저닝하는 동시에 해당 계정이 조직 정책을 준수하도록 보장할 수 있습니다. 엄선된 클라우드 제품 세트를 사용하면 모범 사례를 코드화하고, 거버넌스를 지원하며, 클라우드 배포의 속도와 일관성을 높일 수 있습니다. 모범 사례 블루프린트와 감지 및 예방 가드레일을 배포합니다. 클라우드 환경을 기존 환경과 통합하여 원하는 하이브리드 클라우드 사용 사례를 활성화합니다.
계정 프로비저닝 워크플로를 자동화하고 여러 계정을 사용하여 보안 및 거버넌스 목표를 지원합니다. 온프레미스 및 클라우드 환경과 서로 다른 클라우드 계정 간 연결을 설정합니다. 사용자가 기존 로그인 자격 증명을 사용하여 인증할 수 있도록 기존 ID 제공업체(idP)와 클라우드 환경 사이에서 페더레이션
기업 표준 및 구성 관리에 맞춰 클라우드 서비스를 사용하고 있는지 평가하고 인증합니다. 엔터프라이즈 표준을 셀프 서비스 배포 가능 제품 및 소모성 서비스로 패키징하고 지속적으로 개선합니다. 코드형 인프라(IaC)
다음 섹션에서 설명하는 태스크를 완료하려면 조직을 최신 플랫폼 엔지니어링으로 발전시키도록 역량과 팀을 구축해야 합니다. 기술 세부 정보는 Establishing your Cloud Foundation on AWS 백서를 참조하세요.
시작
랜딩 존 빌드 및 가드레일 배포
성숙한 플랫폼 엔지니어링으로의 여정을 시작할 때 먼저 플랫폼 아키텍처 기능에 정의된 대로 감지 및 예방 가드레일을 사용하여 랜딩 존을 배포해야 합니다. 가드레일을 사용하는 경우 애플리케이션 소유자가 클라우드 리소스를 사용하므로 조직 표준을 위반하지 않습니다. 이 메커니즘에서는 계정 프로비저닝 워크플로를 자동화하여 보안 및 거버넌스 목표를 지원하는 여러 계정을 사용합니다.
인증 설정
AWS CAF 보안 관점에 명시된 표준에 따라 모든 환경, 시스템, 워크로드 및 프로세스에 ID 관리 및 액세스 제어
네트워크 배포
플랫폼 아키텍처 설계에 따라 중앙 집중식 네트워크 계정을 생성하여 환경과의 인바운드 및 아웃바운드 트래픽을 제어합니다. 온프레미스 네트워크와 AWS 환경, 인터넷 간 및 AWS 환경 간에 빠르게 프로비저닝되도록 네트워크를 설계하는 것이 좋습니다. 네트워크 관리를 중앙 집중화하면 예방 및 대응 제어를 사용하여 환경 전체에서 네트워크 및 연결을 격리하도록 네트워크 제어를 배포할 수 있습니다.
이벤트 및 로그 데이터의 수집, 집계 및 보호
Amazon CloudWatch 교차 계정 관찰성을 사용합니다. 연결된 계정에서 지표, 로그 및 추적을 검색, 시각화 및 분석하고 계정 경계를 제거합니다.
중앙 집중식 로그 제어 및 보안에 대한 특정 규정 준수 요구 사항이 조직에 있는 경우 전용 로그 아카이브 계정을 설정하는 방법을 고려합니다. 특별히 로그 데이터에 대해 암호화된 중앙 집중식 리포지토리를 제공합니다. 암호화 키를 정기적으로 교체하여 이 아카이브의 보안을 강화합니다.
필요에 따라 마스킹 기법을 사용하여 민감한 로그 데이터를 보호하기 위한 강력한 정책을 구현합니다. 규정 준수, 보안 및 감사 로그에 대해 로그 집계를 사용하고, 로그 구성에 대한 무단 변경을 방지하기 위해 엄격한 가드레일 및 ID 구문을 사용해야 합니다.
제어 설정
AWS CAF 보안 관점의 정의에 따라 비즈니스 요구 사항을 충족하는 기본 보안 기능
클라우드 재무 관리 구현
AWS CAF 거버넌스 관점에 따라 비용 할당 태그와 조직의 태그 지정 전략을 클라우드 소비에 대한 재정적 책임과 일치시키는 AWS Cost Categories를 구현합니다. AWS Cost Categories를 사용하면에 게시된 AWS Cost Explorer
고급
인프라 자동화 빌드
계속하기 전에 플랫폼 아키텍처에 맞춰 클라우드 서비스를 사용하고 있는지 평가하고 인증합니다. 그런 다음 엔터프라이즈 표준을 배포 가능한 제품 및 소모성 서비스로 패키징하고 지속적으로 개선하며 코드형 인프라(IaC)를 사용하여 선언 방식으로 구성을 정의합니다. 인프라 자동화는 역할 기반 액세스 제어(RBAC) 또는 속성 기반 액세스 제어(ABAC)를 사용하여 각 계정의 특정 서비스에 대한 액세스를 허용함으로써 소프트웨어 개발 주기를 모방합니다. API를 사용하여 새 계정을 신속하게 프로비저닝하고 서비스 및 인시던트 관리 기능에 맞게 조정하거나 셀프 서비스 기능을 개발하는 방법을 배포합니다. 규정 준수 및 네트워크 보안을 보장하기 위해 계정이 생성될 때 네트워크 통합 및 IP 할당을 자동화합니다. AWS에서 작동하도록 구성된 기본 커넥터를 사용하여 새 계정을 IT 서비스 관리(ITSM) 솔루션에 통합합니다. 플레이북과 런북을 적절하게 업데이트합니다.
중앙 집중식 관찰성 서비스 제공
효과적인 클라우드 관찰성을 달성하려면 플랫폼이 로컬 및 중앙 집중식 로그 데이터의 실시간 검색과 분석을 모두 지원해야 합니다. 운영 규모가 조정됨에 따라 로그, 지표 및 추적을 인덱싱, 시각화, 해석하는 플랫폼의 기능은 원시 데이터를 실행 가능한 인사이트로 전환하는 데 매우 중요합니다.
로그, 지표 및 추적을 상호 연관시켜 실행 가능한 결론을 추출하고 목표에 맞는 정보에 입각한 대응을 개발할 수 있습니다. 로그, 지표 또는 추적에서 식별된 보안 이벤트나 패턴에 대한 선제적 대응을 허용하는 규칙을 설정합니다. AWS 솔루션이 확장되면 모니터링 전략이 나란히 확장되어 관찰성 기능을 유지하고 개선해야 합니다.
시스템 관리 및 AMI 거버넌스 구현
Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 사용하는 조직에서 대규모로 인스턴스를 관리하려면 운영 도구가 필요합니다. 소프트웨어 자산 관리, 엔드포인트 감지 및 대응, 인벤토리 관리, 취약성 관리, 액세스 관리는 많은 조직의 기본적인 기능입니다. 이러한 기능은 인스턴스에 설치된 소프트웨어 에이전트를 통해 제공되기도 합니다. 에이전트 및 기타 사용자 지정 구성을 Amazon Machine Image(AMI)로 패키징하고 이러한 AMI를 클라우드 플랫폼의 소비자가 사용할 수 있도록 제공합니다. 이러한 AMI의 사용을 규제하는 선제적 제어 및 감지 제어를 사용합니다. 특히 정기적으로 새 AMI를 소비하지 않는 변경 가능한 Amazon EC2 워크로드의 경우 AMI는 대규모로 장기 실행 EC2 인스턴스를 관리할 수 있는 도구가 포함되어야 합니다. 대규모로 AWS Systems Manager를 사용하여 에이전트 업그레이드를 자동화하고, 시스템 인벤토리를 수집하며, EC2 인스턴스에 원격으로 액세스하고, 운영 체제 취약성을 패치할 수 있습니다.
자격 증명 사용 관리
AWS CAF 보안 관점에 따라 역할 및 임시 자격 증명을 구현합니다. 도구를 사용하여 보안 암호를 저장하지 않고 사전 설치된 에이전트를 사용해 인스턴스 또는 온프레미스 시스템에 대한 원격 액세스를 관리합니다. 장기 자격 증명에 대한 의존을 줄이고 IaC 템플릿에서 하드 코딩된 자격 증명을 스캔합니다. 임시 자격 증명을 사용할 수 없는 경우 애플리케이션 토큰 및 데이터베이스 암호와 같은 프로그래밍 도구를 사용하여 자격 증명 교체 및 관리를 자동화합니다. IaC에서 최소 권한 원칙을 사용하여 사용자, 그룹 및 역할을 코드화하고 가드레일을 사용하여 자격 증명 계정의 수동 생성을 방지합니다.
보안 도구 설정
보안 모니터링 도구에서는 인프라, 애플리케이션 및 워크로드 전반의 세분화된 보안 모니터링을 지원하고 패턴 분석을 위한 집계된 보기를 제공해야 합니다. 다른 모든 보안 관리 도구와 마찬가지로 확장 탐지 및 대응(XDR) 도구를 확장하여 AWS CAF 보안 관점에 정의된 요구 사항에 AWS 따라에서 애플리케이션, 리소스 및 환경의 보안을 평가, 탐지, 대응 및 해결하는 기능을 제공해야 합니다.
Excel
자동화를 통해 ID 구문 소싱 및 분산
IaC 도구로 역할, 정책 및 템플릿과 같은 ID 구문을 코드화하고 버전을 관리합니다. 정책 검증 도구를 사용하여 보안 경고, 오류, 일반 경고, IAM 정책에 대한 제안된 변경 사항 및 기타 조사 결과를 확인합니다. 해당되는 경우 환경에 대한 임시 액세스를 자동화된 방식으로 제공하는 ID 구성을 배포 및 제거하고 콘솔을 사용하는 개인에 의한 배포는 금지합니다.
전체 환경에서 이상 패턴에 대한 감지 및 알림 추가
환경에 알려진 취약성이 있는지 선제적으로 평가하고 비정상적인 이벤트 및 활동 패턴에 대한 감지를 추가합니다. 조사 결과를 검토하고 플랫폼 아키텍처 팀에 추가적인 효율성과 혁신을 촉진하는 변경 사항을 추천합니다.
위협 분석 및 모델링
AWS CAF 보안 관점의 요구 사항에 따라 산업 및 보안 벤치마크에 대한 지속적인 모니터링과 측정을 구현합니다. 계측 접근 방식을 구현하는 경우 보안 관리 기능에 가장 적합한 이벤트 데이터 및 정보 유형을 결정합니다. 이 모니터링에는 서비스 사용량을 포함한 여러 공격 벡터가 포함됩니다. 보안 기반에는 여러 소스의 이벤트를 상호 연관시키는 기능을 포함하여 다중 계정 환경 전반에서 보안 로깅 및 분석을 위한 포괄적인 기능이 포함되어야 합니다. 특정 제어 및 가드레일을 사용하여 이 구성의 변경을 방지합니다.
지속적으로 권한 수집, 검토 및 구체화
ID 역할 및 권한에 대한 변경 사항을 기록하고 감지 가드레일이 예상되는 구성 상태와의 편차를 감지하면 알림을 구현합니다. 집계 및 패턴 식별 도구를 사용하여 중앙 집중식 이벤트 컬렉션을 검토하고 필요에 따라 권한을 세부 조정합니다.
플랫폼 지표 선택, 측정 및 지속적 개선
성공적인 플랫폼 작업을 지원하기 위해 포괄적인 지표를 설정하고 정기적으로 검토합니다. 조직의 목표 및 이해관계자 요구 사항에 부합하는지 확인합니다. 팀 지원 및 도구 채택 지표를 사용하여 플랫폼 성능 및 개선 지표를 모두 추적하고 패치, 백업, 규정 준수와 같은 운영 파라미터를 결합합니다.
효율적인 지표 관리를 위해 CloudWatch 교차 계정 관찰성을 사용합니다. 이 서비스는 데이터 집계 및 시각화를 간소화하여 정보에 입각한 의사 결정과 목표 개선을 지원합니다. 이러한 지표를 성공의 지표 및 변화의 동인으로 사용하여 지속적인 개선 환경을 조성합니다.
