기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
플랫폼 엔지니어링
패키징된 재사용 가능한 클라우드 제품을 사용하여 안전하고 규정을 준수하는 다중 계정 클라우드 환경을 구축합니다.
개발 팀을 지원하여 혁신을 지원하려면 플랫폼이 비즈니스 요구 사항에 맞게 신속하게 조정해야 합니다. (AWS CAF 비즈니스 관점을 참조하세요.) 제품 관리 요구 사항에 적응할 수 있을 만큼 유연하고, 보안 제약 조건을 준수할 만큼 견고하며, 운영 요구 사항을 충족할 수 있을 만큼 빠르면서 그렇게 해야 합니다. 이 프로세스를 수행하려면 향상된 보안 기능과 패키징된 재사용 가능한 클라우드 제품을 갖춘 규정을 준수하는 다중 계정 클라우드 환경을 구축해야 합니다.
효과적인 클라우드 환경을 통해 팀은 새 계정을 쉽게 프로비저닝하는 동시에 해당 계정이 조직 정책을 준수하도록 할 수 있습니다. 큐레이션된 클라우드 제품 세트를 사용하면 모범 사례를 코드화하고, 거버넌스를 지원하고, 클라우드 배포의 속도와 일관성을 높일 수 있습니다. 모범 사례 블루프린트와 탐지 및 예방 가드레일을 배포합니다. 클라우드 환경을 기존 환경과 통합하여 원하는 하이브리드 클라우드 사용 사례를 활성화합니다.
계정 프로비저닝 워크플로를 자동화하고 여러 계정을 사용하여 보안 및 거버넌스 목표를 지원합니다. 온프레미스 및 클라우드 환경과 서로 다른 클라우드 계정 간의 연결을 설정합니다. 사용자가 기존 로그인 자격 증명을 사용하여 인증할 수 있도록 기존 ID 제공업체(IdP)와 클라우드 환경 간에 페더레이션
기업 표준 및 구성 관리에 따라 클라우드 서비스의 사용 여부를 평가하고 인증합니다. 엔터프라이즈 표준을 셀프 서비스 배포 가능 제품 및 소모성 서비스로 패키징하고 지속적으로 개선합니다. 코드형 인프라(IaC)
다음 섹션에서 설명하는 작업을 완료하려면 역량과 팀을 구축하여 조직을 최신 플랫폼 엔지니어링으로 발전시켜야 합니다. 기술 세부 정보는 클라우드 기반 구축 백서를 참조하세요 AWS.
시작
랜딩 존 구축 및 가드레일 배포
성숙한 플랫폼 엔지니어링으로의 여정을 시작할 때 먼저 플랫폼 아키텍처 기능에 정의된 대로 탐지 및 예방 가드레일을 사용하여 랜딩 존을 배포해야 합니다. 가드레일은 애플리케이션 소유자가 클라우드 리소스를 사용하므로 조직 표준을 위반하지 않도록 합니다. 이 메커니즘을 사용하면 계정 프로비저닝 워크플로를 자동화하여 보안 및 거버넌스 목표를 지원하는 여러 계정을 사용할 수 있습니다.
인증 설정
AWS CAF 보안 관점에 명시된 표준에 따라 모든 환경, 시스템, 워크로드 및 프로세스에 ID 관리 및 액세스 제어를
네트워크 배포
플랫폼 아키텍처 설계에 따라 중앙 집중식 네트워크 계정을 생성하여 환경으로 들어오고 나가는 인바운드 및 아웃바운드 트래픽을 제어합니다. 온프레미스 네트워크와 AWS 환경, 인터넷 간 및 AWS 환경 간에 빠르게 프로비저닝되도록 네트워크를 설계하는 것이 좋습니다. 네트워크 관리를 중앙 집중화하면 예방 및 대응 제어를 사용하여 환경 전체에서 네트워크 및 연결을 격리하는 네트워크 제어를 배포할 수 있습니다.
이벤트 및 로그 데이터 수집, 집계 및 보호
Amazon CloudWatch 교차 계정 관찰성을 사용합니다. 연결된 계정에서 지표, 로그 및 추적을 검색, 시각화 및 분석하고 계정 경계를 제거하는 통합 인터페이스를 제공합니다.
조직에 중앙 집중식 로그 제어 및 보안에 대한 특정 규정 준수 요구 사항이 있는 경우 전용 로그 아카이브 계정을 설정하는 것이 좋습니다. 이는 특히 로그 데이터를 위한 암호화된 중앙 집중식 리포지토리를 제공합니다. 암호화 키를 정기적으로 교체하여이 아카이브의 보안을 강화합니다.
필요에 따라 마스킹 기법을 사용하여 민감한 로그 데이터를 보호하기 위한 강력한 정책을 구현합니다. 규정 준수, 보안 및 감사 로그에 로그 집계를 사용하고 로그 구성에 대한 무단 변경을 방지하기 위해 엄격한 가드레일 및 자격 증명 구성을 사용해야 합니다.
제어 설정
AWS CAF 보안 관점의 정의에 따라 비즈니스 요구 사항에 맞는 기본 보안 기능을
클라우드 재무 관리 구현
AWS CAF 거버넌스 관점에 따라 비용 할당 태그와 조직의 태그 지정 전략을 클라우드 소비에 대한 재정적 책임과 일치시키는 AWS Cost Categories를 구현합니다. AWS Cost Categories를 사용하면에 게시된 AWS Cost Explorer
고급
인프라 자동화 구축
계속하기 전에 플랫폼 아키텍처에 따라 클라우드 서비스의 사용 여부를 평가하고 인증합니다. 그런 다음 배포 가능한 제품 및 소모성 서비스로 엔터프라이즈 표준을 패키징하고 지속적으로 개선하고 코드형 인프라(IaC)를 사용하여 선언적인 방식으로 구성을 정의합니다. 인프라 자동화는 역할 기반 액세스 제어(RBAC) 또는 속성 기반 액세스 제어(ABAC)를 사용하여 각 계정의 특정 서비스에 대한 액세스를 허용하여 소프트웨어 개발 주기를 모방합니다. APIs를 사용하여 새 계정을 신속하게 프로비저닝하고 서비스 및 인시던트 관리 기능에 맞게 조정하거나 셀프 서비스 기능을 개발하는 방법을 배포합니다. 계정이 생성될 때 네트워크 통합 및 IP 할당을 자동화하여 규정 준수 및 네트워크 보안을 보장합니다. 에서 작동하도록 구성된 기본 커넥터를 사용하여 새 계정을 IT 서비스 관리(ITSM) 솔루션과 통합합니다 AWS. 플레이북과 런북을 적절하게 업데이트합니다.
중앙 집중식 관찰성 서비스 제공
효과적인 클라우드 관찰성을 달성하려면 플랫폼이 로컬 및 중앙 집중식 로그 데이터의 실시간 검색 및 분석을 지원해야 합니다. 운영 규모가 조정됨에 따라 로그, 지표 및 추적을 인덱싱, 시각화 및 해석하는 플랫폼의 기능은 원시 데이터를 실행 가능한 인사이트로 전환하는 데 중요합니다.
로그, 지표 및 추적을 상호 연관시켜 실행 가능한 결론을 추출하고 대상에 맞는 정보에 입각한 대응을 개발할 수 있습니다. 로그, 지표 또는 추적에서 식별된 보안 이벤트 또는 패턴에 대한 사전 대응을 허용하는 규칙을 설정합니다. AWS 솔루션이 확장되면 모니터링 전략이 나란히 확장되어 관찰성 기능을 유지하고 개선해야 합니다.
시스템 관리 및 AMI 거버넌스 구현
Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 사용하는 조직은 대규모로 인스턴스를 관리하려면 운영 도구가 필요합니다. 소프트웨어 자산 관리, 엔드포인트 탐지 및 대응, 인벤토리 관리, 취약성 관리 및 액세스 관리는 많은 조직의 기본 기능입니다. 이러한 기능은 인스턴스에 설치된 소프트웨어 에이전트를 통해 제공되는 경우가 많습니다. 에이전트 및 기타 사용자 지정 구성을 Amazon Machine Image(AMIs)로 패키징하고 이러한 AMIs를 클라우드 플랫폼 소비자가 사용할 수 있도록 하는 기능을 개발합니다. 이러한 AMIs의 사용을 제어하는 예방 및 탐지 제어를 사용합니다. AMIs에는 특히 정기적으로 새 AMI를 사용하지 않는 변경 가능한 Amazon EC2 워크로드의 경우 대규모로 장기 실행 EC2 인스턴스를 관리할 수 있는 도구가 포함되어야 합니다. Amazon EC2 AMIs AWS Systems Manager 대규모로를 사용하여 에이전트 업그레이드를 자동화하고, 시스템 인벤토리를 수집하고, EC2 인스턴스에 원격으로 액세스하고, 운영 체제 취약성을 패치할 수 있습니다.
자격 증명 사용 관리
AWS CAF 보안 관점에 따라 역할 및 임시 자격 증명을 구현합니다. 도구를 사용하여 보안 암호를 저장하지 않고 사전 설치된 에이전트를 사용하여 인스턴스 또는 온프레미스 시스템에 대한 원격 액세스를 관리합니다. 장기 자격 증명에 대한 의존도를 줄이고 IaC 템플릿에서 하드 코딩된 자격 증명을 스캔합니다. 임시 자격 증명을 사용할 수 없는 경우 애플리케이션 토큰 및 데이터베이스 암호와 같은 프로그래밍 도구를 사용하여 자격 증명 교체 및 관리를 자동화합니다. IaC에 대한 최소 권한 원칙을 사용하여 사용자, 그룹 및 역할을 코드화하고 가드레일을 사용하여 자격 증명 계정의 수동 생성을 방지합니다.
보안 도구 설정
보안 모니터링 도구는 인프라, 애플리케이션 및 워크로드 전반의 세분화된 보안 모니터링을 지원하고 패턴 분석을 위한 집계된 보기를 제공해야 합니다. 다른 모든 보안 관리 도구와 마찬가지로 확장 탐지 및 대응(XDR) 도구를 확장하여 AWS CAF 보안 관점에 정의된 요구 사항에 AWS 따라에서 애플리케이션, 리소스 및 환경의 보안을 평가, 탐지, 대응 및 해결하는 기능을 제공해야 합니다.
Excel
자동화를 사용하여 자격 증명 구문 소싱 및 배포
IaC 도구를 사용하여 역할, 정책 및 템플릿과 같은 자격 증명 구문을 코드화하고 버전을 지정합니다. 정책 검증 도구를 사용하여 보안 경고, 오류, 일반 경고, IAM 정책에 대한 권장 변경 사항 및 기타 조사 결과를 확인합니다. 적절한 경우 환경에 대한 임시 액세스를 자동화된 방식으로 제공하는 자격 증명 구성을 배포 및 제거하고 콘솔을 사용하는 개인의 배포를 금지합니다.
환경 전반의 이상 패턴에 대한 탐지 및 알림 추가
환경에 알려진 취약성이 있는지 사전에 평가하고 비정상적인 이벤트 및 활동 패턴에 대한 탐지를 추가합니다. 결과를 검토하고 플랫폼 아키텍처 팀에 추가 효율성과 혁신을 주도하는 변경 사항을 추천합니다.
위협 분석 및 모델링
AWS CAF 보안 관점에서 요구 사항에 따라 산업 및 보안 벤치마크에 대한 지속적인 모니터링 및 측정을 구현합니다. 계측 접근 방식을 구현할 때 보안 관리 기능에 가장 적합한 이벤트 데이터 및 정보 유형을 결정합니다. 이 모니터링에는 서비스 사용량을 포함한 여러 공격 벡터가 포함됩니다. 보안 기반에는 여러 소스의 이벤트를 상호 연관시키는 기능을 포함하여 다중 계정 환경 전반의 보안 로깅 및 분석을 위한 포괄적인 기능이 포함되어야 합니다. 특정 컨트롤 및 가드레일을 사용하여이 구성에 대한 변경을 방지합니다.
권한을 지속적으로 수집, 검토 및 구체화
자격 증명 역할 및 권한에 대한 변경 사항을 기록하고 탐지 가드레일이 예상 구성 상태와의 편차를 감지하면 알림을 구현합니다. 집계 및 패턴 식별 도구를 사용하여 중앙 집중식 이벤트 컬렉션을 검토하고 필요에 따라 권한을 구체화합니다.
플랫폼 지표 선택, 측정 및 지속적 개선
성공적인 플랫폼 작업을 활성화하려면 포괄적인 지표를 설정하고 정기적으로 검토합니다. 조직의 목표 및 이해관계자 요구 사항에 부합하는지 확인합니다. 팀 지원 및 도구 채택 지표를 사용하여 플랫폼 성능 및 개선 지표를 모두 추적하고 패치, 백업 및 규정 준수와 같은 운영 파라미터를 결합합니다.
효율적인 지표 관리를 위해 CloudWatch 교차 계정 관찰성을 사용합니다. 이 서비스는 데이터 집계 및 시각화를 간소화하여 정보에 입각한 결정과 목표 개선 사항을 지원합니다. 이러한 지표를 성공의 지표이자 변화의 동인으로 사용하여 지속적인 개선 환경을 조성합니다.
