예방 제어 - AWS 권장 가이드
목표프로세스사용 사례기술비즈니스 성과

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

예방 제어

예방 제어는 이벤트 발생을 방지하도록 설계된 보안 제어입니다. 이러한 가드레일은 네트워크에 대한 무단 액세스나 원치 않는 변경을 방지하는 데 도움이 되는 1차 방어선입니다. 예방 제어의 예로는 권한이 없는 사용자의 의도하지 않은 쓰기 작업을 방지하는 데 도움이 되므로 읽기 전용 액세스 권한이 있는 AWS Identity and Access Management (IAM) 역할이 있습니다.

이 유형의 제어에 대해 다음을 검토하세요.

목표

예방 제어의 주요 목적은 위협 이벤트 발생 가능성을 최소화하거나 방지하는 것입니다. 이 제어는 시스템에 대한 무단 액세스를 방지하고 의도하지 않은 변경이 시스템에 영향을 미치는 것을 방지하는 데 도움이 되어야 합니다. 예방 제어의 목적은 다음과 같습니다.

  • 직무 분리 - 예방 제어를 통해 권한을 제한하는 논리적 경계를 설정하여 지정된 계정 또는 환경에서 특정 작업만 수행하도록 할 수 있습니다. 그러한 예는 다음과 같습니다.

    • 특정 서비스에 대해 여러 계정으로 워크로드 분할

    • 격리된 프로덕션, 개발 및 테스트 환경으로 계정 분리

    • 특정 기능을 수행할 수 있도록 액세스 권한 및 책임을 여러 엔터티에 위임(예: IAM 역할 또는 수임된 역할을 사용하여 특정 직무만 특정 작업을 수행하도록 허용)

  • 액세스 제어 - 예방 제어는 환경 내 리소스 및 데이터에 대한 액세스를 지속적으로 허용하거나 거부할 수 있습니다. 그러한 예는 다음과 같습니다.

    • 사용자가 의도한 권한을 초과(권한 에스컬레이션)하지 않도록 방지

    • 애플리케이션 및 데이터에 대한 액세스를 권한 있는 사용자 및 서비스로 제한

    • 관리자 그룹을 소규모로 유지

    • 루트 사용자 보안 인증 사용 방지

  • 적용 - 예방적 제어는 회사의 정책, 지침 및 표준을 준수하는 데 도움이 됩니다. 그러한 예는 다음과 같습니다.

    • 최소 보안 기준선 역할을 하는 구성 잠금

    • 다단계 인증과 같은 추가 보안 조치 구현

    • 승인되지 않은 역할이 수행하는 비표준 작업 및 조치 방지

프로세스

예방 제어 매핑은 제어를 요구 사항에 매핑하고 정책을 사용하여 제한, 비활성화 또는 차단을 통해 이러한 제어를 구현하는 프로세스입니다. 제어를 매핑할 때 환경, 리소스 및 사용자에 미치는 선제적 효과를 고려하세요. 다음은 제어 매핑 모범 사례입니다.

  • 활동을 허용하지 않는 엄격한 제어는 해당 작업에 검토, 승인 및 변경 프로세스가 필요한 프로덕션 환경에 매핑해야 합니다.

  • 개발 또는 포함된 환경에는 빌드 및 테스트에 대한 민첩성을 제공하기 위한 예방 제어 기능이 더 적을 수 있습니다.

  • 데이터 분류, 자산의 위험 수준, 위험 관리 정책에 따라 예방 제어가 결정됩니다.

  • 표준 및 규정 준수의 증거로 기존 프레임워크에 매핑합니다.

  • 지리적 위치, 환경, 계정, 네트워크, 사용자, 역할 또는 리소스별로 예방 제어를 구현합니다.

사용 사례

태그 처리

계정의 모든 데이터에 액세스할 수 있는 역할이 생성됩니다. 민감하고 암호화된 데이터가 있는 경우 역할을 수임할 수 있는 사용자 또는 그룹에 따라 지나치게 허용된 권한은 위험을 초래할 수 있습니다. AWS Key Management Service (AWS KMS)에서 키 정책을 사용하여 키에 액세스할 수 있는 사용자를 제어하고 데이터를 복호화할 수 있습니다.

권한 에스컬레이션

관리 및 쓰기 권한이 너무 광범위하게 할당되면 사용자는 의도한 권한의 제한을 우회하여 자신에게 추가 권한을 부여할 수 있습니다. 역할을 생성하고 관리하는 사용자는 역할에 허용되는 최대 권한을 정의하는 권한 경계를 할당할 수 있습니다.

워크로드 잠금

비즈니스에서 특정 서비스를 사용해야 할 것으로 예측할 수 없는 경우 조직의 멤버 계정에서 운영할 수 있는 서비스를 제한하거나에 따라 서비스를 제한하는 서비스 제어 정책을 활성화합니다 AWS 리전. 이러한 예방 제어를 통해 위협 행위자가 조직의 계정을 손상시키고 액세스하는 경우 영향 범위가 줄어들 수 있습니다. 자세한 내용은 이 안내서의 서비스 제어 정책 섹션을 참조하세요.

다른 애플리케이션에 미치는 영향

예방 제어는 애플리케이션의 보안 요구 사항을 충족하기 위해 IAM, 암호화, 로깅과 같은 서비스 및 기능의 사용을 시행할 수 있습니다. 또한 이러한 제어를 사용하여 의도하지 않은 오류나 잘못된 구성으로 인해 위협 행위자가 악용할 수 있는 작업을 제한하여 취약성으로부터 보호할 수 있습니다.

기술

서비스 제어 정책

에서 AWS Organizations서비스 제어 정책(SCPs 조직의 멤버 계정에 사용할 수 있는 최대 권한을 정의합니다. 이러한 정책은 계정이 조직의 액세스 제어 지침을 준수하는 데 도움이 됩니다. 조직의 SCP를 설계할 때는 다음 사항을 참고하세요.

  • SCPs는 조직의 멤버 계정에서 IAM 역할 및 사용자에 대해 허용되는 최대 권한을 정의하고 적용하기 때문에 예방 제어입니다.

  • SCPs 조직의 멤버 계정에 있는 IAM 역할 및 사용자에게만 영향을 미칩니다. 조직 관리 계정의 사용자와 역할에는 영향을 주지 않습니다.

각 AWS 리전의 최대 권한을 정의하여 SCP를 더욱 세부적으로 만들 수 있습니다.

IAM 권한 경계

AWS Identity and Access Management (IAM)에서는 권한 경계를 사용하여 자격 증명 기반 정책이 IAM 엔터티(사용자 또는 역할)에 부여할 수 있는 최대 권한을 설정합니다. 엔터티의 권한 경계는 보안 인증 기반 정책 및 관련 권한 경계 모두에서 허용되는 작업만 수행하도록 허용합니다. 권한 경계를 사용할 때 다음 사항에 유의하세요.

  • AWS 관리형 정책 또는 고객 관리형 정책을 사용하여 IAM 엔터티의 경계를 설정할 수 있습니다.

  • 권한 경계는 자신에게는 권한을 부여하지 않습니다. 권한 경계 정책은 IAM 객체에 부여되는 권한을 제한합니다.

비즈니스 성과

시간 절약

  • 예방적 제어를 설정한 후 자동화를 추가하면 수동 개입의 필요성을 줄이고 오류 빈도를 줄일 수 있습니다.

  • 권한 경계를 예방적 제어로 사용하면 보안 및 IAM 팀이 거버넌스 및 지원과 같은 중요한 작업에 집중할 수 있습니다.

규제 준수

  • 회사에서 내부 또는 업계 규정을 준수해야 할 수 있습니다. 이는 리전 제한, 사용자 및 역할 제한 또는 서비스 제한일 수 있습니다. SCP는 규정을 준수하고 위반 처벌을 피하는 데 도움이 될 수 있습니다.

위험 감소

  • 성장함에 따라 새로운 역할과 정책을 생성하고 관리하라는 요청 수가 늘어납니다. 각 애플리케이션에 대한 권한을 수동으로 생성하는 데 무엇이 필요한지 컨텍스트를 이해하는 것이 더욱 어려워집니다. 예방 제어를 설정하는 것은 기준선 역할을 하며, 실수로 액세스 권한을 부여받은 경우에도 사용자가 의도하지 않은 작업을 수행하는 것을 방지하는 데 도움이 됩니다.

  • 액세스 정책에 예방 제어를 적용하면 데이터와 자산을 보호하는 데 도움이 되는 추가 계층이 제공됩니다.