기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 예방 제어
**예방 제어는 이벤트 발생을 방지하도록 설계된 보안 제어입니다. 이러한 가드레일은 네트워크에 대한 무단 액세스나 원치 않는 변경을 방지하는 데 도움이 되는 1차 방어선입니다. 예방 제어의 예로는 권한이 없는 사용자의 의도하지 않은 쓰기 작업을 방지하는 데 도움이 되므로 읽기 전용 액세스 권한이 있는 AWS Identity and Access Management (IAM) 역할이 있습니다.
**Topics**
+ [목표](#preventative-objectives)
+ [프로세스](#preventative-process)
+ [사용 사례](#preventative-use-cases)
+ [기술](#preventative-technology)
+ [비즈니스 성과](#preventative-business-outcomes)
## 목표
예방 제어의 주요 목적은 위협 이벤트 발생 가능성을 최소화하거나 방지하는 것입니다. 이 제어는 시스템에 대한 무단 액세스를 방지하고 의도하지 않은 변경이 시스템에 영향을 미치는 것을 방지하는 데 도움이 되어야 합니다. 예방 제어의 목적은 다음과 같습니다.
+ **직무 분리** - 예방 제어를 통해 권한을 제한하는 논리적 경계를 설정하여 지정된 계정 또는 환경에서 특정 작업만 수행하도록 할 수 있습니다. 그러한 예는 다음과 같습니다.
+ 특정 서비스에 대해 여러 계정으로 워크로드 분할
+ 격리된 프로덕션, 개발 및 테스트 환경으로 계정 분리
+ 특정 기능을 수행할 수 있도록 액세스 권한 및 책임을 여러 엔터티에 위임(예: IAM 역할 또는 수임된 역할을 사용하여 특정 직무만 특정 작업을 수행하도록 허용)
+ **액세스 제어** - 예방 제어는 환경 내 리소스 및 데이터에 대한 액세스를 지속적으로 허용하거나 거부할 수 있습니다. 그러한 예는 다음과 같습니다.
+ 사용자가 의도한 권한을 초과(*권한 에스컬레이션*)하지 않도록 방지
+ 애플리케이션 및 데이터에 대한 액세스를 권한 있는 사용자 및 서비스로 제한
+ 관리자 그룹을 소규모로 유지
+ 루트 사용자 보안 인증 사용 방지
+ **적용** - 예방적 제어는 회사의 정책, 지침 및 표준을 준수하는 데 도움이 됩니다. 그러한 예는 다음과 같습니다.
+ 최소 보안 기준선 역할을 하는 구성 잠금
+ 다단계 인증과 같은 추가 보안 조치 구현
+ 승인되지 않은 역할이 수행하는 비표준 작업 및 조치 방지
## 프로세스
*예방 제어 매핑*은 제어를 요구 사항에 매핑하고 정책을 사용하여 제한, 비활성화 또는 차단을 통해 이러한 제어를 구현하는 프로세스입니다. 제어를 매핑할 때 환경, 리소스 및 사용자에 미치는 선제적 효과를 고려하세요. 다음은 제어 매핑 모범 사례입니다.
+ 활동을 허용하지 않는 엄격한 제어는 해당 작업에 검토, 승인 및 변경 프로세스가 필요한 프로덕션 환경에 매핑해야 합니다.
+ 개발 또는 포함된 환경에는 빌드 및 테스트에 대한 민첩성을 제공하기 위한 예방 제어 기능이 더 적을 수 있습니다.
+ 데이터 분류, 자산의 위험 수준, 위험 관리 정책에 따라 예방 제어가 결정됩니다.
+ 표준 및 규정 준수의 증거로 기존 프레임워크에 매핑합니다.
+ 지리적 위치, 환경, 계정, 네트워크, 사용자, 역할 또는 리소스별로 예방 제어를 구현합니다.
## 사용 사례
### 태그 처리
계정의 모든 데이터에 액세스할 수 있는 역할이 생성됩니다. 민감하고 암호화된 데이터가 있는 경우 역할을 수임할 수 있는 사용자 또는 그룹에 따라 지나치게 허용된 권한은 위험을 초래할 수 있습니다. AWS Key Management Service (AWS KMS)에서 키 정책을 사용하여 키에 액세스할 수 있는 사용자를 제어하고 데이터를 복호화할 수 있습니다.
### 권한 에스컬레이션
관리 및 쓰기 권한이 너무 광범위하게 할당되면 사용자는 의도한 권한의 제한을 우회하여 자신에게 추가 권한을 부여할 수 있습니다. 역할을 생성하고 관리하는 사용자는 역할에 허용되는 최대 권한을 정의하는 권한 경계를 할당할 수 있습니다.
### 워크로드 잠금
비즈니스에서 특정 서비스를 사용해야 할 것으로 예측할 수 없는 경우 조직의 멤버 계정에서 운영할 수 있는 서비스를 제한하거나를 기반으로 서비스를 제한하는 서비스 *제어 정책을* 활성화합니다 AWS 리전. 이러한 예방 제어를 통해 위협 행위자가 조직의 계정을 손상시키고 액세스하는 경우 영향 범위가 줄어들 수 있습니다. 자세한 내용은 이 안내서의 [서비스 제어 정책](#scps) 섹션을 참조하세요.
### 다른 애플리케이션에 미치는 영향
예방 제어는 애플리케이션의 보안 요구 사항을 충족하기 위해 IAM, 암호화, 로깅과 같은 서비스 및 기능의 사용을 시행할 수 있습니다. 또한 이러한 제어를 사용하여 의도하지 않은 오류나 잘못된 구성으로 인해 위협 행위자가 악용할 수 있는 작업을 제한하여 취약성으로부터 보호할 수 있습니다.
## 기술
### 서비스 제어 정책
에서 AWS Organizations[서비스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)(SCPs 조직의 멤버 계정에 사용할 수 있는 최대 권한을 정의합니다. 이러한 정책은 계정이 조직의 액세스 제어 지침을 준수하는 데 도움이 됩니다. 조직의 SCP를 설계할 때는 다음 사항을 참고하세요.
+ SCPs는 조직의 멤버 계정에서 IAM 역할 및 사용자에게 허용되는 최대 권한을 정의하고 적용하기 때문에 예방 제어입니다.
+ SCPs 조직의 멤버 계정에 있는 IAM 역할 및 사용자에게만 영향을 미칩니다. 조직 관리 계정의 사용자와 역할에는 영향을 주지 않습니다.
각 AWS 리전의 최대 권한을 정의하여 SCP를 더욱 세부적으로 만들 수 있습니다.
### IAM 권한 경계
AWS Identity and Access Management (IAM)에서는 [권한 경계](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 사용하여 자격 증명 기반 정책이 IAM 엔터티(사용자 또는 역할)에 부여할 수 있는 최대 권한을 설정합니다. 엔터티의 권한 경계는 보안 인증 기반 정책 및 관련 권한 경계 모두에서 허용되는 작업만 수행하도록 허용합니다. 권한 경계를 사용할 때 다음 사항에 유의하세요.
+ AWS 관리형 정책 또는 고객 관리형 정책을 사용하여 IAM 엔터티의 경계를 설정할 수 있습니다.
+ 권한 경계는 자신에게는 권한을 부여하지 않습니다. 권한 경계 정책은 IAM 객체에 부여되는 권한을 제한합니다.
## 비즈니스 성과
### 시간 절약
+ 예방적 제어를 설정한 후 자동화를 추가하면 수동 개입의 필요성을 줄이고 오류 빈도를 줄일 수 있습니다.
+ 권한 경계를 예방적 제어로 사용하면 보안 및 IAM 팀이 거버넌스 및 지원과 같은 중요한 작업에 집중할 수 있습니다.
### 규제 준수
+ 회사에서 내부 또는 업계 규정을 준수해야 할 수 있습니다. 이는 리전 제한, 사용자 및 역할 제한 또는 서비스 제한일 수 있습니다. SCP는 규정을 준수하고 위반 처벌을 피하는 데 도움이 될 수 있습니다.
### 위험 감소
+ 성장함에 따라 새로운 역할과 정책을 생성하고 관리하라는 요청 수가 늘어납니다. 각 애플리케이션에 대한 권한을 수동으로 생성하는 데 무엇이 필요한지 컨텍스트를 이해하는 것이 더욱 어려워집니다. 예방 제어를 설정하는 것은 기준선 역할을 하며, 실수로 액세스 권한을 부여받은 경우에도 사용자가 의도하지 않은 작업을 수행하는 것을 방지하는 데 도움이 됩니다.
+ 액세스 정책에 예방 제어를 적용하면 데이터와 자산을 보호하는 데 도움이 되는 추가 계층이 제공됩니다.