기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
관리 권한 제한
| Essential Eight 제어 | 구현 지침 | AWS 리소스 | AWS Well-Architected 지침 |
|---|---|---|---|
| 시스템 및 애플리케이션에 대한 권한 있는 액세스 요청은 처음 요청될 때 검증됩니다. | 테마 4: ID 관리: ID 페더레이션 구현 | 임시 자격 증명을 사용하여 AWS 에 액세스하기 위해 인간 사용자가 ID 공급자와의 페더레이션을 사용하도록 요구 | |
| 시스템 및 애플리케이션에 대한 권한 있는 액세스는 다시 검증되지 않는 한 12개월 후에 자동으로 비활성화됩니다. | 테마 4: ID 관리: ID 페더레이션 구현 | 임시 자격 증명을 사용하여 AWS 에 액세스하기 위해 인간 사용자가 ID 공급자와의 페더레이션을 사용하도록 요구 | SEC02-BP04 중앙 집중식 ID 공급업체 사용 |
| 테마 4: ID 관리: 자격 증명 교체 | 워크로드가 IAM 역할을 사용하여에 액세스하도록 요구 AWS 장기 자격 증명이 필요한 사용 사례에 대해 정기적으로 액세스 키 교체 서AWS 밋 ANZ 2023: 클라우드에서 임시 자격 증명으로의 여정 |
SEC02-BP05 정기적으로 자격 증명 감사 및 교체 | |
| 시스템 및 애플리케이션에 대한 권한 있는 액세스는 활동이 없으면 45일 후에 자동으로 비활성화됩니다. | 테마 4: ID 관리: ID 페더레이션 구현 테마 4: ID 관리: 자격 증명 교체 |
인간 사용자가 자격 증명 공급자와 연동하여 임시 자격 증명을 사용하여 AWS 에 액세스하도록 요구 워크로드가 IAM 역할을 사용하여에 액세스하도록 요구 AWS 장기 자격 증명이 필요한 사용 사례에 대해 정기적으로 액세스 키 교체 서AWS 밋 ANZ 2023: 클라우드의 임시 자격 증명으로의 여정 |
|
| 시스템 및 애플리케이션에 대한 권한 있는 액세스는 사용자 및 서비스가 역할을 수행하는 데 필요한 부분으로만 제한됩니다. | 테마 4: ID 관리: 최소 권한 적용 | 루트 사용자 자격 증명을 보호하고 일상적인 작업에 사용하지 마세요. IAM Access Analyzer를 사용하여 액세스 활동을 기반으로 최소 권한 정책 생성 IAM Access Analyzer를 사용하여 리소스에 대한 퍼블릭 및 크로스 계정 액세스 확인 안전하고 기능적인 권한을 보장하기 위해 IAM Access Analyzer를 사용하여 IAM 정책 검증 권한 경계를 사용하여 ID 기반 정책에서 부여할 수 있는 최대 권한 설정 |
|
| 권한 있는 계정이 인터넷, 이메일 및 웹 서비스에 액세스할 수 없습니다. | Technical example: Restrict administrative privileges |
이미 인터넷 액세스가 없는 VPC가 액세스 권한을 얻지 못하도록 방지하는 SCP 구현 고려 | 해당 사항 없음 |
| 권한 있는 사용자는 별도의 권한이 있는 운영 환경과 권한이 없는 운영 환경을 사용합니다. | 테마 5: 데이터 경계 설정 | 데이터 경계를 설정합니다. OFFICIAL:SENSITIVE 또는 PROTECTED와 같은 여러 데이터 분류나 개발, 테스트 또는 프로덕션과 같은 여러 위험 수준의 환경 사이에서 데이터 경계 구현을 고려합니다. |
SEC06-BP03 수동 관리 및 대화형 액세스 감소 |
| 권한 있는 운영 환경은 권한 없는 운영 환경 내에서 가상화되지 않습니다. | |||
| 권한 없는 계정은 권한 있는 운영 환경에 로그온할 수 없습니다. | |||
| 권한 있는 계정(로컬 관리자 계정 제외)은 권한 없는 운영 환경에 로그온할 수 없습니다. | |||
| 적시 관리는 시스템 및 애플리케이션을 관리하는 데 사용됩니다. | 테마 4: ID 관리: ID 페더레이션 구현 | 인간 사용자가 자격 증명 공급자와 연동하여 임시 자격 증명을 사용하여 AWS 에 액세스하도록 요구 환경에 대한 AWS 임시 승격 액세스 구현 |
SEC02-BP04 중앙 집중식 ID 공급업체 사용 |
| 관리 활동은 점프 서버를 통해 수행됩니다. | 테마 3: 자동화를 통해 변경 가능한 인프라 관리: 수동 프로세스 대신 자동화 사용 |
직접 SSH 또는 RDP 액세스 대신 세션 관리자 또는 Run Command 사용 |
|
| 로컬 관리자 계정 및 서비스 계정에 대한 자격 증명은 고유하고 예측할 수 없으며 관리됩니다. | Technical example: Restrict administrative privileges |
해당 사항 없음 | 해당 사항 없음 |
| Windows Defender Credential Guard 및 Windows Defender Remote Credential Guard가 활성화됩니다. | |||
| 권한 있는 액세스 사용은 중앙에서 로깅되고 무단 수정 및 삭제로부터 보호되며 손상 징후를 모니터링하고 사이버 보안 이벤트가 감지될 때 조치를 수행합니다. | 테마 7: 로깅 및 모니터링 중앙 집중화: 로깅 활성화 테마 7: 로깅 및 모니터링 중앙 집중화: 로그 중앙 집중화 |
CloudWatch 에이전트를 사용하여 OS 수준 로그를 CloudWatch Logs에 게시 감사 및 분석을 위한 계정의 CloudWatch Logs 중앙 집중화 AWS Config에서 조직 전체의 애그리게이터 생성(AWS 블로그 게시물) |
|
| 권한 있는 계정 및 그룹에 대한 변경 사항은 중앙에서 로깅되고 무단 수정 및 삭제로부터 보호되며 손상 징후를 모니터링하고 사이버 보안 이벤트가 감지될 때 조치를 수행합니다. |