테마 3: 자동화를 통해 변경 가능한 인프라 관리

Essential Eight 전략 설명

애플리케이션 제어, 애플리케이션 패치, 운영 체제 패치

변경 불가능한 인프라와 마찬가지로 변경 가능한 인프라를 IaC로 관리하고 자동화된 프로세스를 통해 이 인프라를 수정하거나 업데이트합니다. 변경 불가능한 인프라에 대한 많은 구현 단계가 변경 가능한 인프라에도 적용됩니다. 그러나 변경 가능한 인프라의 경우 수정된 워크로드가 여전히 모범 사례를 따르도록 수동 제어도 구현해야 합니다.

변경 가능한 인프라의 경우의 기능인 Patch Manager를 사용하여 패치 관리를 자동화할 수 있습니다 AWS Systems Manager. AWS 조직의 모든 계정에서 Patch Manager 활성화.

직접 SSH 및 RDP 액세스를 방지하고 사용자에게 Systems Manager의 기능이기도 한 Session Manager 또는 Run Command를 사용하도록 요구합니다. SSH 및 RDP와 달리 이러한 기능은 시스템 액세스 및 변경 사항을 로깅할 수 있습니다.

규정 준수를 모니터링하고 보고하려면 패치 규정 준수에 대한 지속적인 검토를 수행해야 합니다. AWS Config 규칙을 사용하여 모든 Amazon EC2 인스턴스가 Systems Manager에서 관리되고, 필요한 권한과 설치된 애플리케이션이 있으며, 패치를 준수하는지 확인할 수 있습니다.

AWS Well-Architected 프레임워크의 관련 모범 사례

이 테마 구현

패치 적용 자동화

AWS 조직의 모든 계정에서 Patch Manager 활성화의 단계 구현
모든 EC2 인스턴스의 경우 Systems Manager가 인스턴스에 액세스하는 데 사용하는 인스턴스 프로파일 또는 IAM 역할에 CloudWatchAgentServerPolicy 및 AmazonSSMManagedInstanceCore 포함

수동 프로세스 대신 자동화 사용

테마 2: 보안 파이프라인을 통해 변경 불가능한 인프라 관리의 AMI 및 컨테이너 빌드 파이프라인 구현에 나온 지침 구현
직접 SSH 또는 RDP 액세스 대신 세션 관리자 또는 Run Command 사용

자동화를 사용하여 EC2 인스턴스에 다음 항목 설치

인스턴스 검색 및 관리에 사용되는 AWS Systems Manager 에이전트(SSM 에이전트)
애플리케이션 제어에 대한 보안 도구(예: Security Enhanced Linux(SELinux)(GitHub), File Access Policy Daemon(fapolicyd)(GitHub) 또는 OpenSCAP)
Amazon CloudWatch Agent: 로깅에 사용됨

릴리스 전에 피어 검토를 사용하여 변경 사항이 모범 사례를 충족하는지 확인

와일드카드를 사용하는 정책과 같이 너무 허용적인 IAM 정책
와일드카드를 사용하거나 SSH 액세스를 허용하는 규칙과 같이 너무 허용적인 보안 그룹 규칙
활성화되지 않은 액세스 로그
활성화되지 않은 암호화
암호 리터럴
보안 IAM 정책

ID 수준 제어 사용

사용자가 자동화된 프로세스를 통해 리소스를 수정하고 수동 구성을 방지하도록 요구하려면 사용자가 수임할 수 있는 역할에 대한 읽기 전용 권한 허용
Systems Manager에서 사용하는 역할과 같은 서비스 역할로만 리소스를 수정할 권한 부여

취약성 스캔 구현

테마 2: 보안 파이프라인을 통해 변경 불가능한 인프라 관리의 취약성 스캔 구현에 나온 지침 구현
Amazon Inspector를 사용하여 EC2 인스턴스 스캔

이 테마 모니터링

패치 규정 준수를 지속적으로 모니터링

자동화 및 대시보드를 사용하여 패치 규정 준수 보고
패치 규정 준수를 위해 대시보드를 검토하기 위한 메커니즘 구현

IAM 및 로그를 지속적으로 모니터링

IAM 정책을 정기적으로 검토하여 다음을 확인합니다.
- 배포 파이프라인만 리소스에 직접 액세스할 수 있음
- 승인된 서비스만 데이터에 직접 액세스할 수 있음
- 사용자가 AWS 리소스에 직접 액세스할 수 없음
AWS CloudTrail 로그를 모니터링하여 사용자가 파이프라인을 통해 리소스를 수정하고 리소스를 직접 수정하거나 데이터에 액세스하지 않는지 확인합니다.
조사 AWS Identity and Access Management Access Analyzer 결과를 정기적으로 검토
AWS 계정 에 대한 루트 사용자 자격 증명이 사용되는 경우 알리도록 알림 설정

다음 AWS Config 규칙 구현

EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK
EC2_INSTANCE_MANAGED_BY_SSM
EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent
EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps
IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM
EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK
REQUIRED_TAGS
RESTRICTED_INCOMING_TRAFFIC - 22, 3389

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

테마 2: 변경 불가능한 인프라

테마 4: ID