테마 5: 데이터 경계 설정 - AWS 권장 가이드
관련 모범 사례이 테마 구현이 테마 모니터링

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

테마 5: 데이터 경계 설정

Essential Eight 전략 설명

관리 권한 제한

데이터 경계는 신뢰할 수 있는 ID만 예상되는 네트워크에서 신뢰할 수 있는 리소스에 액세스하도록 지원하는 AWS 환경의 방지 가드레일 세트입니다. 이러한 가드레일은 광범위한 AWS 계정 및 리소스 세트에서 데이터를 보호하는 데 도움이 되는 상시 경계 역할을 합니다. 이러한 조직 차원의 가드레일은 기존의 세분화된 액세스 제어를 대체하지 않습니다. 대신 모든 AWS Identity and Access Management (IAM) 사용자, 역할 및 리소스가 정의된 보안 표준 세트를 준수하도록 하여 보안 전략을 개선하는 데 도움이 됩니다.

일반적으로 AWS Organizations에서 생성되는 조직 경계 외부로부터의 액세스를 방지하는 정책을 사용하여 데이터 경계를 설정할 수 있습니다. 데이터 경계를 설정하는 데 사용되는 세 가지 기본 경계 권한 부여 조건은 다음과 같습니다.

  • 신뢰할 수 있는 자격 증명 - 내 또는 사용자를 대신하여 AWS 서비스 활동하는 보안 주체(IAM 역할 AWS 계정또는 사용자)입니다.

  • 신뢰할 수 있는 리소스 -에 AWS 계정 있거나 사용자를 대신하여 AWS 서비스 작업하여 관리되는 리소스입니다.

  • 예상 네트워크 - 온프레미스 데이터 센터 및 Virtual Private Cloud(VPCs) 또는 사용자를 대신하여 AWS 서비스 작업하는 네트워크입니다.

OFFICIAL:SENSITIVE 또는 PROTECTED와 같은 여러 데이터 분류나 개발, 테스트 또는 프로덕션과 같은 여러 위험 수준의 환경 사이에서 데이터 경계 구현을 고려합니다. 자세한 내용은 에서 데이터 경계 구축 AWS(AWS 백서) 및 에서 데이터 경계 설정 AWS: 개요(AWS 블로그 게시물)를 참조하세요.

AWS Well-Architected 프레임워크의 관련 모범 사례

이 테마 구현

ID 제어 구현

  • 신뢰할 수 있는 ID만 리소스에 액세스하도록 허용 - 조건 키 aws:PrincipalOrgIDaws:PrincipalIsAWSService와 함께 리소스 기반 정책을 사용합니다. 이렇게 하면 AWS 조직의 보안 주체와의 보안 주체만 리소스 AWS 에 액세스할 수 있습니다.

  • 네트워크를 통해서만 신뢰할 수 있는 ID 허용 - 조건 키 aws:PrincipalOrgIDaws:PrincipalIsAWSService와 함께 VPC 엔드포인트 정책을 사용합니다. 이렇게 하면 AWS 조직 및의 보안 주체만 VPC 엔드포인트 AWS 를 통해 서비스에 액세스할 수 있습니다.

리소스 제어 구현

  • ID에서 신뢰할 수 있는 리소스에만 액세스하도록 허용 - 조건 키 aws:ResourceOrgID와 함께 서비스 제어 정책(SCP)을 사용합니다. 이렇게 하면 자격 증명이 AWS 조직의 리소스에만 액세스할 수 있습니다.

  • 네트워크를 통해서만 신뢰할 수 있는 리소스에 액세스하도록 허용 - 조건 키 aws:ResourceOrgID와 함께 VPC 엔드포인트 정책을 사용합니다. 이렇게 하면 ID에서 AWS 조직의 일부인 VPC 엔드포인트를 통해서만 서비스에 액세스할 수 있습니다.

네트워크 제어 구현

  • ID에서 예상 네트워크를 통해서만 리소스에 액세스하도록 허용 - 조건 키 aws:SourceIp, aws:SourceVpc, aws:SourceVpce, aws:ViaAWSService와 함께 SCP를 사용합니다. 이를 통해 자격 증명은 예상 IP 주소, VPCs, VPC 엔드포인트 및를 통해서만 리소스에 액세스할 수 있습니다 AWS 서비스.

  • 예상되는 네트워크를 통해서만 리소스에 액세스하도록 허용 - 조건 키 aws:SourceIp, aws:SourceVpc, aws:SourceVpce, aws:ViaAWSService, aws:PrincipalIsAWSService와 함께 리소스 기반 정책을 사용합니다. 이렇게 하면 예상 IPs, 예상 VPCs, 예상 VPC 엔드포인트,를 통해 AWS 서비스또는 호출 자격 증명이 일 때만 리소스에 액세스할 수 있습니다 AWS 서비스.

이 테마 모니터링

정책 모니터링

  • SCP, IAM 정책 및 VPC 엔드포인트 정책을 검토하는 메커니즘 구현

다음 AWS Config 규칙 구현

  • SERVICE_VPC_ENDPOINT_ENABLED