기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

엣지의 보안

에서는 AWS 클라우드보안이 최우선 순위입니다. 조직이 클라우드의 확장성과 유연성을 채택함에 따라는 보안, 자격 증명 및 규정 준수를 주요 비즈니스 요소로 채택하도록 AWS 지원합니다.는 보안을 핵심 인프라에 AWS 통합하고 고유한 클라우드 보안 요구 사항을 충족하는 데 도움이 되는 서비스를 제공합니다. 아키텍처 범위를 로 확장하면 Local Zones 및 Outposts와 같은 인프라를 로 통합하는 AWS 클라우드이점을 누릴 수 있습니다 AWS 리전. 이 통합 AWS 을 통해는 선택한 코어 보안 서비스 그룹을 엣지로 확장할 수 있습니다.

보안은 AWS 와 사용자 간의 공동 책임입니다. AWS 공동 책임 모델은 클라우드의 보안과 클라우드의 보안을 구분합니다.

데이터 보호

AWS 공동 책임 모델은 AWS Outposts 및의 데이터 보호에 적용됩니다 AWS 로컬 영역. 이 모델에 설명된 대로 AWS 는 AWS 클라우드 (클라우드의 보안)를 실행하는 글로벌 인프라를 보호할 책임이 있습니다. 사용자는이 인프라(클라우드의 보안)에서 호스팅되는 콘텐츠에 대한 제어를 유지할 책임이 있습니다. 이 콘텐츠에는 AWS 서비스 사용하는에 대한 보안 구성 및 관리 작업이 포함됩니다.

데이터 보호를 위해 자격 AWS 계정 증명을 보호하고 AWS Identity and Access Management (IAM) 또는를 사용하여 개별 사용자를 설정하는 것이 좋습니다AWS IAM Identity Center. 이렇게 하면 각 사용자에게 직무를 수행하는 데 필요한 권한만 부여됩니다.

유휴 시 암호화

EBS 볼륨의 암호화

AWS Outposts를 사용하면 모든 데이터가 저장 시 암호화됩니다. 키 구성 요소는 외부 키인 Nitro 보안 키(NSK)로 래핑되며,이 키는 이동식 디바이스에 저장됩니다. NSK는 Outpost 랙의 데이터를 복호화하는 데 필요합니다. Amazon EBS 암호화를 EBS 볼륨과 스냅샷에 사용할 수 있습니다. Amazon EBS 암호화는 AWS Key Management Service (AWS KMS) 및 KMS 키를 사용합니다.

로컬 영역의 경우 계정에 암호화가 활성화되지 않은 한 AWS 로컬 영역 FAQ에 설명된 목록(질문: 로컬 영역에서 EBS 볼륨의 기본 암호화 동작은 무엇입니까? 참조)을 제외하고 모든 로컬 영역에서 모든 EBS 볼륨이 기본적으로 암호화됩니다.

Amazon S3 on Outposts의 암호화

기본적으로, Amazon S3 on Outposts에 저장된 모든 데이터는 Amazon S3 관리형 암호화 키를 통한 서버 측 암호화(SSE-S3)를 사용하여 암호화됩니다. 원한다면 고객 제공 암호화 키(SSE-C)로 서버 측 암호화를 사용할 수도 있습니다. SSE-C를 사용하려면 객체 API 요청의 일부로 암호화 키를 지정합니다. 서버 측 암호화는 객체 메타데이터가 아닌 객체 데이터만 암호화합니다.

전송 중 데이터 암호화

AWS Outposts의 경우 서비스 링크는 Outpost 서버와 선택한 AWS 리전 (또는 홈 리전) 간의 필수 연결이며 Outpost를 관리하고와 트래픽을 주고받을 수 있습니다 AWS 리전. 서비스 링크는 AWS 관리형 VPN을 사용하여 홈 리전과 통신합니다. 내부의 각 호스트는 컨트롤 플레인 트래픽과 VPC 트래픽을 분할하는 VPN 터널 세트를 AWS Outposts 생성합니다. 에 대한 서비스 링크 연결(인터넷 또는 AWS Direct Connect)에 따라 AWS Outposts해당 터널 위에 오버레이를 생성하려면 서비스 링크에 대해 방화벽 포트를 열어야 합니다. 및 서비스 링크의 AWS Outposts 보안에 대한 자세한 기술 정보는 AWS Outposts 설명서의의 서비스 링크를 통한 연결 및 인프라 보안을 AWS Outposts 참조하세요.

AWS Outposts 서비스 링크는 다음 다이어그램과 AWS 리전같이 상위에 대한 컨트롤 플레인 및 데이터 플레인 연결을 설정하는 암호화된 터널을 생성합니다.

각 AWS Outposts 호스트(컴퓨팅 및 스토리지)는 상위 리전과 통신하려면 잘 알려진 TCP 및 UDP 포트를 통해 이러한 암호화된 터널이 필요합니다. 다음 표에는 UDP 및 TCP 프로토콜의 소스 및 대상 포트와 주소가 나와 있습니다.

또한 로컬 영역은 Amazon의 매우 높은 대역폭의 중복 글로벌 프라이빗 백본을 통해 상위 리전에 연결됩니다. 이 연결을 통해 Local Zones에서 실행되는 애플리케이션이 다른에 빠르고 안전하며 원활하게 액세스할 수 있습니다 AWS 서비스. 로컬 영역이 AWS 글로벌 인프라의 일부인 한 글로벌 AWS 네트워크를 통해 흐르는 모든 데이터는 AWS 보안 시설을 떠나기 전에 물리적 계층에서 자동으로 암호화됩니다. 온프레미스 위치와 AWS Direct Connect PoPs 간에 전송 중인 데이터를 암호화하여 로컬 영역에 액세스해야 하는 특정 요구 사항이 있는 경우 온프레미스 라우터 또는 스위치와 AWS Direct Connect 엔드포인트 간에 MAC 보안(MACsec)을 활성화할 수 있습니다. 자세한 내용은 AWS 블로그 게시물 AWS Direct Connect 연결에 MACsec 보안 추가를 참조하세요.

데이터 삭제

에서 EC2 인스턴스를 중지하거나 종료하면 새 인스턴스에 할당되기 전에 하이퍼바이저가 인스턴스에 할당된 AWS Outposts메모리를 스크러빙(0으로 설정)하고 모든 스토리지 블록을 재설정합니다. Outpost 하드웨어에서 데이터를 삭제하려면 특수 하드웨어를 사용해야 합니다. NSK는 다음 사진에 표시된 소형 디바이스로, Outpost의 모든 컴퓨팅 또는 스토리지 유닛의 전면에 연결됩니다. 데이터 센터 또는 콜로케이션 사이트에서 데이터가 노출되지 않도록 하는 메커니즘을 제공하도록 설계되었습니다. Outpost 디바이스의 데이터는 디바이스를 암호화하는 데 사용되는 키 지정 구성 요소를 래핑하고 래핑된 구성 요소를 NSK에 저장하여 보호됩니다. Outpost 호스트를 반환할 때 NSK를 깨뜨리고 칩을 물리적으로 파괴하는 칩에 작은 나사를 돌려 NSK를 파괴합니다. NSK를 폐기하면 Outpost에서 데이터를 암호화 방식으로 파쇄합니다.

자격 증명 및 액세스 관리

AWS Identity and Access Management (IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 AWS 서비스 되는 입니다. IAM 관리자는 누가 AWS Outposts 리소스를 사용할 수 있는 인증(로그인) 및 권한(권한 있음)을 받을 수 있는지 제어합니다. 가 있는 경우 추가 비용 없이 IAM을 사용할 AWS 계정수 있습니다.

다음 표에는 사용할 수 있는 IAM 기능이 나와 있습니다 AWS Outposts.

* Amazon S3 on Outposts는 IAM 자격 증명 기반 정책 외에도 버킷 및 액세스 포인트 정책을 모두 지원합니다. 이는 Amazon S3 on Outposts 리소스에 연결된 리소스 기반 정책입니다.

에서 이러한 기능을 지원하는 방법에 대한 자세한 내용은 AWS Outposts 사용 설명서를 AWS Outposts참조하세요.

인프라 보안

인프라 보호는 정보 보안 프로그램의 핵심 요소입니다. 이를 통해 워크로드 시스템 및 서비스가 의도하지 않은 무단 액세스 및 잠재적 취약성으로부터 보호됩니다. 예를 들어 신뢰 경계(예: 네트워크 및 계정 경계), 시스템 보안 구성 및 유지 관리(예: 강화, 최소화 및 패치 적용), 운영 체제 인증 및 권한 부여(예: 사용자, 키 및 액세스 수준), 기타 적절한 정책 적용 지점(예: 웹 애플리케이션 방화벽 또는 API 게이트웨이)을 정의합니다.

AWS 는 다음 단원에서 설명한 대로 인프라 보호에 대한 다양한 접근 방식을 제공합니다.

네트워크 보호

사용자는 작업 인력 또는 고객의 일부일 수 있으며 어디에나 위치할 수 있습니다. 따라서 네트워크에 액세스할 수 있는 모든 사람을 신뢰할 수는 없습니다. 모든 계층에 보안을 적용하는 원칙을 따를 때는 제로 트러스트 접근 방식을 사용합니다. 제로 트러스트 보안 모델에서 애플리케이션 구성 요소 또는 마이크로서비스는 불연속적인 것으로 간주되며 다른 구성 요소 또는 마이크로서비스를 신뢰하는 구성 요소 또는 마이크로서비스는 없습니다. 제로 트러스트 보안을 달성하려면 다음 권장 사항을 따르세요.

컴퓨팅 리소스 보호

컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. 각 컴퓨팅 리소스 유형에는 보안에 대한 다른 접근 방식이 필요합니다. 그러나 이러한 리소스는 심층 방어, 취약성 관리, 공격 표면 감소, 구성 및 운영 자동화, 원격 작업 수행 등 고려해야 할 일반적인 전략을 공유합니다.

다음은 주요 서비스의 컴퓨팅 리소스를 보호하기 위한 일반적인 지침입니다.

또한 사용하는 각 AWS 서비스 에 대해 서비스 설명서의 특정 보안 권장 사항을 확인합니다.

인터넷 액세스

AWS Outposts 및 로컬 영역 모두 워크로드에 인터넷 액세스 권한을 부여하는 아키텍처 패턴을 제공합니다. 이러한 패턴을 사용하는 경우 패치 적용, 업데이트, 외부 Git 리포지토리 액세스 AWS및 유사한 시나리오에 사용할 경우에만 리전의 인터넷 소비를 실행 가능한 옵션으로 고려하세요. 이 아키텍처 패턴의 경우 중앙 집중식 인바운드 검사 및 중앙 집중식 인터넷 송신의 개념이 적용됩니다. 이러한 액세스 패턴은 AWS Transit Gateway에 상주하지만 리전과 엣지 간의 데이터 경로를 통해 AWS Outposts 또는 로컬 영역에 연결된 NAT 게이트웨이 AWS 리전, 네트워크 방화벽 및 기타 구성 요소를 사용합니다.

Local Zones는 네트워크 경계 그룹이라는 네트워크 구성을 채택합니다.이 네트워크 경계 그룹은에 사용됩니다 AWS 리전.이 네트워크 경계 그룹은 이러한 고유 그룹의 퍼블릭 IP 주소를 AWS 광고합니다. 네트워크 경계 그룹은 가용 영역, 로컬 영역 또는 Wavelength 영역으로 구성됩니다. 네트워크 경계 그룹에 사용할 퍼블릭 IP 주소 풀을 명시적으로 할당할 수 있습니다. 네트워크 경계 그룹을 사용하여 그룹에서 탄력적 IP 주소를 제공하도록 허용하여 인터넷 게이트웨이를 로컬 영역으로 확장할 수 있습니다. 이 옵션을 사용하려면 로컬 영역에서 사용할 수 있는 핵심 서비스를 보완하기 위해 다른 구성 요소를 배포해야 합니다. 이러한 구성 요소는 ISVs에서 가져올 수 있으며 AWS 블로그 게시물 Hybrid inspection architectures with에 설명된 대로 로컬 영역에서 검사 AWS 로컬 영역 계층을 구축하는 데 도움이 될 수 있습니다.

에서 로컬 게이트웨이(LGW)를 사용하여 네트워크에서 인터넷에 연결 AWS Outposts하려면 AWS Outposts 서브넷과 연결된 사용자 지정 라우팅 테이블을 수정해야 합니다. 라우팅 테이블에는 LGW를 다음 홉으로 사용하는 기본 라우팅 항목(0.0.0.0/0)이 있어야 합니다. 방화벽, 침입 방지 시스템 또는 침입 탐지 시스템(IPS/IDS)과 같은 경계 방어를 포함하여 로컬 네트워크에 나머지 보안 제어를 구현하는 것은 사용자의 책임입니다. 이는 사용자와 클라우드 공급자 간의 보안 의무를 나누는 공동 책임 모델에 부합합니다.

상위를 통한 인터넷 액세스 AWS 리전

이 옵션에서는 Outpost의 워크로드가 서비스 링크와 상위의 인터넷 게이트웨이를 통해 인터넷에 액세스합니다 AWS 리전. 인터넷으로의 아웃바운드 트래픽은 VPC에서 인스턴스화된 NAT 게이트웨이를 통해 라우팅할 수 있습니다. 수신 및 송신 트래픽에 대한 추가 보안을 위해에서 AWS WAF AWS Shield및 Amazon CloudFront와 같은 AWS 보안 서비스를 사용할 수 있습니다 AWS 리전.

다음 다이어그램은 AWS Outposts 인스턴스의 워크로드와 상위를 통과하는 인터넷 간의 트래픽을 보여줍니다 AWS 리전.

로컬 데이터 센터의 네트워크를 통한 인터넷 액세스

이 옵션에서는 Outpost의 워크로드가 로컬 데이터 센터를 통해 인터넷에 액세스합니다. 인터넷에 액세스하는 워크로드 트래픽은 로컬 인터넷 접속 지점을 통과하여 로컬로 송신합니다. 이 경우 로컬 데이터 센터의 네트워크 보안 인프라가 워크로드 트래픽을 보호할 AWS Outposts 책임이 있습니다.

다음 이미지는 AWS Outposts 서브넷의 워크로드와 데이터 센터를 통과하는 인터넷 간의 트래픽을 보여줍니다.

인프라 거버넌스

워크로드가 AWS 리전, 로컬 영역 또는 Outpost에 배포되었는지 여부에 관계없이 인프라 거버넌스 AWS Control Tower 에를 사용할 수 있습니다.는 규범적 모범 사례를 따라 AWS 다중 계정 환경을 설정하고 관리하는 간단한 방법을 AWS Control Tower 제공합니다.는 AWS Organizations AWS Service Catalog및 IAM Identity Center(모든 통합 서비스 참조)를 AWS 서비스포함하여 여러 다른의 기능을 AWS Control Tower 조정하여 1시간 이내에 랜딩 존을 구축합니다. 리소스는 사용자를 대신하여 설정 및 관리됩니다.

AWS Control Tower 는 리전, 로컬 영역(저지연 확장) 및 Outpost(온프레미스 인프라)를 포함한 모든 AWS 환경에서 통합 거버넌스를 제공합니다. 이를 통해 전체 하이브리드 클라우드 아키텍처에서 일관된 보안 및 규정 준수를 보장할 수 있습니다. 자세한 내용은 AWS Control Tower 설명서를 참조하십시오.

정부 AWS Control Tower 및 금융 서비스 기관(FSIs. 엣지에서 데이터 레지던시를 위한 가드레일을 배포하는 방법을 이해하려면 다음을 참조하세요.

Outposts 리소스 공유

Outpost는 데이터 센터 또는 코로케이션 공간에 있는 유한한 인프라이므로 중앙 집중식 거버넌스를 위해서는 어떤 계정 AWS Outposts 리소스가 공유되는지 중앙에서 제어 AWS Outposts해야 합니다.

Outpost 공유를 사용하면 Outpost 소유자는 Outpost 사이트 및 서브넷을 포함한 Outpost 및 Outpost 리소스를 동일한 조직에 AWS 계정 있는 다른와 공유할 수 있습니다 AWS Organizations. Outpost 소유자는 중앙 위치에서 Outpost 리소스를 생성 및 관리하고 AWS 조직 AWS 계정 내 여러에서 리소스를 공유할 수 있습니다. 이를 통해 다른 소비자가 Outpost 사이트를 사용하고, VPC를 구성하고, 공유 Outpost에서 인스턴스를 시작 및 실행할 수 있습니다.

에서 공유 가능한 리소스는 다음과 AWS Outposts 같습니다.

다중 계정 환경에서 Outpost 리소스를 공유하는 모범 사례를 따르려면 다음 AWS 블로그 게시물을 참조하세요.