기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 인프라 OU - Network 계정
**설문 조사**
여러분의 의견을 듣고 싶습니다. [간단한 설문](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2) 조사에 참여하여 AWS PRA에 대한 피드백을 제공해 주십시오.
네트워크 계정에서는 가상 프라이빗 클라우드(VPC) 및 더 광범위한 인터넷 사이에서 네트워킹을 관리합니다. 이 계정에서는를 사용하고 AWS WAF, AWS Resource Access Manager (AWS RAM)를 사용하여 VPC 서브넷 및 AWS Transit Gateway 연결을 공유하고, Amazon CloudFront를 사용하여 대상 서비스 사용을 지원하여 광범위한 공개 제어 메커니즘을 구현할 수 있습니다. 이 계정에 대한 자세한 내용은 [AWS 보안 참조 아키텍처(AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html)를 참조하세요. 다음 다이어그램은 네트워크 계정에 구성된 AWS 보안 및 개인 정보 보호 서비스를 보여줍니다.
![\[AWS 서비스 인프라 조직 단위의 네트워크 계정에 배포됩니다.\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Network.png)
**Topics**
+ [Amazon CloudFront](#cloudfront)
+ [AWS Resource Access Manager](#aws-ram-network)
+ [AWS Transit Gateway](#transit-gateway)
+ [AWS WAF](#aws-waf)
## Amazon CloudFront
[Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html)는 프론트엔드 애플리케이션 및 파일 호스팅에 대한 지리적 제한을 지원합니다. CloudFront는 *엣지 로케이션*이라고 하는 데이터 센터의 전 세계 네트워크를 통해 콘텐츠를 전달할 수 있습니다. CloudFront를 통해 제공하는 콘텐츠를 사용자가 요청하면 지연 시간이 가장 낮은 엣지 로케이션으로 요청이 라우팅됩니다. 이 서비스가 보안 컨텍스트에서 사용되는 방법에 대한 자세한 내용은 [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-cf)를 참조하세요.
개인 정보 보호 프로그램은 현재 특정 리전 법률 준수를 지원할 수 있습니다. 이러한 리전 내에만 상주하는 고객에게만 서비스를 제공하도록 워크로드 범위가 지정된 경우 다른 리전에서의 사용을 방지하는 기술적 조치를 구현할 수 있습니다. CloudFront 지리적 제한을 사용하여 특정 지리적 위치에 있는 사용자가 CloudFront 배포를 통해 배포한 콘텐츠에 액세스하는 것을 차단할 수 있습니다. 지리적 제한에 대한 구성 옵션과 자세한 내용은 CloudFront 설명서의 [콘텐츠의 지리적 배포 제한](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html)을 참조하세요.
CloudFront에서 수신하는 모든 사용자 요청에 대한 세부 정보가 포함된 액세스 로그를 생성하도록 CloudFront를 구성할 수도 있습니다. 자세한 내용은 CloudFront 설명서의 [표준 로그(액세스 로그) 구성 및 사용](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html)을 참조하세요. 마지막으로 CloudFront가 일련의 엣지 로케이션에서 콘텐츠를 캐싱하도록 구성된 경우 캐싱이 발생하는 위치를 고려할 수 있습니다. 일부 조직의 경우 교차 리전 캐싱에 국가 간 데이터 전송 요구 사항이 적용될 수 있습니다.
## AWS Resource Access Manager
[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)를 사용하면에서 리소스를 안전하게 공유 AWS 계정 하여 운영 오버헤드를 줄이고 가시성 및 감사 가능성을 제공할 수 있습니다. AWS RAM를 사용하면 조직은 조직 AWS 계정 내 다른 나 타사 계정과 공유할 수 있는 AWS 리소스를 제한할 수 있습니다. 자세한 내용은 [공유 가능한 AWS 리소스를](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html) 참조하세요. 네트워크 계정에서 AWS RAM 를 사용하여 VPC 서브넷과 전송 게이트웨이 연결을 공유할 수 있습니다. AWS RAM 를 사용하여 다른와 데이터 영역 연결을 공유하는 경우 AWS 계정사전 승인 AWS 리전 되고 데이터 레지던시 요구 사항을 준수하는 연결인지 확인하는 프로세스를 설정하는 것이 좋습니다.
VPCs 및 전송 게이트웨이 연결을 공유하는 것 외에도를 사용하여 IAM 리소스 기반 정책을 지원하지 않는 리소스를 공유할 수 AWS RAM 있습니다. [개인 데이터 OU](personal-data-account.md)에서 호스팅되는 워크로드의 경우 AWS RAM 를 사용하여 별도의에 있는 개인 데이터에 액세스할 수 있습니다 AWS 계정. 자세한 내용은 *개인 데이터 OU – PD 애플리케이션 계정* 섹션의 [AWS Resource Access Manager](personal-data-account.md#aws-ram-pd-account)를 참조하세요.
## AWS Transit Gateway
조직 데이터 레지던시 요구 사항에 AWS 리전 따라에서 개인 데이터를 수집, 저장 또는 처리하는 AWS 리소스를 배포하려는 경우 적절한 기술적 보호 조치가 있는 경우 가드레일을 구현하여 제어 및 데이터 영역에서 승인되지 않은 국가 간 데이터 흐름을 방지하는 것이 좋습니다. 컨트롤 플레인에서 IAM 및 서비스 제어 정책을 사용하여 리전 사용량을 제한하고 결과적으로 교차 리전 데이터 흐름을 제한할 수 있습니다.
데이터 플레인에서 교차 리전 데이터 흐름을 제어하는 여러 옵션이 있습니다. 예를 들어 라우팅 테이블, VPC 피어링 및 AWS Transit Gateway 연결을 사용할 수 있습니다. [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)는 가상 프라이빗 클라우드(VPC)와 온프레미스 네트워크를 연결하는 중앙 허브입니다. 더 큰 AWS 랜딩 존의 일부로 인터넷 게이트웨이, 직접 VPC-to-VPC 피어링, 리전 간 피어링을 AWS 리전통해 데이터를 탐색할 수 있는 다양한 방법을 고려할 수 있습니다 AWS Transit Gateway. 예를 들어 AWS Transit Gateway에서 다음을 수행할 수 있습니다.
+ VPC와 온프레미스 환경 간 동서 및 남북 연결이 개인 정보 보호 요구 사항에 부합하는지 확인합니다.
+ 개인 정보 보호 요구 사항에 따라 VPC 설정을 구성합니다.
+ AWS Organizations 및 IAM 정책에서 서비스 제어 정책을 사용하여 AWS Transit Gateway 및 Amazon Virtual Private Cloud(VPC) 구성의 수정을 방지할 수 있습니다. 서비스 제어 정책 샘플은 이 가이드의 [VPC 구성에 대한 변경 제한](restrict-changes-vpc-configurations.md) 섹션을 참조하세요.
## AWS WAF
개인 데이터의 의도하지 않은 공개를 방지하기 위해 웹 애플리케이션에 심층 방어 접근 방식을 배포할 수 있습니다. 애플리케이션에 입력 검증 및 속도 제한을 구축할 수 있지만 다른 방어선 역할을 할 AWS WAF 수 있습니다. [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)는 보호된 웹 애플리케이션 리소스로 전달되는 HTTP 및 HTTPS 요청을 모니터링하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 이 서비스가 보안 컨텍스트에서 사용되는 방법에 대한 자세한 내용은 [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-waf)를 참조하세요.
를 사용하면 특정 기준을 검사하는 규칙을 정의하고 배포할 AWS WAF수 있습니다. 다음 활동은 의도하지 않은 개인 데이터 공개와 관련이 있을 수 있습니다.
+ 알 수 없거나 악의적인 IP 주소 또는 지리적 위치의 트래픽
+ SQL 주입과 같은 유출 관련 공격을 포함한 Open Worldwide Application Security Project(OWASP) [상위 10개 공격](https://owasp.org/www-project-top-ten/)
+ 높은 요청 속도
+ 일반 봇 트래픽
+ 콘텐츠 스크레이퍼
에서 관리하는 AWS WAF [규칙 그룹을](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-groups.html) 배포할 수 있습니다 AWS. 에 대한 일부 관리형 규칙 그룹을 사용하여 개인 정보 보호 및 개인 데이터에 대한 위협을 탐지할 AWS WAF 수 있습니다. 예를 들면 다음과 같습니다.
+ [SQL 데이터베이스](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html#aws-managed-rule-groups-use-case-sql-db) - 이 규칙 그룹에는 SQL 인젝션 공격과 같은 SQL 데이터베이스 도용과 관련된 요청 패턴을 차단하도록 설계된 규칙이 포함되어 있습니다. 애플리케이션이 SQL 데이터베이스와 접속하는 경우 이 규칙 그룹을 고려합니다.
+ [알려진 잘못된 입력](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html#aws-managed-rule-groups-baseline-known-bad-inputs) - 이 규칙 그룹에는 유효하지 않은 것으로 알려져 있으며 취약성의 도용 또는 발견과 관련된 요청 패턴을 차단하도록 설계된 규칙이 포함되어 있습니다.
+ [봇 컨트롤](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html) - 이 규칙 그룹에는 과도한 리소스를 소비하고, 비즈니스 지표를 왜곡하며, 가동 중지 시간을 유발하고, 악의적인 활동을 수행할 수 있는 봇의 요청을 관리하도록 설계된 규칙이 포함되어 있습니다.
+ [계정 탈취 방지(ATP)](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-atp.html) - 이 규칙 그룹에는 악의적인 계정 탈취 시도를 방지하도록 설계된 규칙이 포함되어 있습니다. 이 규칙 그룹은 애플리케이션의 로그인 엔드포인트로 전송된 로그인 시도를 검사합니다.