보안 OU - 보안 도구 계정

보안 도구 계정은 보안 및 개인 정보 보호 기본 서비스 운영, AWS 계정 모니터링, 보안 및 개인 정보 보호 알림 및 응답 자동화를 전담합니다. 이 계정에 대한 자세한 내용은 AWS Security Reference Architecture(AWS SRA)를 참조하세요. 다음 다이어그램에서는 보안 도구 계정에 구성된 AWS 보안 및 개인 정보 보호 서비스를 보여줍니다.

AWS CloudTrail

AWS CloudTrail는 AWS 계정의 전체 API 활동을 감사하는 데 도움이 됩니다. 개인 데이터를 저장, 처리 또는 전송하는 모든 AWS 계정 및 AWS 리전에서 CloudTrail을 활성화하면 이 데이터의 사용 및 공개를 추적하는 데 도움이 될 수 있습니다. AWS Security Reference Architecture는 조직의 모든 계정에 대한 모든 이벤트를 로깅하는 단일 추적에 해당하는 조직 추적을 활성화할 것을 권장합니다. 그러나 이 조직 추적을 활성화하면 다중 리전 로그 데이터가 로그 아카이브 계정의 단일 Amazon Simple Storage Service(Amazon S3) 버킷으로 집계됩니다. 개인 데이터를 처리하는 계정의 경우 이로 인해 몇 가지 추가 설계 고려 사항이 발생할 수 있습니다. 로그 레코드에는 개인 데이터에 대한 일부 참조가 포함될 수 있습니다. 데이터 레지던시 및 데이터 전송 요구 사항을 충족하려면 교차 리전 로그 데이터를 S3 버킷이 위치한 단일 리전으로 집계하는 방식을 다시 고려해야 할 수 있습니다. 조직은 조직 추적에 포함하거나 제외해야 하는 리전별 워크로드를 고려할 수 있습니다. 조직 추적에서 제외하기로 결정한 워크로드의 경우 개인 데이터를 마스킹하는 리전별 추적을 구성하는 방법을 고려할 수 있습니다. 개인 데이터 마스킹에 대한 자세한 내용은 이 가이드의 Amazon Data Firehose 섹션을 참조하세요. 궁극적으로 조직은 중앙 집중식 로그 아카이브 계정으로 집계되는 조직 추적과 리전 추적을 조합할 수 있습니다.

단일 리전 추적 구성에 대한 자세한 내용은 AWS Command Line Interface(AWS CLI) 또는 콘솔 사용 지침을 참조하세요. 조직 추적을 생성하는 경우 AWS Control Tower에서 옵트인 설정을 사용하거나 CloudTrail 콘솔에서 직접 추적을 생성할 수 있습니다.

전반적인 접근 방식과 로그 및 데이터 전송 요구 사항의 중앙 집중화를 관리하는 방법에 대한 자세한 내용은 이 가이드의 중앙 집중식 로그 스토리지 섹션을 참조하세요. 어떤 구성을 선택하든 AWS SRA에 따라 보안 도구 계정의 추적 관리를 로그 아카이브 계정의 로그 스토리지와 분리할 수 있습니다. 이 설계는 로그를 관리해야 하는 사용자와 로그 데이터를 사용해야 하는 사용자를 위한 최소 권한 액세스 정책을 생성하는 데 도움이 됩니다.

AWS Config

AWS Config에서는 AWS 계정에 있는 리소스와 해당 구성 방식을 자세히 보여줍니다. 이 정보는 리소스가 서로 관련되는 방식과 리소스의 구성이 시간이 지남에 따라 변경된 방식을 식별하는 데 도움이 됩니다. 이 서비스가 보안 컨텍스트에서 사용되는 방법에 대한 자세한 내용은 AWS Security Reference Architecture를 참조하세요.

AWS Config에서는 AWS Config 규칙 및 문제 해결 작업 세트인 적합성 팩을 배포할 수 있습니다. 적합성 팩은 관리형 또는 사용자 지정 AWS Config 규칙을 사용하여 개인 정보 보호, 보안, 운영 또는 비용 최적화 거버넌스 검사를 지원하도록 설계된 범용 프레임워크를 제공합니다. 이 도구를 더 큰 자동화 도구 세트의 일부로 사용하여 AWS 리소스 구성이 자체 제어 프레임워크 요구 사항을 준수하는지를 추적할 수 있습니다.

Operational Best Practices for NIST Privacy Framework v1.0 적합성 팩은 NIST Privacy Framework의 여러 개인 정보 보호 관련 제어에 부합됩니다. 각 AWS Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 NIST Privacy Framework 제어와 관련이 있습니다. 이 적합성 팩을 사용하여 계정의 리소스 전반에서 개인 정보 보호와 관련된 지속적 규정 준수를 추적할 수 있습니다. 다음은 이 적합성 팩에 포함된 몇 가지 규칙입니다.

AWS Config는 AWS 리소스의 선제적 및 사후 대응 규정 준수 검사에 모두 사용할 수 있습니다. 적합성 팩에 있는 규칙을 고려하는 것 외에도 이러한 규칙을 감지 및 선제적 평가 모드 모두에 통합할 수 있습니다. 이렇게 하면 애플리케이션 개발자가 배포 전 검사를 통합하기 시작할 수 있으므로 소프트웨어 개발 수명 주기 초기에 개인 정보 보호 검사를 구현하는 데 도움이 됩니다. 예를 들어 선제적 모드가 활성화된 모든 개인 정보 보호 관련 AWS Config 규칙과 비교하여 템플릿에서 선언된 리소스를 확인하는 후크를 AWS CloudFormation 템플릿에 포함할 수 있습니다. 자세한 내용은 AWS Config Rules Now Support Proactive Compliance(AWS 블로그 게시물)를 참조하세요.

Amazon GuardDuty

AWS는 Amazon S3, Amazon Relational Database Service(Amazon RDS) 또는 Kubernetes를 사용하는 Amazon EC2와 같이 개인 데이터를 저장하거나 처리하는 데 사용할 수 있는 여러 서비스를 제공합니다. Amazon GuardDuty는 지능형 가시성과 지속적인 모니터링을 결합하여 의도하지 않은 개인 데이터 공개와 관련되었을 수 있는 지표를 감지합니다. 이 서비스가 보안 컨텍스트에서 사용되는 방법에 대한 자세한 내용은 AWS Security Reference Architecture를 참조하세요.

GuardDuty를 사용하면 공격 수명 주기 전반에 걸쳐 잠재적으로 악의적인 개인 정보 보호 관련 활동을 식별할 수 있습니다. 예를 들어 GuardDuty는 블랙리스트에 등록된 사이트에 대한 연결, 비정상적인 네트워크 포트 트래픽 또는 트래픽 볼륨, DNS 유출, 예상치 못한 EC2 인스턴스 시작 및 비정상적인 ISP 직접 호출자를 알릴 수 있습니다. 신뢰할 수 있는 IP 목록에서 신뢰할 수 있는 IP에 대한 알림과 자체 위협 목록의 알려진 악성 IP의 알림을 중지하도록 GuardDuty를 구성할 수 있습니다.

AWS SRA에서 권장하는 대로 조직의 모든 AWS 계정에 대해 GuardDuty를 활성화하고 보안 도구 계정을 GuardDuty의 위임된 관리자로 구성할 수 있습니다. GuardDuty는 조직 전체의 조사 결과를 이 단일 계정으로 집계합니다. 자세한 내용은 Managing GuardDuty accounts with AWS Organizations를 참조하세요. 또한 감지 및 분석부터 격리 및 근절까지 인시던트 대응 프로세스에서 모든 개인 정보 보호 관련 이해관계자를 식별하고 데이터 유출과 관련되었을 수 있는 모든 인시던트에 참여시키는 방법을 고려할 수 있습니다.

IAM Access Analyzer

많은 고객이 개인 데이터가 사전 승인되고 의도된 서드 파티 프로세서와 적절하게 공유되고 있으며 다른 엔터티와는 공유되지 않는다는 지속적인 보장을 원합니다. 데이터 경계는 AWS 환경의 신뢰할 수 있는 리소스에 예상되는 네트워크의 신뢰할 수 있는 ID만 액세스할 수 있도록 설계된 예방적 가드레일입니다. 개인 데이터의 의도하지 않은 공개 및 의도된 공개에 대한 제어를 정의할 때 신뢰할 수 있는 ID, 신뢰할 수 있는 리소스 및 예상되는 네트워크를 정의할 수 있습니다.

AWS Identity and Access Management Access Analyzer(IAM Access Analyzer)를 사용하면 조직은 AWS 계정의 신뢰 영역을 정의하고 해당 신뢰 영역에 대한 위반 알림을 구성할 수 있습니다. IAM Access Analyzer는 IAM 정책을 분석하여 잠재적으로 민감한 리소스에 대한 의도하지 않은 퍼블릭 또는 교차 계정 액세스를 식별하고 해결하는 데 도움이 됩니다. IAM Access Analyzer는 수학 로직과 추론을 사용하여 AWS 계정 외부에서 액세스할 수 있는 리소스에 대한 포괄적인 조사 결과를 생성합니다. 마지막으로 지나치게 허용적인 IAM 정책에 대응하고 관련 문제를 해결하려면 IAM Access Analyzer를 사용하여 IAM 권장 사례를 기준으로 기존 정책을 검증하고 제안을 제공할 수 있습니다. IAM Access Analyzer는 IAM 위탁자의 이전 액세스 활동을 기반으로 최소 권한 IAM 정책을 생성할 수 있습니다. CloudTrail 로그를 분석하고 해당 작업을 계속 수행하는 데 필요한 권한만 부여하는 정책을 생성합니다.

보안 컨텍스트에서 IAM Access Analyzer를 사용하는 방법에 대한 자세한 내용은 AWS Security Reference Architecture를 참조하세요.

Amazon Macie

Amazon Macie는 기계 학습과 패턴 일치를 사용하여 민감한 데이터를 검색하고, 데이터 보안 위험에 대한 가시성을 제공하며, 이러한 위험에 대한 보호를 자동화할 수 있는 서비스입니다. Macie는 Amazon S3 버킷의 보안 또는 개인 정보 보호와 관련하여 잠재적 정책 위반 또는 문제를 감지하면 조사 결과를 생성합니다. Macie는 조직이 규정 준수 노력을 지원하기 위해 자동화를 구현하는 데 사용할 수 있는 또 다른 도구입니다. 이 서비스가 보안 컨텍스트에서 사용되는 방법에 대한 자세한 내용은 AWS Security Reference Architecture를 참조하세요.

Macie는 이름, 주소 및 신분을 식별할 수 있는 기타 속성과 같은 개인 식별 정보(PII)를 포함하여 점점 증가하는 대규모 민감한 데이터 유형 목록을 감지할 수 있습니다. 조직의 개인 데이터 정의를 반영하는 감지 기준을 정의하기 위해 사용자 지정 데이터 식별자를 생성할 수도 있습니다.

조직에서 개인 데이터가 포함된 Amazon S3 버킷에 대한 예방적 제어를 정의하면 Macie를 검증 메커니즘으로 사용하여 개인 데이터가 있는 위치를 지속적으로 재확인하고 개인 데이터를 보호하는 방법을 제공할 수 있습니다. 시작하려면 Macie를 활성화하고 자동화된 민감한 데이터 검색을 구성합니다. Macie는 여러 계정 및 AWS 리전에서 모든 S3 버킷의 객체를 지속적으로 분석합니다. Macie는 개인 데이터가 상주하는 위치를 나타내는 대화형 히트 맵을 생성하고 유지 관리합니다. 자동화된 민감한 데이터 검색 기능은 비용을 절감하고 검색 작업을 수동으로 구성할 필요성을 최소화하도록 설계되었습니다. 자동화된 민감한 데이터 검색 기능을 기반으로 빌드하고 Macie를 사용하여 새 버킷 또는 기존 버킷의 새 데이터를 자동으로 감지한 다음 할당된 데이터 분류 태그와 비교하여 데이터를 검증할 수 있습니다. 적절한 개발 및 개인 정보 보호 팀에 잘못 분류되거나 분류되지 않은 버킷을 적시에 알리도록 이 아키텍처를 구성합니다.

AWS Organizations를 사용하여 조직의 모든 계정에 대해 Macie를 활성화할 수 있습니다. 자세한 내용은 Integrating and configuring an organization in Amazon Macie를 참조하세요.