인프라 보호를 위한 보안 제어 권장 사항 - AWS 권장 가이드
CloudFront 기본 루트 객체애플리케이션 코드 스캔네트워크 계층 생성승인된 포트만 사용Systems Manager 문서에 대한 퍼블릭 액세스Lambda 함수에 대한 퍼블릭 액세스기본 보안 그룹 업데이트취약성 및 네트워크 노출 스캔설정 AWS WAFDDoS 공격에 대한 고급 보호네트워크 트래픽 제어

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인프라 보호를 위한 보안 제어 권장 사항

인프라 보호는 보안 프로그램의 핵심 요소입니다. 여기에는 네트워크와 컴퓨팅 리소스를 보호하는 데 도움이 되는 제어 방법론이 포함됩니다. 인프라 보호의 예로, 신뢰 경계, 심층 방어 접근 방식, 보안 강화, 패치 관리, 운영 체제 인증 및 권한 부여가 있습니다. 자세한 내용은 AWS Well-Architected Framework의 인프라 보호를 참조하세요. 이 섹션의 보안 제어는 인프라 보호 모범 사례를 구현하는 데 도움이 될 수 있습니다.

CloudFront 배포에 대한 기본 루트 객체 지정

Amazon CloudFront는 전 세계 데이터 센터 네트워크를 통해 웹 콘텐츠를 전송함으로써 웹 콘텐츠 배포 속도를 높여 지연 시간을 줄이고 성능을 개선합니다. 기본 루트 객체를 정의하지 않은 경우, 배포의 루트에 대한 요청은 오리진 서버로 전달됩니다. Amazon Simple Storage Service(Amazon S3) 오리진을 사용하는 경우 요청은 S3 버킷의 콘텐츠 목록 또는 오리진의 프라이빗 콘텐츠 목록을 반환할 수 있습니다. 기본 루트 객체를 지정하면 배포 콘텐츠가 노출되지 않게 할 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.

애플리케이션 코드를 스캔하여 일반적인 보안 문제 식별

AWS Well-Architected Framework에서는 라이브러리 및 종속성에서 문제 및 결함을 스캔할 것을 권장합니다. 소스 코드를 스캔하는 데 사용할 수 있는 소스 코드 분석 도구가 많이 있습니다. 예를 들어 Amazon CodeGuru는 Java 또는 Python 애플리케이션에서 일반적인 보안 문제가 있는지 스캔하고 문제를 해결하기 위한 권장 사항을 제공할 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.

전용 VPC 및 서브넷을 사용하여 네트워크 계층 생성

AWS Well-Architected Framework에서는 민감도 요구 사항을 공유하는 구성 요소를 계층으로 그룹화할 것을 권장합니다. 그러면 무단 액세스의 잠재적 영향 범위를 최소화할 수 있습니다. 예를 들어 인터넷 액세스가 필요하지 않은 데이터베이스 클러스터는 인터넷과의 송수신 경로가 없도록 VPC의 프라이빗 서브넷에 배치해야 합니다.

AWS 는 퍼블릭 연결성을 테스트하고 식별하는 데 도움이 되는 다양한 서비스를 제공합니다. 예를 들어 Reachability Analyzer는 VPC의 소스 리소스와 대상 리소스 간의 연결을 테스트할 수 있는 구성 분석 도구입니다. 또한 Network Access Analyzer는 리소스에 대한 의도하지 않은 네트워크 액세스를 식별합니다.

자세한 정보는 다음 자료를 참조하세요.

수신 트래픽을 승인된 포트로만 제한

무제한 액세스(0.0.0.0/0 소스 IP 주소의 트래픽)는 해킹, 서비스 거부 공격(DoS), 데이터 손실과 같은 악의적인 활동의 위험을 높입니다. 보안 그룹은 AWS 리소스에 대한 수신 및 송신 네트워크 트래픽을 상태 저장 방식으로 필터링합니다. 어떤 보안 그룹도 SSH 및 Windows Remote Desktop Protocol(RDP)과 같은 잘 알려진 포트에 대한 무제한 수신 액세스를 허용해서는 안 됩니다. 인바운드 트래픽의 경우 보안 그룹에서 승인된 포트의 TCP 또는 UDP 연결만 허용합니다. Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 연결하려면 직접 SSH 또는 RDP 액세스 대신 Session Manager 또는 Run Command를 사용합니다.

자세한 정보는 다음 자료를 참조하세요.

Systems Manager 문서에 대한 퍼블릭 액세스 차단

사용 사례에서 퍼블릭 공유를 활성화해야 하는 경우가 아니면 Systems Manager 문서에 대한 퍼블릭 공유를 차단하는 것이 AWS Systems Manager 좋습니다. 퍼블릭 공유는 문서에 의도하지 않은 액세스를 제공할 수 있습니다. 공개 시스템 관리자 문서는 계정, 리소스, 내부 프로세스에 대한 중요한 정보 및 민감한 정보를 노출할 수 있습니다.

 자세한 정보는 다음 자료를 참조하세요.

Lambda 함수에 대한 퍼블릭 액세스 차단

AWS Lambda는 서버를 프로비저닝하거나 관리할 필요 없이 코드를 실행하는 데 도움이 되는 컴퓨팅 서비스입니다. Lambda 함수는 함수 코드에 대한 의도하지 않은 액세스를 허용할 수 있으므로 퍼블릭 액세스를 허용하지 않아야 합니다.

계정 외부에서의 액세스를 거부하도록 Lambda 함수에 대한 리소스 기반 정책을 구성하는 것이 좋습니다. 권한을 제거하거나 액세스를 허용하는 명령문에 AWS:SourceAccount 조건을 추가하여 이를 달성할 수 있습니다. Lambda API 또는 AWS Command Line Interface (AWS CLI)를 통해 Lambda 함수에 대한 리소스 기반 정책을 업데이트할 수 있습니다.

또한 AWS Security Hub CSPM에서 [Lambda.1] Lambda 함수 정책에서 퍼블릭 액세스를 금지해야 함 제어를 활성화하는 것이 좋습니다. 이 제어는 Lambda 함수에 대한 리소스 기반 정책이 퍼블릭 액세스를 금지하는지 검증합니다.

자세한 정보는 다음 자료를 참조하세요.

기본 보안 그룹에서 인바운드 및 아웃바운드 트래픽 제한

AWS 리소스를 프로비저닝할 때 사용자 지정 보안 그룹을 연결하지 않으면 리소스가 VPC의 기본 보안 그룹과 연결됩니다. 이 보안 그룹의 기본 규칙은 이 보안 그룹에 할당된 모든 리소스의 모든 인바운드 트래픽을 허용하고 모든 아웃바운드 IPv4 및 IPv6 트래픽을 허용합니다. 그러면 리소스에 대한 의도하지 않은 트래픽이 허용될 수 있습니다.

AWS 에서는 기본 보안 그룹을 사용하지 않을 것을 권장합니다. 대신 특정 리소스 또는 리소스 그룹에 대한 사용자 지정 보안 그룹을 생성합니다.

기본 보안 그룹은 삭제할 수 없으므로 기본 보안 그룹 규칙을 변경하여 인바운드 및 아웃바운드 트래픽을 제한하는 것이 좋습니다. 보안 그룹 규칙을 구성할 때는 최소 권한 원칙을 따릅니다.

또한 Security Hub CSPM에서 [EC2.2] VPC 기본 보안 그룹이 인바운드 또는 아웃바운드 트래픽 제어를 허용하지 않도록 활성화하는 것이 좋습니다. 이 제어는 VPC의 기본 보안 그룹이 인바운드 또는 아웃바운드 트래픽을 거부하는지 검증합니다.

자세한 정보는 다음 자료를 참조하세요.

소프트웨어 취약성과 의도하지 않은 네트워크 노출 스캔

모든 계정에서 Amazon Inspector를 활성화하는 것이 좋습니다. Amazon Inspector는 소프트웨어 취약성 및 의도하지 않은 네트워크 노출이 있는지 Amazon EC2 인스턴스, Amazon Elastic Container Registry(Amazon ECR) 컨테이너 이미지 및 Lambda 함수를 지속적으로 스캔하는 취약성 관리 서비스입니다. 또한 Amazon EC2 인스턴스에 대한 심층 검사도 지원합니다. Amazon Inspector에서 취약성 또는 오픈 네트워크 경로를 식별하면 사용자가 조사할 수 있도록 조사 결과를 생성합니다. Amazon Inspector와 Security Hub CSPM이 모두 계정에 설정된 경우 Amazon Inspector는 중앙 집중식 관리를 위해 보안 조사 결과를 Security Hub CSPM에 자동으로 전송합니다.

자세한 정보는 다음 자료를 참조하세요.

설정 AWS WAF

AWS WAF는 Amazon API Gateway API, Amazon CloudFront 배포 또는 Application Load Balancer와 같은 보호된 웹 애플리케이션 리소스로 전달되는 HTTP 또는 HTTPS 요청을 모니터링하고 차단하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 지정한 기준에 따라 서비스는 요청된 콘텐츠, HTTP 403 상태 코드(금지됨) 또는 사용자 지정 응답으로 요청에 응답합니다. AWS WAF 는 가용성에 영향을 미치거나 보안을 손상시키거나 과도한 리소스를 소비할 수 있는 일반적인 웹 악용으로부터 웹 애플리케이션 또는 APIs를 보호하는 데 도움이 될 수 있습니다. AWS WAF 에서 AWS 계정 를 설정하고 AWS 관리형 규칙, 사용자 지정 규칙 및 파트너 통합의 조합을 사용하여 애플리케이션 계층(계층 7) 공격으로부터 애플리케이션을 보호하는 것이 좋습니다.

자세한 정보는 다음 자료를 참조하세요.

DDoS 공격에 대한 고급 보호 구성

AWS Shield는 네트워크 및 전송 계층(계층 3 및 4)과 애플리케이션 계층(계층 7)의 AWS 리소스에 대한 분산 서비스 거부(DDoS) 공격으로부터 보호합니다. 이 서비스는 AWS Shield Standard 및의 두 가지 옵션으로 제공됩니다 AWS Shield Advanced. Shield Standard는 추가 비용 없이 지원되는 AWS 리소스를 자동으로 보호합니다.

보호된 리소스에 대해 확장된 DDoS 공격 보호를 제공하는 Shield Advanced를 구독하는 것이 좋습니다. Shield Advanced에서 받는 보호 기능은 아키텍처 및 구성 선택에 따라 달라질 수 있습니다. 다음 중 하나가 필요한 애플리케이션에는 Shield Advanced 보호를 구현하는 것을 고려해 보십시오.

  • 애플리케이션 사용자의 가용성이 보장됩니다.

  • 애플리케이션이 DDoS 공격의 영향을 받는 경우 DDoS 방어 전문가에게 신속하게 액세스할 수 있습니다.

  • AWS가 애플리케이션이 DDoS 공격의 영향을 받을 수 있다는 사실을 인지하고 보안 또는 운영 팀에 AWS의 공격을 알리며 이를 에스컬레이션합니다.

  • DDoS 공격이 사용에 영향을 미치는 경우를 포함하여 클라우드 비용의 예측 가능성 AWS 서비스.

자세한 정보는 다음 자료를 참조하세요.

심층 방어 접근 방식을 사용하여 네트워크 트래픽 제어

AWS Network Firewall 는의 Virtual Private Cloud(VPCs)에 대한 상태 저장 관리형 네트워크 방화벽 및 침입 탐지 및 방지 서비스입니다 AWS 클라우드. 그러면 VPC 경계에 필수 네트워크 보호를 배포하는 데 도움이 됩니다. 여기에는 인터넷 게이트웨이, NAT 게이트웨이 또는 VPN이나 AWS Direct Connect를 통해 송수신되는 트래픽 필터링이 포함됩니다. Network Firewall에는 일반적인 네트워크 위협으로부터 보호하는 데 도움이 되는 기능이 포함되어 있습니다. Network Firewall의 상태 저장 방화벽은 연결 및 프로토콜과 같은 트래픽 흐름의 컨텍스트를 통합하여 정책을 적용할 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.