기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 OU - 보안 도구 계정

다음 다이어그램은 AWS Security Tooling 계정에 구성된 보안 서비스를 보여줍니다.

Security Tooling 계정은 보안 서비스 운영, 모니터링 AWS 계정, 보안 알림 및 응답 자동화 전용입니다. 보안 목표에는 다음이 포함됩니다.

보안 서비스의 위임된 관리자

Security Tooling 계정은 전체에서 관리자/멤버 구조로 관리되는 보안 서비스의 관리자 계정 역할을 합니다 AWS 계정. 앞서 언급했듯이 이는 AWS Organizations 위임된 관리자 기능을 통해 처리됩니다. 현재 위임된 관리자를 지원하는 AWS SRA의 서비스에는 루트 액세스 AWS Config,,,, Amazon GuardDuty AWS Firewall Manager, IAM Access Analyzer, Amazon Macie, AWS Security Hub, AWS Security Hub CSPM Amazon Detective, AWS Audit Manager, Amazon Inspector AWS CloudTrail및에 대한 IAM 중앙 집중식 관리가 포함됩니다 AWS Systems Manager. 보안 팀은 이러한 서비스의 보안 기능을 관리하고 보안 관련 이벤트 또는 조사 결과를 모니터링합니다.

AWS IAM Identity Center 는 멤버 계정에 대한 위임된 관리를 지원합니다. AWS SRA는 공유 서비스 계정의 뒷부분 IAM Identity Center 섹션에 설명된 대로 공유 서비스 계정을 IAM Identity Center의 위임된 관리자 계정으로 사용합니다.

중앙 집중식 루트 액세스

Security Tooling 계정은 루트 액세스 기능의 IAM 중앙 집중식 관리를 위한 위임된 관리자 계정 입니다. 멤버 계정에서 자격 증명 관리 및 권한 있는 루트 작업을 활성화하여 조직 수준에서이 기능을 활성화해야 합니다. 멤버 계정을 대신하여 권한 있는 루트 작업을 수행할 수 있으려면 위임된 관리자에게 명시적으로 sts:AssumeRoot 권한을 부여해야 합니다. 이 권한은 조직 관리 또는 위임된 관리자 계정에서 멤버 계정의 권한 있는 루트 작업이 활성화된 후에만 사용할 수 있습니다. 이 권한을 사용하면 사용자는 Security Tooling 계정에서 멤버 계정에 대한 권한 있는 루트 사용자 작업을 중앙에서 수행할 수 있습니다. 권한 있는 세션을 시작한 후 잘못 구성된 S3 버킷 정책을 삭제하고, 잘못 구성된 SQS 대기열 정책을 삭제하고, 멤버 계정에 대한 루트 사용자 자격 증명을 삭제하고, 멤버 계정에 대한 루트 사용자 자격 증명을 다시 활성화할 수 있습니다. 콘솔에서 AWS Command Line Interface (AWS CLI)를 사용하거나 APIs.

AWS CloudTrail

AWS CloudTrail는 내 활동의 거버넌스, 규정 준수 및 감사를 지원하는 서비스입니다 AWS 계정. CloudTrail을 사용하면 AWS 인프라 전반의 작업과 관련된 계정 활동을 로깅, 지속적인 모니터링 및 유지할 수 있습니다. CloudTrail은와 통합되며 AWS Organizations,이 통합을 사용하여 조직의 모든 계정에 대한 모든 이벤트를 로깅하는 단일 추적을 AWS 생성할 수 있습니다. 이를 조직 추적이라고 합니다. 조직의 관리 계정 내에서 또는 위임된 관리자 계정에서만 조직 추적을 생성하고 관리할 수 있습니다. 조직 추적을 생성하면 지정한 이름의 추적이 AWS 조직에 AWS 계정 속한 모든에 생성됩니다. 추적은 AWS 조직의 관리 계정을 포함한 모든 계정에 대한 활동을 로깅하고 로그를 단일 S3 버킷에 저장합니다. 이 S3 버킷의 민감도 때문에이 가이드의 뒷부분에 있는 Amazon S3 중앙 로그 스토어 섹션에 설명된 모범 사례를 따라 버킷을 보호해야 합니다. AWS 조직의 모든 계정은 추적 목록에서 조직 추적을 볼 수 있습니다. 그러나 멤버 AWS 계정 는이 추적에 대한 보기 전용 액세스 권한을 가집니다. 기본적으로 CloudTrail 콘솔에서 조직 추적을 생성하면 추적은 다중 리전 추적입니다. 추가 보안 모범 사례는 CloudTrail 설명서를 참조하세요.

AWS SRA에서 보안 도구 계정은 CloudTrail을 관리하기 위한 위임된 관리자 계정입니다. 조직 추적 로그를 저장할 해당 S3 버킷이 로그 아카이브 계정에 생성됩니다. 이는 CloudTrail 로그 권한의 관리와 사용을 분리하기 위한 것입니다. 조직 추적에 대한 로그 파일을 저장하기 위해 S3 버킷을 생성하거나 업데이트하는 방법에 대한 자세한 내용은 CloudTrail 설명서를 참조하세요. 보안 모범 사례로 조직 추적의 aws:SourceArn조건 키를 S3 버킷의 리소스 정책(및 KMS 키 또는 SNS 주제와 같은 기타 리소스)에 추가합니다. 이렇게 하면 S3 버킷이 특정 추적과 연결된 데이터만 수락합니다. 추적은 로그 파일 무결성 검증을 위한 로그 파일 검증으로 구성됩니다. 로그 및 다이제스트 파일은 SSE-KMS를 사용하여 암호화됩니다. 또한 조직 추적은 CloudWatch Logs의 로그 그룹과 통합되어 장기 보존을 위한 이벤트를 전송합니다.

AWS Security Hub CSPM

이전에 로 알려진 AWS Security Hub 클라우드 보안 태세 관리(AWS Security Hub CSPM)는의 보안 태세에 대한 포괄적인 보기를 AWS Security Hub제공하고 보안 업계 표준 및 모범 사례를 기준으로 환경을 확인하는 AWS 데 도움이 됩니다. Security Hub CSPM은 AWS 통합 서비스, 지원되는 타사 제품 및 사용할 수 있는 기타 사용자 지정 보안 제품에서 보안 데이터를 수집합니다. 이 서비스는 보안 추세를 지속적으로 모니터링 및 분석하고 우선 순위가 가장 높은 보안 문제를 식별하는 데 도움을 줍니다. 수집된 소스 외에도 Security Hub CSPM은 하나 이상의 보안 표준에 매핑되는 보안 제어로 표시되는 자체 조사 결과를 생성합니다. 이러한 표준에는 AWS Foundational Security Best Practices(FSBP), Center for Internet Security(CIS) AWS Foundations Benchmark v1.20 및 v1.4.0, National Institute of Standards and Technology(NIST) SP 800-53 Rev. 5, Payment Card Industry Data Security Standard(PCI DSS) 및 서비스 관리형 표준이 포함됩니다. 현재 보안 표준 목록과 특정 보안 제어에 대한 세부 정보는 Security Hub CSPM 설명서의 Security Hub CSPM에 대한 표준 참조를 참조하세요.

Security Hub CSPM은와 통합되어 AWS 조직의 모든 기존 및 향후 계정에서 보안 태세 관리를 AWS Organizations 간소화합니다. 위임된 관리자 계정(이 경우 Security Tooling)의 Security Hub CSPM 중앙 구성 기능을 사용하여 조직 계정 및 리전 간 조직 단위(OUs)에서 Security Hub CSPM 서비스, 보안 표준 및 보안 제어를 구성하는 방법을 지정할 수 있습니다.   홈 리전이라고 하는 한 기본 리전에서 몇 단계로 이러한 설정을 구성할 수 있습니다. 중앙 구성을 사용하지 않는 경우 각 계정 및 리전에서 Security Hub CSPM을 별도로 구성해야 합니다. 위임된 관리자는 계정 및 OUs를 각 리전에서 별도로 설정을 구성할 수 있는 자체 관리형 또는 위임된 관리자가 여러 리전에서 멤버 계정 또는 OU를 구성할 수 있는 중앙 관리형으로 지정할 수 있습니다. 조직의 모든 계정과 OU를 중앙 관리형, 자체 관리형 또는 이 둘의 조합으로 지정할 수 있습니다. 이렇게 하면 각 OU 및 계정에 대해 수정할 수 있는 유연성을 제공하면서 일관된 구성의 적용을 간소화할 수 있습니다. 

Security Hub CSPM 위임된 관리자 계정은 모든 멤버 계정의 조사 결과를 보고, 인사이트를 보고, 세부 정보를 제어할 수도 있습니다. 위임된 관리자 계정 내에서 집계 리전을 추가로 지정하여 계정 및 연결된 리전에서 조사 결과를 중앙 집중화할 수 있습니다. 조사 결과는 집계자 리전과 다른 모든 리전 간에 지속적으로 양방향으로 동기화됩니다.

Security Hub CSPM은 여러 와의 통합을 지원합니다 AWS 서비스. Amazon GuardDuty, AWS Config, Amazon Macie, IAM Access Analyzer AWS Firewall Manager, Amazon Inspector, Amazon Route 53 Resolver DNS Firewall 및 AWS Systems Manager Patch Manager는 Security Hub CSPM에 결과를 제공할 수 있습니다. Security Hub CSPM은 AWS Security Finding Format(ASFF)이라는 표준 형식을 사용하여 조사 결과를 처리합니다. Security Hub CSPM은 통합 제품 전반의 조사 결과를 상호 연관시켜 가장 중요한 조사 결과의 우선순위를 지정합니다. Security Hub CSPM 조사 결과의 메타데이터를 보강하여 보안 조사 결과의 컨텍스트화, 우선 순위 지정 및 조치를 개선할 수 있습니다. 이 보강은 Security Hub CSPM에 수집된 모든 결과에 리소스 태그, 새 AWS 애플리케이션 태그 및 계정 이름 정보를 추가합니다. 이를 통해 자동화 규칙에 대한 조사 결과를 미세 조정하고, 조사 결과 및 인사이트를 검색 또는 필터링하고, 애플리케이션별로 보안 태세 상태를 평가할 수 있습니다. 또한 자동화 규칙을 사용하여 결과를 자동으로 업데이트할 수 있습니다. Security Hub CSPM은 조사 결과를 수집할 때 조사 결과 억제, 심각도 변경, 조사 결과에 메모 추가와 같은 다양한 규칙 작업을 적용할 수 있습니다. 이러한 규칙 작업은 조사 결과가 연결된 리소스 또는 계정 IDs 또는 제목과 같이 조사 결과가 지정된 기준과 일치할 때 적용됩니다. 자동화 규칙을 사용하여 ASFF에서 선택 결과 필드를 업데이트할 수 있습니다. 규칙은 새로운 조사 결과와 업데이트된 조사 결과 모두에 적용됩니다.

보안 이벤트를 조사하는 동안 Security Hub CSPM에서 Amazon Detective로 이동하여 GuardDuty 조사 결과를 조사할 수 있습니다. Security Hub CSPM은 원활한 통합을 위해 Detective(있는 경우)와 같은 서비스에 대해 위임된 관리자 계정을 정렬할 것을 권장합니다. 예를 들어 Detective와 Security Hub CSPM 간에 관리자 계정을 정렬하지 않으면 조사 결과에서 Detective로 이동하는 것이 작동하지 않습니다. 전체 목록은 Security Hub CSPM 설명서의 Security Hub CSPM과의 AWS 서비스 통합 개요를 참조하세요.

Security Hub CSPM을 Amazon VPC의 Network Access Analyzer 기능과 함께 사용하여 AWS 네트워크 구성의 규정 준수를 지속적으로 모니터링할 수 있습니다. 이렇게 하면 원치 않는 네트워크 액세스를 차단하고 중요한 리소스가 외부에 액세스하지 못하도록 방지할 수 있습니다. 추가 아키텍처 및 구현 세부 정보는 블로그 게시물 Amazon VPC Network Access Analyzer 및를 AWS 사용한 네트워크 규정 준수의 지속적 확인을 참조하세요. AWS Security Hub CSPM

Security Hub CSPM은 모니터링 기능 외에도 Amazon EventBridge와의 통합을 지원하여 특정 조사 결과의 문제 해결을 자동화합니다. 결과를 수신할 때 수행할 사용자 지정 작업을 정의할 수 있습니다. 예를 들어, 조사 결과를 티켓팅 시스템 또는 자동 문제 해결 시스템으로 전송하도록 사용자 지정 작업을 구성할 수 있습니다. 추가 토론 및 예제는 AWS 블로그 게시물를 사용한 자동 응답 및 문제 해결 AWS Security Hub CSPM 및 Security Hub CSPM 자동 응답 및 문제 해결을 위한 AWS 솔루션 배포 방법을 참조하세요.

Security Hub CSPM은 서비스 연결을 사용하여 제어 AWS Config 규칙 에 대한 대부분의 보안 검사를 수행합니다. 이러한 제어를 지원하려면 Security Hub CSPM AWS 리전 이 AWS Config 활성화된 각에서 관리자(또는 위임된 관리자) 계정 및 멤버 계정을 포함한 모든 계정에서를 활성화해야 합니다.

AWS Security Hub

AWS Security Hub는 중요한 보안 위협의 우선순위를 정하고 대규모 대응을 지원하는 통합 클라우드 보안 솔루션입니다. Security Hub는 태세 관리(AWS Security Hub CSPM), 취약성 관리(Amazon Inspector), 민감한 데이터(Amazon Macie) 및 위협 탐지(Amazon GuardDuty)와 같은 여러 소스의 보안 신호를 자동으로 상호 연관시키고 보강하여 보안 문제를 거의 실시간으로 탐지합니다. 이를 통해 보안 팀은 자동화된 분석 및 컨텍스트별 인사이트를 통해 클라우드 환경에서 활성 위험을 우선적으로 처리할 수 있습니다. Security Hub는 공격자가 노출 조사 결과와 관련된 리소스에 액세스하기 위해 악용할 수 있는 잠재적 공격 경로를 시각적으로 보여줍니다. 이렇게 하면 복잡한 보안 신호가 실행 가능한 인사이트로 변환되므로 정보에 입각한 보안 결정을 신속하게 내릴 수 있습니다.

Security Hub는 보안 결과에 도달하기 위해 연결된 보안 서비스 구성 요소의 활성화를 간소화하기 위해 전략적으로 재설계되었습니다. 위협 매트릭스의 보안 조사 결과를 서로 다른 보안 신호에 거의 실시간으로 상호 연관시켜 가장 중요한 위험을 우선시할 수 있습니다. 결과는 AWS 리소스와 관련된 노출을 감지하기 위해 상관관계가 있습니다. 노출도는 보안 제어, 잘못된 구성 또는 활성 위협으로 악용될 수 있는 기타 영역의 광범위한 약점을 나타냅니다. 예를 들어, 인터넷에서 연결할 수 있고 악용 가능성이 높은 소프트웨어 취약성이 있는 EC2 인스턴스가 노출될 수 있습니다.

Security Hub 및 Security Hub CSPM은 보완 서비스입니다. Security Hub CSPM은 보안 태세에 대한 포괄적인 보기를 제공하고 보안 업계 표준 및 모범 사례를 기준으로 클라우드 환경을 평가하는 데 도움이 됩니다. Security Hub는 중요한 보안 문제의 우선 순위를 지정하고 이에 대응하는 데 도움이 되는 통합 환경을 제공합니다. Security Hub CSPM 조사 결과는 자동으로 Security Hub로 라우팅되며, 여기서 Amazon Inspector와 같은 다른 보안 서비스의 조사 결과와 상호 연관되어 노출을 생성합니다. 이를 통해 환경에서 가장 중요한 위험을 식별할 수 있습니다. 

또한 Security Hub는 유형 및 관련 조사 결과별로 AWS 환경의 리소스에 대한 요약을 제공합니다. 리소스는 노출 및 공격 시퀀스에 따라 우선순위가 지정됩니다. 리소스 유형을 선택하면 해당 리소스 유형과 연결된 모든 리소스를 검토할 수 있습니다.

최적의 환경을 위해 Security Hub 및 Security Hub CSPM을 활성화하고 Amazon GuardDuty, Amazon Inspector 및 Amazon Macie와 같은 기타 보안 서비스를 활성화하는 것이 좋습니다. Security Hub 적용 범위 조사 결과를 사용하여 조직의 모든 멤버 계정에서 이러한 서비스와 기능이 균일하게 활성화되었는지 여부를 파악할 수 있습니다.

AWS SRA에서 Security Tooling 계정은 Security Hub, Security Hub CSPM 및 기타 AWS 보안 서비스의 위임된 관리자 역할을 합니다. Security Tooling 계정 내에서 멤버 계정과 연결된 모든 리소스를 볼 수 있습니다. 홈의 모든 리소스를 연결된 AWS 리전 에서 볼 수도 있습니다 AWS 리전.

Amazon GuardDuty

Amazon GuardDuty는 악의적인 활동 및 무단 동작을 지속적으로 모니터링하여 AWS 계정 및 워크로드를 보호하는 위협 탐지 서비스입니다. 모니터링 및 감사 목적으로 항상 적절한 로그를 캡처하고 저장해야 하지만 GuardDuty는 AWS CloudTrail Amazon VPC 흐름 로그 및 AWS DNS 로그에서 직접 독립적인 데이터 스트림을 가져옵니다. Amazon S3 버킷 정책을 관리하거나 로그를 수집하고 저장하는 방법을 수정할 필요가 없습니다. GuardDuty 권한은 GuardDuty를 비활성화하여 언제든지 취소할 수 있는 서비스 연결 역할로 관리됩니다. 따라서 복잡한 구성 없이 서비스를 쉽게 활성화할 수 있으며, IAM 권한 수정 또는 S3 버킷 정책 변경이 서비스 운영에 영향을 미칠 위험을 제거할 수 있습니다.

기본 데이터 소스를 제공하는 것 외에도 GuardDuty는 보안 조사 결과를 식별하는 선택적 기능을 제공합니다. 여기에는 EKS 보호, RDS 보호, S3 보호, 맬웨어 보호 및 Lambda 보호가 포함됩니다. 새 감지기의 경우 이러한 선택적 기능은 수동으로 활성화해야 하는 EKS 보호를 제외하고 기본적으로 활성화됩니다.

또한 GuardDuty는 데이터 소스, 여러 유형의 AWS 리소스 및 내의 시간에 걸친 다단계 공격을 자동으로 탐지하는 확장 위협 탐지라는 기능을 제공합니다 AWS 계정. GuardDuty는 신호라고 하는 이러한 이벤트를 상호 연관시켜 AWS 환경에 대한 잠재적 위협으로 나타나는 시나리오를 식별한 다음 공격 시퀀스 결과를 생성합니다. 여기에는 AWS 자격 증명 오용과 관련된 침해와 관련된 위협 시나리오와의 데이터 침해 시도가 포함됩니다 AWS 계정.GuardDuty는 모든 공격 시퀀스 조사 결과 유형을 중요한 것으로 간주합니다. 이 기능은 기본적으로 활성화되어 있으며 추가 비용은 없습니다.

AWS SRA에서 GuardDuty는를 통해 모든 계정에서 활성화되며 AWS Organizations, GuardDuty 위임된 관리자 계정(이 경우 보안 도구 계정)의 적절한 보안 팀이 모든 결과를 보고 조치를 취할 수 있습니다. GuardDuty 활성 결과는 로그 아카이브 계정의 중앙 S3 버킷으로 내보내지므로 90일 후에도 결과를 유지할 수 있습니다. 결과는 위임된 관리자 계정에서 내보내며 동일한 리전에 있는 연결된 멤버 계정의 모든 결과도 포함합니다. S3 버킷의 결과는 AWS KMS 고객 관리형 키로 암호화됩니다. S3 버킷 정책 및 KMS 키 정책은 GuardDuty만 리소스를 사용하도록 구성됩니다.

AWS Security Hub CSPM 이 활성화되면 GuardDuty 조사 결과가 Security Hub CSPM 및 Security Hub로 자동으로 흐릅니다. Amazon Detective가 활성화되면 GuardDuty 조사 결과가 Detective 로그 수집 프로세스에 포함됩니다. GuardDuty 및 Detective는 교차 서비스 사용자 워크플로를 지원합니다. 여기서 GuardDuty는 선택한 결과에서 해당 결과를 조사하기 위해 큐레이션된 시각화 세트가 포함된 Detective 페이지로 리디렉션하는 콘솔의 링크를 제공합니다. 예를 들어 GuardDuty를 Amazon EventBridge와 통합하여 새 GuardDuty 결과에 대한 응답 자동화와 같은 GuardDuty 모범 사례를 자동화할 수도 있습니다. GuardDuty

AWS Config

AWS Config는에서 지원되는 AWS 리소스의 구성을 평가, 감사 및 평가할 수 있는 서비스입니다 AWS 계정. AWS 리소스 구성을 AWS Config 지속적으로 모니터링 및 기록하고, 기록된 구성을 원하는 구성과 비교하여 자동으로 평가합니다. 또한 AWS Config 다른 서비스와 통합하여 자동화된 감사 및 모니터링 파이프라인에서 과중한 작업을 수행할 수 있습니다. 예를 들어는에서 개별 보안 암호의 변경 사항을 AWS Config 모니터링할 수 있습니다 AWS Secrets Manager.

를 사용하여 AWS 리소스의 구성 설정을 평가할 수 있습니다AWS Config 규칙.는 관리형 규칙이라고 하는 사용자 지정 가능하고 사전 정의된 규칙 라이브러리를 AWS Config 제공하거나 자체 사용자 지정 규칙을 작성할 수 있습니다. 사전 예방적 모드(리소스가 배포되기 전) 또는 탐지 모드(리소스가 배포된 후) AWS Config 규칙 에서를 실행할 수 있습니다. 구성 변경이 발생할 때, 주기적인 일정에 따라 또는 둘 다에 따라 리소스를 평가할 수 있습니다. 

적합성 팩은 계정 및 리전 또는의 조직 전체에 단일 엔터티로 배포할 수 있는 AWS Config 규칙 및 문제 해결 작업의 모음입니다 AWS Organizations. 적합성 팩은 AWS Config 관리형 또는 사용자 지정 규칙 및 수정 작업 목록이 포함된 YAML 템플릿을 작성하여 생성됩니다. AWS 환경 평가를 시작하려면 샘플 적합성 팩 템플릿 중 하나를 사용합니다.

AWS Config 는와 통합되어 AWS Config 관리형 및 사용자 지정 규칙 평가 결과를 Security Hub CSPM으로 AWS Security Hub CSPM 보냅니다.

AWS Config 규칙 는와 함께 사용하여 규정 미준수 리소스를 AWS Systems Manager 효과적으로 해결할 수 있습니다. Systems Manager Explorer를 사용하여 AWS 계정 에서AWS Config규칙의 규정 준수 상태를 수집한 AWS 리전 다음Systems Manager Automation 문서(런북)를 사용하여 규정 미준수 AWS Config 규칙을 해결합니다. 구현 세부 정보는 블로그 게시물 AWS Systems Manager 자동화 실행서를 사용하여 규정 미준수 AWS Config 규칙 수정을 참조하세요.

애그리게이터는 AWS Config 의 여러 계정, 리전 및 조직에서 구성 및 규정 준수 데이터를 수집합니다 AWS Organizations. 집계자 대시보드에는 집계된 리소스의 구성 데이터가 표시됩니다. 인벤토리 및 규정 준수 대시보드는 조직 전체 AWS 리전, AWS 계정전체 또는 조직 내 AWS AWS 리소스 구성 및 규정 준수 상태에 대한 필수 및 최신 정보를 제공합니다. 이를 통해 AWS Config 고급 쿼리를 작성할 필요 없이 AWS 리소스 인벤토리를 시각화하고 평가할 수 있습니다. 리소스별 규정 준수 요약, 규정 미준수 리소스가 있는 상위 10개 계정, 유형별 실행 및 중지된 EC2 인스턴스 비교, 볼륨 유형 및 크기별 EBS 볼륨과 같은 필수 인사이트를 얻을 수 있습니다.

AWS Control Tower 를 사용하여 AWS 조직을 관리하는 경우 일련의 AWS Config 규칙을 탐지 가드레일로 배포합니다(필수, 적극 권장 또는 선택으로 분류됨). 이러한 가드레일은 리소스를 관리하고 AWS 조직의 계정 간 규정 준수를 모니터링하는 데 도움이 됩니다. 이러한 AWS Config 규칙은 값이 인 aws-control-tower 태그를 자동으로 사용합니다managed-by-control-tower.

AWS Config 는 AWS 조직의 각 멤버 계정에 대해 활성화되어야 하며 보호하려는 리소스가 AWS 리전 포함되어 있어야 합니다. AWS 조직 내 모든 계정에서 AWS Config 규칙을 중앙에서 관리(예: 생성, 업데이트 및 삭제)할 수 있습니다. AWS Config 위임된 관리자 계정에서 모든 계정에 공통 규칙 세트를 배포하고 AWS Config 규칙을 생성해서는 AWS Config 안 되는 계정을 지정할 수 있습니다. AWS Config 위임된 관리자 계정은 모든 멤버 계정의 리소스 구성 및 규정 준수 데이터를 집계하여 단일 보기를 제공할 수도 있습니다. 위임된 관리자 계정의 APIs를 사용하여 AWS 조직의 멤버 계정에서 기본 AWS Config 규칙을 수정할 수 없도록 하여 거버넌스를 시행합니다. Security Hub CSPM이 활성화되어 있고 하나 이상의 AWS Config 관리형 또는 사용자 지정 규칙이 있는 경우 AWS Security Hub CSPM는 기본적으로 결과를 보내도록 통합 AWS Config 됩니다.

AWS SRA에서 AWS Config 위임된 관리자 계정은 보안 도구 계정입니다. AWS Config 전송 채널은 로그 아카이브 계정의 중앙 집중식 S3 버킷에 리소스 구성 스냅샷을 전송하도록 구성됩니다. 로그 아카이브 계정은 중앙 로그 리포지토리 저장소이므로 리소스 구성을 저장하는 데 사용됩니다.

Amazon Security Lake

Amazon Security Lake는 완전 관리형 보안 데이터 레이크 서비스입니다. Security Lake를 사용하여 AWS 환경, 서비스형 소프트웨어(SaaS) 공급자, 온프레미스 및 타사 소스의 보안 데이터를 자동으로 중앙 집중화할 수 있습니다. Security Lake를 사용하면 보안 데이터에 대한 분석 도구 사용을 간소화하는 정규화된 데이터 소스를 구축할 수 있으므로 조직 전체에서 보안 태세를 더 완벽하게 이해할 수 있습니다. 데이터 레이크는 Amazon Simple Storage Service(S3) 버킷에서 지원되며, 데이터에 대한 소유권은 사용자에게 있습니다. Security Lake는 Amazon VPC AWS 서비스, Amazon Route 53 AWS CloudTrail, Amazon S3, Amazon AWS Lambda EKS 감사 로그, AWS Security Hub CSPM 조사 결과 및 로그를 포함한 AWS WAF 로그를 자동으로 수집합니다.

AWS SRA는 로그 아카이브 계정을 Security Lake의 위임된 관리자 계정으로 사용할 것을 권장합니다. 위임된 관리자 계정 설정에 대한 자세한 내용은 보안 OU ‒ 로그 아카이브 계정 섹션의 Amazon Security Lake를 참조하세요. Security Lake 데이터에 액세스하거나 사용자 지정 추출, 변환 및 로드(ETL) 함수를 사용하여 Security Lake 버킷에 기본이 아닌 로그를 작성하는 기능이 필요한 보안 팀은 Security Tooling 계정 내에서 운영되어야 합니다.

Security Lake는 다양한 클라우드 공급자의 로그, 타사 솔루션의 로그 또는 기타 사용자 지정 로그를 수집할 수 있습니다. Security Tooling 계정을 사용하여 ETL 함수를 수행하여 로그를 Open Cybersecurity Schema Framework(OCSF) 형식으로 변환하고 Apache Parquet 형식으로 파일을 출력하는 것이 좋습니다. Security Lake는 Security Tooling 계정과 Lambda 함수 또는 AWS Glue 크롤러가 지원하는 사용자 지정 소스에 대한 적절한 권한을 가진 교차 계정 역할을 생성하여 Security Lake용 S3 버킷에 데이터를 씁니다.

Security Lake 관리자는 Security Tooling 계정을 사용하고 Security Lake가 구독자로 수집하는 로그에 액세스해야 하는 보안 팀을 구성해야 합니다. Security Lake는 두 가지 유형의 구독자 액세스를 지원합니다.

구독자 생성에 대한 자세한 내용은 Security Lake 설명서의 구독자 관리를 참조하세요. 

사용자 지정 소스를 수집하는 모범 사례는 Security Lake 설명서의 사용자 지정 소스에서 데이터 수집을 참조하세요.

Amazon Quick Sight, Amazon OpenSearch Service 및 Amazon SageMaker를 사용하여 Security Lake에 저장하는 보안 데이터에 대한 분석을 설정할 수 있습니다.

Amazon Macie

Amazon Macie는 기계 학습 및 패턴 일치를 사용하여 민감한 데이터를 검색하고 보호하는 완전 관리형 데이터 보안 및 데이터 프라이버시 서비스입니다 AWS. 적절한 제어가 적용되도록 워크로드가 처리 중인 데이터의 유형과 분류를 식별해야 합니다. Macie를 사용하면 민감한 데이터 자동 검색을 수행하고 민감한 데이터 검색 작업을 생성 및 실행하는 두 가지 방법으로 민감한 데이터의 검색 및 보고를 자동화할 수 있습니다. 민감한 데이터 자동 검색을 통해 Macie는 매일 S3 버킷 인벤토리를 평가하고 샘플링 기술을 사용하여 버킷에서 대표적인 S3 객체를 식별하고 선택합니다. 그런 다음 Macie는 선택한 객체를 검색 및 분석하여 민감한 데이터가 있는지 검사합니다. 민감한 데이터 검색 작업은 더 심층적이고 더 대상화된 분석을 제공합니다. 이 옵션을 사용하면 분석할 S3 버킷, 샘플링 깊이, S3 객체의 속성에서 파생되는 사용자 지정 기준을 포함하여 분석의 폭과 깊이를 정의할 수 있습니다. Macie가 버킷의 보안 또는 프라이버시와 관련된 잠재적 문제를 탐지하면 Macie가 정책 조사 결과를 생성합니다. 자동 데이터 검색은 모든 신규 Macie 고객에게 기본적으로 활성화되어 있으며 기존 Macie 고객은 클릭 한 번으로 활성화할 수 있습니다.

Macie는를 통해 모든 계정에서 활성화됩니다 AWS Organizations. 위임된 관리자 계정(이 경우 Security Tooling 계정)에 적절한 권한이 있는 보안 주체는 모든 계정에서 Macie를 활성화 또는 일시 중지하고, 멤버 계정이 소유한 버킷에 대한 민감한 데이터 검색 작업을 생성하고, 모든 멤버 계정에 대한 모든 정책 조사 결과를 볼 수 있습니다. 민감한 데이터 조사 결과는 민감한 조사 결과 작업을 생성한 계정에서만 볼 수 있습니다. 자세한 내용은 Macie 설명서의 조직으로 여러 Macie 계정 관리를 참조하세요.

Macie 조사 결과는 검토 및 분석을 AWS Security Hub CSPM 위해 로 전달됩니다. 또한 Macie는 Amazon EventBridge와 통합되어 알림, 보안 정보 및 이벤트 관리(SIEM) 시스템에 대한 피드, 자동 문제 해결과 같은 결과에 대한 자동 응답을 용이하게 합니다.

IAM Access Analyzer

AWS 클라우드 채택 여정을 가속화하고 혁신을 계속함에 따라 세분화된 액세스(권한)를 엄격하게 제어하고, 액세스 확산을 억제하고, 권한이 효과적으로 사용되도록 하는 것이 중요합니다. 과도하게 사용하지 않는 액세스는 보안 문제를 야기하며 기업이 최소 권한 원칙을 적용하기가 더 어려워집니다. 이 원칙은 보안 요구 사항과 운영 및 애플리케이션 개발 요구 사항의 균형을 맞추기 위해 지속적으로 적절한 크기의 IAM 권한을 포함하는 중요한 보안 아키텍처 원칙입니다. 이러한 노력에는 중앙 보안 및 클라우드 혁신 센터(CCoE) 팀과 분산된 개발 팀을 비롯한 여러 이해관계자 페르소나가 포함됩니다.

AWS Identity and Access Management Access Analyzer는 엔터프라이즈 보안 표준을 충족하는 데 도움이 되도록 미사용 액세스를 제거하여 세분화된 권한을 효율적으로 설정하고, 의도한 권한을 확인하고, 권한을 구체화하는 도구를 제공합니다. 대시보드 및를 통해 AWS 리소스에 대한 외부 및 내부 액세스와 미사용 액세스 조사 결과에 대한 가시성을 제공합니다AWS Security Hub CSPM. 또한 이벤트 기반 사용자 지정 알림 및 문제 해결 워크플로를 위해 Amazon EventBridge를 지원합니다.

IAM Access Analyzer 외부 액세스 분석기 조사 결과 기능은 외부 엔터티와 공유되는 Amazon S3 버킷 또는 IAM 역할과 같은 AWS 조직 및 계정의 리소스를 식별하는 데 도움이 됩니다. 선택한 AWS 조직 또는 계정을 신뢰 영역이라고 합니다. 분석기는 자동 추론을 사용하여 신뢰 영역 내에서 지원되는 모든 리소스를 분석하고 신뢰 영역 외부에서 리소스에 액세스할 수 있는 보안 주체에 대한 결과를 생성합니다. 이러한 결과는 외부 엔터티와 공유되는 리소스를 식별하고 리소스 권한을 배포하기 전에 정책이 리소스에 대한 퍼블릭 및 크로스 계정 액세스에 미치는 영향을 미리 보는 데 도움이 됩니다. 추가 비용 없이 사용할 수 있습니다.

마찬가지로 IAM Access Analyzer 내부 액세스 분석기 결과 기능은 AWS 조직 내 리소스와 조직 또는 계정 내 내부 보안 주체와 공유되는 계정을 식별하는 데 도움이 됩니다. 이 분석은 조직 내 의도한 보안 주체만 지정된 리소스에 액세스할 수 있도록 하여 최소 권한 원칙을 지원합니다. 이는 유료 기능이며 검사할 리소스의 명시적 구성이 필요합니다. 이 기능을 신중하게 사용하여 설계상 내부적으로도 잠가야 하는 민감한 특정 리소스를 모니터링합니다.

또한 IAM Access Analyzer 조사 결과는 다음을 포함하여 조직 및 계정에 부여된 미사용 액세스를 식별하는 데 도움이 됩니다. AWS  

IAM Access Analyzer에서 생성된 조사 결과를 사용하여 조직의 정책 및 보안 표준에 따라 의도하지 않거나 사용되지 않은 액세스를 파악하고 수정할 수 있습니다. 문제 해결 후 이러한 결과는 다음에 분석기가 실행될 때 해결된 것으로 표시됩니다. 조사 결과가 의도적인 경우 IAM Access Analyzer에서 이를 아카이빙된 것으로 표시하고 보안 위험이 더 큰 다른 조사 결과의 우선순위를 지정할 수 있습니다. 또한 특정 결과를 자동으로 보관하도록 설정 규칙을 설정할 수 있습니다. 예를 들어, 정기적으로 액세스 권한을 부여한 특정 Amazon S3 버킷에 대한 조사 결과를 자동으로 아카이브하는 아카이브 규칙을 생성할 수 있습니다. 

빌더는 IAM Access Analyzer를 사용하여 개발 및 배포(CI/CD) 프로세스 초기에 자동화된 IAM 정책 확인을 수행하여 기업 보안 표준을 준수할 수 있습니다. IAM Access Analyzer 사용자 지정 정책 확인 및 정책 검토를와 통합하여 개발 팀의 CI/CD 파이프라인의 일부로 정책 검토를 자동화 AWS CloudFormation 할 수 있습니다. 여기에는 다음이 포함됩니다. 

보안 팀과 기타 IAM 정책 작성자는 IAM Access Analyzer를 사용하여 IAM 정책 문법 및 보안 표준을 준수하는 정책을 작성할 수 있습니다. 적절한 크기의 정책을 수동으로 작성하면 오류가 발생하기 쉽고 시간이 많이 걸릴 수 있습니다. IAM Access Analyzer 정책 생성 기능은 보안 주체의 액세스 활동을 기반으로 하는 IAM 정책을 작성하는 데 도움이 됩니다. IAM Access Analyzer는 지원되는 서비스에 대한 AWS CloudTrail 로그를 검토하고 지정된 날짜 범위에서 보안 주체가 사용한 권한이 포함된 정책 템플릿을 생성합니다. 그런 다음이 템플릿을 사용하여 필요한 권한만 부여하는 세분화된 권한으로 정책을 생성할 수 있습니다.

IAM Access Analyzer는의 위임된 관리자 기능을 통해 보안 도구 계정에 배포됩니다 AWS Organizations. 위임된 관리자는 AWS 조직을 신뢰 영역으로 사용하여 분석기를 생성하고 관리할 수 있는 권한이 있습니다.

AWS Firewall Manager

AWS Firewall Manager는 여러 계정 및 리소스에서 AWS WAF, AWS Network Firewall, AWS Shield Advanced Amazon VPC 보안 그룹 및 Amazon Route 53 Resolver DNS 방화벽에 대한 관리 및 유지 관리 작업을 간소화하여 네트워크를 보호합니다. Firewall Manager를 사용하면 AWS WAF 방화벽 규칙, Shield Advanced 보호, Amazon VPC 보안 그룹, Network Firewall 방화벽 및 DNS 방화벽 규칙 그룹 연결을 한 번만 설정합니다. 새 계정을 추가하는 즉시 서비스에서 계정과 리소스 전체에 규칙과 보호가 자동으로 적용됩니다.

Firewall Manager는 소수의 특정 계정 및 리소스 대신 전체 AWS 조직을 보호하거나 보호하려는 새 리소스를 자주 추가할 때 특히 유용합니다. Firewall Manager는 보안 정책을 사용하여 배포해야 하는 관련 규칙, 보호 및 작업과 포함하거나 제외할 계정 및 리소스(태그로 표시됨)를 포함한 구성 세트를 정의할 수 있습니다. 세분화되고 유연한 구성을 생성하는 동시에 많은 수의 계정 및 VPCs. 이러한 정책은 새 계정과 리소스가 생성되더라도 사용자가 구성하는 규칙을 자동으로 일관되게 적용합니다. Firewall Manager는를 통해 모든 계정에서 활성화되며 AWS Organizations Firewall Manager 위임된 관리자 계정(이 경우 Security Tooling 계정)의 적절한 보안 팀이 구성 및 관리를 수행합니다.

보호하려는 리소스 AWS 리전 가 포함된 각에 AWS Config 대해를 활성화해야 합니다. 모든 리소스 AWS Config 에 대해를 활성화하지 않으려면 사용하는 Firewall Manager 정책 유형과 연결된 리소스에 대해 활성화해야 합니다. AWS Security Hub CSPM 및 Firewall Manager를 모두 사용하는 경우 Firewall Manager는 조사 결과를 Security Hub CSPM으로 자동으로 전송합니다. Firewall Manager는 규정을 준수하지 않는 리소스와 탐지한 공격에 대한 조사 결과를 생성하고 조사 결과를 Security Hub CSPM으로 전송합니다. 에 대한 Firewall Manager 정책을 설정할 때 모든 범위 내 계정에 대해 웹 액세스 제어 목록(웹 ACLs)에 대한 로깅을 중앙에서 활성화하고 단일 계정에서 로그를 중앙 집중화 AWS WAF할 수 있습니다.

Firewall Manager를 사용하면 조직의 방화벽 리소스를 관리할 수 있는 한 명 또는 여러 명의 관리자가 있을 수 있습니다. 여러 관리자를 할당할 때 제한적인 관리 범위 조건을 적용하여 각 관리자가 관리할 수 있는 리소스(계정, OUs, 리전, 정책 유형)를 정의할 수 있습니다. 이렇게 하면 조직 내에서 다양한 관리자 역할을 유연하게 사용할 수 있으며, 최소 권한 액세스 담당자를 유지할 수 있습니다. AWS SRA는 전체 관리 범위가 Security Tooling 계정에 위임된 하나의 관리자를 사용합니다.

Amazon EventBridge

Amazon EventBridge는 애플리케이션을 다양한 소스의 데이터와 간단하게 연결할 수 있는 서버리스 이벤트 버스 서비스입니다. 보안 자동화에 자주 사용합니다. 라우팅 규칙을 설정하여 데이터를 전송할 위치를 결정하여 모든 데이터 소스에 실시간으로 반응하는 애플리케이션 아키텍처를 구축할 수 있습니다. 사용자 지정 이벤트 버스를 생성하여 각 계정의 기본 이벤트 버스를 사용하는 것 외에도 사용자 지정 애플리케이션에서 이벤트를 수신할 수 있습니다. Security Tooling 계정에서 AWS 조직의 다른 계정에서 보안 관련 이벤트를 수신할 수 있는 이벤트 버스를 생성할 수 있습니다. 예를 들어 AWS Config 규칙, Amazon GuardDuty 및를 EventBridge AWS Security Hub CSPM 와 연결하면 보안 데이터를 라우팅하고, 알림을 생성하고, 문제를 해결하기 위한 작업을 관리하기 위한 유연하고 자동화된 파이프라인을 생성할 수 있습니다.

Amazon Detective

Amazon Detective는 보안 분석가를 위한 보안 조사 결과 또는 의심스러운 활동의 근본 원인을 쉽게 분석, 조사 및 식별할 수 있도록 하여 대응형 보안 제어 전략을 지원합니다. Detective는 로그 및 Amazon VPC 흐름 AWS CloudTrail 로그에서 로그인 시도, API 호출, 네트워크 트래픽과 같은 시간 기반 이벤트를 자동으로 추출합니다. Detective는 CloudTrail 로그 및 Amazon VPC 흐름 로그의 독립적인 스트림을 사용하여 이러한 이벤트를 사용합니다. Detective를 사용하여 최대 1년의 과거 이벤트 데이터에 액세스할 수 있습니다. Detective는 기계 학습 및 시각화를 사용하여 리소스의 동작과 시간 경과에 따른 상호 작용에 대한 통합된 대화형 보기를 생성합니다. 이를 동작 그래프라고 합니다. 동작 그래프를 탐색하여 실패한 로그온 시도 또는 의심스러운 API 호출과 같은 서로 다른 작업을 검사할 수 있습니다.

Detective는 Amazon Security Lake와 통합되어 보안 분석가가 Security Lake에 저장된 로그를 쿼리하고 검색할 수 있도록 합니다. 이 통합을 사용하면 Detective에서 보안 조사를 수행하는 동안 Security Lake에 저장된 CloudTrail 로그 및 Amazon VPC 흐름 로그에서 추가 정보를 가져올 수 있습니다.

또한 Detective는 Amazon GuardDuty GuardDuty에서 탐지된 결과를 수집합니다. 계정이 Detective를 활성화하면 동작 그래프의 관리자 계정이 됩니다. Detective를 활성화하기 전에 계정이 최소 48시간 동안 GuardDuty에 등록되었는지 확인합니다. 이 요구 사항을 충족하지 않으면 DetectiveDetective 활성화할 수 없습니다.

Detective에 대한 추가 선택적 데이터 소스에는 Amazon EKS 감사 로그 및가 포함됩니다 AWS Security Hub CSPM. Amazon EKS 감사 로그 데이터 소스는 Amazon EKS 클러스터, Kubernetes 포드, 컨테이너 이미지 및 Kubernetes 주체와 같은 엔터티 유형에 대해 제공되는 정보를 개선합니다. Security Hub 데이터 소스는 AWS 제품 전반의 결과를 Security Hub로 상호 연관시키고 Detective로 수집하는 보안 조사 결과의 일부입니다.

Detective는 단일 보안 손상 이벤트와 관련된 여러 조사 결과를 조사 결과 그룹으로 자동으로 그룹화합니다. 위협 행위자는 일반적으로 여러 보안 조사 결과가 시간과 리소스에 분산되는 일련의 작업을 수행합니다. 따라서 조사 결과 그룹은 여러 엔터티 및 조사 결과와 관련된 조사의 시작점이어야 합니다. 또한 Detective는 결과 그룹을 자동으로 분석하고 자연어로 인사이트를 제공하여 보안 조사를 가속화하는 생성형 AI를 사용하여 결과 그룹 요약을 제공합니다.

Detective는와 통합됩니다 AWS Organizations. 조직 관리 계정은 멤버 계정을 Detective 관리자 계정으로 위임합니다. AWS SRA에서 이는 보안 도구 계정입니다. Detective 관리자 계정은 조직의 모든 현재 멤버 계정을 Detective 멤버 계정으로 자동으로 활성화하고 AWS 조직에 추가될 때 새 멤버 계정을 추가할 수 있습니다. 또한 Detective 관리자 계정은 현재 AWS 조직에 속하지 않지만 동일한 리전 내에 있는 멤버 계정을 초대하여 기본 계정의 동작 그래프에 데이터를 제공할 수 있습니다. 멤버 계정이 초대를 수락하고 활성화되면 Detective는 멤버 계정의 데이터를 수집하여 해당 동작 그래프로 추출하기 시작합니다.

AWS Audit Manager

AWS Audit Manager를 사용하면 AWS 사용량을 지속적으로 감사하여 감사 및 규정 및 업계 표준 준수를 관리하는 방법을 간소화할 수 있습니다. 이를 통해 증거를 수동으로 수집, 검토 및 관리하는 것에서 증거 수집을 자동화하고, 감사 증거의 출처를 추적하고, 공동 작업을 활성화하고, 증거 보안 및 무결성을 관리하는 데 도움이 되는 솔루션으로 이동할 수 있습니다. 감사 시기에 Audit Manager는 귀하의 컨트롤에 대한 이해 관계자들의 검토를 관리할 수 있습니다.

Audit Manager를 사용하면 인터넷 보안 센터(CIS) 벤치마크, CIS AWS 파운데이션 벤치마크, 시스템 및 조직 제어 2(SOC 2), 결제 카드 산업 데이터 보안 표준(PCI DSS)과 같은 사전 구축된 프레임워크에 대해 감사할 수 있습니다. 또한 내부 감사에 대한 특정 요구 사항에 따라 표준 또는 사용자 지정 제어를 사용하여 자체 프레임워크를 생성할 수 있는 기능도 제공합니다.

Audit Manager는 네 가지 유형의 증거를 수집합니다. AWS Config 및의 규정 준수 검사 증거 AWS Security Hub CSPM,의 관리 이벤트 증거 AWS CloudTrail, AWS service-to-service API 호출의 구성 증거 등 세 가지 유형의 증거가 자동화됩니다. 자동화할 수 없는 증거의 경우 Audit Manager를 사용하면 수동 증거를 업로드할 수 있습니다.

기본적으로 Audit Manager의 데이터는 AWS 관리형 키를 사용하여 암호화됩니다. AWS SRA는 암호화에 고객 관리형 키를 사용하여 논리적 액세스를 더 효과적으로 제어합니다. 또한 Audit Manager가 평가 보고서를 게시 AWS 리전 하는에서 S3 버킷을 구성해야 합니다. 이 버킷은 고객 관리형 키로 암호화되어야 하며 Audit Manager만 보고서를 게시할 수 있도록 구성된 버킷 정책이 있어야 합니다. 

Audit Manager 평가는 AWS 조직의 여러 계정에서 실행할 수 있습니다. Audit Manager는 증거를 수집하여의 위임된 관리자 계정으로 통합합니다 AWS Organizations. 이 감사 기능은 주로 규정 준수 및 내부 감사 팀에서 사용되며에 대한 읽기 액세스 권한만 필요합니다 AWS 계정.

AWS Artifact

AWS Artifact는 보안 도구 계정 내에서 호스팅되어 규정 준수 아티팩트 관리 기능을 AWS 조직 관리 계정과 분리합니다. 절대적으로 필요하지 않은 한 배포에 AWS 조직 관리 계정을 사용하지 않는 것이 좋습니다. 대신 멤버 계정에 배포를 전달합니다. 감사 아티팩트 관리는 멤버 계정에서 수행할 수 있고 함수는 보안 및 규정 준수 팀과 밀접하게 일치하므로 보안 도구 계정은 관리자 계정으로 지정됩니다 AWS Artifact. AWS Artifact 보고서를 사용하여 AWS ISO 인증, 결제 카드 산업(PCI), 시스템 및 조직 제어(SOC) 보고서와 같은 AWS 보안 및 규정 준수 문서를 다운로드할 수 있습니다.

AWS Artifact 는 위임된 관리 기능을 지원하지 않습니다. 대신이 기능을 감사 및 규정 준수 팀과 관련된 보안 도구 계정의 IAM 역할로만 제한하여 필요에 따라 외부 감사자에게 해당 보고서를 다운로드, 검토 및 제공할 수 있습니다. IAM 정책을 통해 특정 AWS Artifact 보고서에만 액세스할 수 있도록 특정 IAM 역할을 추가로 제한할 수 있습니다. 샘플 IAM 정책은 AWS Artifact 설명서를 참조하세요.

AWS KMS

AWS Key Management Service (AWS KMS)를 사용하면 암호화 키를 생성 및 관리하고 광범위한 및 애플리케이션에서 암호화 키의 AWS 서비스 사용을 제어할 수 있습니다. AWS KMS 는 하드웨어 보안 모듈을 사용하여 암호화 키를 보호하는 안전하고 복원력이 뛰어난 서비스입니다. 키의 저장, 교체 및 액세스 제어와 같은 키 구성 요소에 대한 업계 표준 수명 주기 프로세스를 따릅니다. AWS KMS 는 암호화 및 서명 키로 데이터를 보호하는 데 도움이 될 수 있으며 AWS 암호화 SDK를 통해 서버 측 암호화와 클라이언트 측 암호화 모두에 사용할 수 있습니다. 보호 및 유연성을 위해는 고객 관리형 키, AWS 관리형 키 및 AWS 소유 키의 세 가지 유형의 키를 AWS KMS 지원합니다. 고객 관리형 키는 AWS 계정 사용자가 생성, 소유 및 관리하는의 AWS KMS 키입니다. AWS 관리형 키는와 통합된 AWS KMS 에서 사용자를 대신하여 생성, 관리 및 사용하는 계정의 키 AWS 서비스 입니다 AWS KMS. AWS 소유 키는가 여러에서 사용하기 위해 AWS 서비스 소유하고 관리하는 AWS KMS 키 모음입니다 AWS 계정. AWS KMS 키 사용에 대한 자세한 내용은 AWS KMS 설명서 및 AWS KMS 암호화 세부 정보를 참조하세요.

한 가지 배포 옵션은 AWS KMS 키와 IAM 정책의 조합을 사용하여 애플리케이션 리소스별로 애플리케이션 계정의 키 사용 기능을 위임하면서 키 관리 책임을 단일 계정으로 중앙 집중화하는 것입니다. 이 접근 방식은 안전하고 관리하기 쉽지만 제한 제한, 계정 서비스 제한, 보안 팀이 운영 키 관리 작업으로 인해 장애물 AWS KMS 이 발생할 수 있습니다. 또 다른 배포 옵션은가 여러 계정에 상주 AWS KMS 할 수 있도록 허용하는 분산 모델을 보유하고 특정 계정의 인프라 및 워크로드를 담당하는 사용자가 자체 키를 관리할 수 있도록 허용하는 것입니다. 이 모델은 워크로드 팀에 암호화 키 사용에 대한 제어, 유연성 및 민첩성을 제공합니다. 또한 API 제한을 피하고 영향 범위를 하나로 AWS 계정 만 제한하며 보고, 감사 및 기타 규정 준수 관련 작업을 간소화하는 데 도움이 됩니다. 분산형 모델에서는 분산형 키가 동일한 방식으로 관리되고 키 사용이 AWS KMS 설정된 모범 사례 및 정책에 따라 감사되도록 가드레일을 배포하고 적용하는 것이 중요합니다. 자세한 내용은 백서 AWS Key Management Service 모범 사례를 참조하세요. AWS SRA는 키가 사용되는 계정 내에서 로컬로 상주하는 분산 AWS KMS 키 관리 모델을 권장합니다. 모든 암호화 함수에 대해 단일 계정에서 단일 키를 사용하지 않는 것이 좋습니다. 키는 함수 및 데이터 보호 요구 사항에 따라 생성할 수 있으며 최소 권한 원칙을 적용할 수 있습니다. 경우에 따라 암호화 권한은 복호화 권한과 별도로 유지되며 관리자는 수명 주기 함수를 관리하지만 자신이 관리하는 키로 데이터를 암호화하거나 복호화할 수 없습니다.

Security Tooling 계정에서는 조직에서 관리하는 AWS CloudTrail 조직 추적과 같은 중앙 집중식 보안 서비스의 암호화를 AWS 관리하는 데 AWS KMS 사용됩니다.

AWS Private CA

AWS Private Certificate Authority (AWS Private CA)는 EC2 인스턴스, 컨테이너, IoT 디바이스 및 온프레미스 리소스에 대한 프라이빗 최종 엔터티 TLS 인증서의 수명 주기를 안전하게 관리하는 데 도움이 되는 관리형 프라이빗 CA 서비스입니다. 이를 통해 실행 중인 애플리케이션에 대한 암호화된 TLS 통신을 허용합니다. 를 사용하면 자체 CA 계층 구조(루트 CA, 하위 CAs를 통해 최종 엔터티 인증서까지)를 생성하고 인증서를 발급하여 내부 사용자, 컴퓨터, 애플리케이션, 서비스, 서버 및 기타 디바이스를 인증하고 컴퓨터 코드에 서명할 AWS Private CA수 있습니다. 프라이빗 CA에서 발급한 인증서는 인터넷이 아닌 AWS 조직 내에서만 신뢰할 수 있습니다.

퍼블릭 키 인프라(PKI) 또는 보안 팀은 모든 PKI 인프라를 관리할 책임이 있습니다. 여기에는 프라이빗 CA의 관리 및 생성이 포함됩니다. 그러나 워크로드 팀이 인증서 요구 사항을 자체적으로 처리할 수 있도록 허용하는 프로비저닝이 있어야 합니다. AWS SRA는 루트 CA가 보안 도구 계정 내에서 호스팅되는 중앙 집중식 CA 계층 구조를 보여줍니다. 이렇게 하면 루트 CA가 전체 PKI의 기반이므로 보안 팀이 엄격한 보안 제어를 적용할 수 있습니다. 그러나 프라이빗 CA에서 프라이빗 인증서를 생성하는 것은 AWS Resource Access Manager ()를 사용하여 CA를 애플리케이션 계정에 공유함으로써 애플리케이션 개발 팀에 위임됩니다AWS RAM.는 교차 계정 공유에 필요한 권한을 AWS RAM 관리합니다. 이렇게 하면 모든 계정에서 프라이빗 CA가 필요하지 않으며 보다 비용 효율적인 배포 방법을 제공할 수 있습니다. 워크플로 및 구현에 대한 자세한 내용은 블로그 게시물 How to use AWS RAM to share your AWS Private CA cross-account를 참조하세요.

Amazon Inspector –

Amazon Inspector는 소스 코드 관리자 내에서 Amazon EC2 인스턴스, Amazon Elastic Container Registry(Amazon ECR)의 컨테이너 이미지, AWS Lambda 함수 및 코드 리포지토리를 자동으로 검색하고 스캔하여 알려진 소프트웨어 취약성 및 의도하지 않은 네트워크 노출을 확인하는 자동화된 취약성 관리 서비스입니다.

Amazon Inspector는 리소스를 변경할 때마다 리소스를 자동으로 스캔하여 리소스의 수명 주기 동안 환경을 지속적으로 평가합니다. 리소스 재스캔을 시작하는 이벤트에는 EC2 인스턴스에 새 패키지 설치, 패치 설치, 리소스에 영향을 미치는 새로운 일반적인 취약성 및 노출(CVE) 보고서 게시가 포함됩니다. Amazon Inspector는 EC2 인스턴스의 운영 체제에 대한 CIS(인터넷 보안 센터) 벤치마크 평가를 지원합니다.

Amazon Inspector는 컨테이너 이미지 평가를 위해 Jenkins 및 TeamCity와 같은 개발자 도구와 통합됩니다. 지속적 통합 및 지속적 전달(CI/CD) 도구 내에서 컨테이너 이미지에 소프트웨어 취약성이 있는지 평가하고 소프트웨어 개발 수명 주기의 이전 지점으로 보안을 푸시할 수 있습니다. CI/CD 도구의 대시보드에서 평가 결과를 사용할 수 있으므로 컨테이너 레지스트리에 대한 차단된 빌드 또는 이미지 푸시와 같은 중요한 보안 문제에 대응하여 자동화된 작업을 수행할 수 있습니다. 활성 상태인 경우 CI/CD 도구 마켓플레이스에서 Amazon Inspector 플러그인을 설치하고 Amazon Inspector 서비스를 활성화할 필요 없이 빌드 파이프라인에 Amazon Inspector 스캔을 추가할 AWS 계정수 있습니다. 이 기능은 온 AWS, 온프레미스 또는 하이브리드 클라우드에서 어디서나 호스팅되는 CI/CD 도구와 함께 작동하므로 모든 개발 파이프라인에서 단일 솔루션을 일관되게 사용할 수 있습니다. Amazon Inspector가 활성화되면 모든 EC2 인스턴스, Amazon ECR 및 CI/CD 도구의 컨테이너 이미지, 대규모 Lambda 함수를 자동으로 검색하고 알려진 취약성을 지속적으로 모니터링합니다.

Amazon Inspector의 네트워크 연결성 조사 결과는 가상 게이트웨이를 통해 인터넷 게이트웨이, VPC 피어링 연결 또는 가상 프라이빗 네트워크(VPNs)와 같은 VPC 엣지와 EC2 인스턴스 간 액세스 가능성을 평가합니다. 이러한 규칙은 AWS 네트워크 모니터링을 자동화하고 잘못 관리되는 보안 그룹, 액세스 제어 목록(ACLs), 인터넷 게이트웨이 등을 통해 EC2 인스턴스에 대한 네트워크 액세스가 잘못 구성될 수 있는 위치를 식별하는 데 도움이 됩니다. 자세한 내용은 Amazon Inspector 설명서를 참조하세요.

Amazon Inspector가 취약성 또는 열린 네트워크 경로를 식별하면 조사할 수 있는 결과가 생성됩니다. 결과에는 위험 점수, 영향을 받는 리소스, 문제 해결 권장 사항을 포함하여 취약성에 대한 포괄적인 세부 정보가 포함됩니다. 위험 점수는 환경에 맞게 특별히 조정되며up-to-date CVE 정보를 네트워크 접근성 및 악용성 정보와 같은 시간 및 환경 요인과 상호 연관시켜 컨텍스트 조사 결과를 제공함으로써 계산됩니다.

Amazon Inspector Code Security는 자사 애플리케이션 소스 코드, 타사 애플리케이션 종속성 및 코드형 인프라(IaC)에서 취약성을 검사합니다. 코드 보안을 활성화한 후 스캔 구성을 생성하여 코드 리포지토리에 적용하여 스캔할 빈도, 스캔 유형 및 리포지토리를 결정할 수 있습니다. 코드 보안은 정적 애플리케이션 보안 테스트(SAST), 소프트웨어 구성 분석(SCA) 및 IaC 스캔을 지원합니다. 빈도를 구성하려면 온디맨드, 코드 변경 또는 주기적으로 스캔을 정의할 수 있습니다. 코드 스캔은 코드 스니펫을 캡처하여 탐지된 취약성을 강조 표시합니다. 코드 조각은 KMS 키로 암호화된 상태로 저장됩니다. 조직의 위임된 관리자는 멤버 계정에 속한 코드 조각을 볼 수 없습니다. 소스 코드 관리자(SCMs 코드 보안과 통합하면 Amazon Inspector 콘솔에 모든 코드 리포지토리가 프로젝트로 나열됩니다. 코드 보안은 각 리포지토리의 기본 브랜치만 모니터링합니다. Amazon Inspector는 개발자가 작업하는 곳에서 직접 특정 코드 수정 권장 사항을 제공하여 보안 문제 해결을 간소화합니다. SCM과의 양방향 통합은 중요하고 높은 조사 결과에 대한 풀 요청(PRs) 및 병합 요청(MRs) 내의 설명으로 수정 사항을 자동으로 제안하고 개발자에게 워크플로를 중단하지 않고 해결해야 할 가장 중요한 취약성을 알립니다. 

취약성을 검사하려면 AWS Systems Manager 에이전트(SSMAgent)를 사용하여 EC2 인스턴스 AWS Systems Manager를 관리해야 합니다.  Amazon ECR 또는 Lambda 함수에서 EC2 인스턴스의 네트워크 연결성 또는 컨테이너 이미지의 취약성 스캔에 에이전트가 필요하지 않습니다.

Amazon Inspector는와 통합 AWS Organizations 되며 위임된 관리를 지원합니다. SRA에서 AWS 보안 도구 계정은 Amazon Inspector의 위임된 관리자 계정이 됩니다. Amazon Inspector 위임된 관리자 계정은 조사 결과 데이터와 AWS 조직 구성원에 대한 특정 설정을 관리할 수 있습니다. 여기에는 모든 멤버 계정에 대해 집계된 조사 결과의 세부 정보 보기, 멤버 계정에 대한 스캔 활성화 또는 비활성화, AWS 조직 내에서 스캔한 리소스 검토가 포함됩니다.

AWS 보안 인시던트 대응

AWS 보안 인시던트 대응는 환경에서 AWS 보안 인시던트를 준비하고 대응하는 데 도움이 되는 서비스입니다. 조사 결과를 분류하고 보안 이벤트를 에스컬레이션합니다. 및는 즉각적인 주의가 필요한 사례를 관리합니다. 또한 고객 인시던트 대응 팀(CIRT)에 AWS 액세스할 수 있습니다. 영향을 받는 리소스를 조사하는 . AWS 보안 인시던트 대응 는 문서(SSM 문서)를 통해 AWS Systems Manager 자동화된 응답 및 문제 해결 기능도 제공합니다. 이를 통해 보안 팀이 대응하고 복구할 수 있습니다. 보안 인시던트는 보다 효율적으로. AWS 보안 인시던트 대응 Amazon GuardDuty 및와 통합되어 AWS Security Hub CSPM 보안 조사 결과를 수신하고 자동화된 응답을 오케스트레이션합니다.

AWS SRA에서 AWS 보안 인시던트 대응 는 Security Tooling 계정에 위임된 관리자 계정으로 배포됩니다. 보안 도구 계정은 보안 서비스를 운영하고 보안 알림 및 응답을 자동화하는 계정의 목적에 부합하기 때문에 선택됩니다. 또한 Security Tooling 계정은 Security Hub CSPM 및 GuardDuty의 위임된 관리자 계정 역할을 합니다.이 계정은 워크플로 관리를 간소화하는 AWS 보안 인시던트 대응데 도움이 됩니다. AWS 보안 인시던트 대응 는 작업하도록 구성되어 AWS Organizations있으므로 Security Tooling 계정에서 조직의 계정 전체에서 인시던트 응답을 관리할 수 있습니다.

AWS 보안 인시던트 대응 는 인시던트 대응 수명 주기의 다음 단계를 구현하는 데 도움이 됩니다.

AWS 보안 인시던트 대응 를 사용하여 자체 관리형 사례를 생성할 수도 AWS 보안 인시던트 대응 있습니다.는 계정 또는 리소스에 영향을 미칠 수 있는 사항을 알고 있거나 조치를 취해야 할 때 아웃바운드 알림 또는 사례를 생성할 수 있습니다. 이 기능은 구독의 일부로 사전 대응 및 알림 분류 워크플로를 활성화한 경우에만 사용할 수 있습니다.

모든 내에 공통 보안 서비스 배포 AWS 계정

이 참조의 앞부분에 있는 조직 전체에 AWS 보안 서비스 적용 섹션에서는를 보호하는 보안 서비스를 강조 AWS 계정표시했으며 이러한 서비스 중 다수를 내부에서 구성하고 관리할 수도 있다는 점에 유의했습니다 AWS Organizations. 이러한 서비스 중 일부는 모든 계정에 배포되어야 하며 AWS SRA에 표시됩니다. 이를 통해 일관된 가드레일 세트를 활성화하고 AWS 조직 전체에서 중앙 집중식 모니터링, 관리 및 거버넌스를 제공할 수 있습니다.

Security Hub CSPM, GuardDuty AWS Config, IAM Access Analyzer 및 CloudTrail 조직 추적은 모든 계정에 표시됩니다. 처음 3개는 앞서 관리 계정, 신뢰할 수 있는 액세스 및 위임된 관리자 섹션에서 설명한 위임된 관리자 기능을 지원합니다. CloudTrail은 현재 다른 집계 메커니즘을 사용합니다.

AWS SRA GitHub 코드 리포지토리는 AWS 조직 관리 계정을 포함한 모든 계정에서 Security Hub CSPM AWS Config, GuardDuty AWS Firewall Manager및 CloudTrail 조직 추적을 활성화하는 샘플 구현을 제공합니다.