기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

무단 액세스 및 데이터 유출 방지

2022 Cost of a Data Breach Report(Ponemon Institute 보고서)에 따르면 2022년 데이터 침해로 인해 발생한 평균 비용은 430만 USD였습니다. 반도체 회사의 경우 지적 재산(IP)을 보호하는 것이 중요합니다. 무단 액세스로 인해 IP가 손실되면 재정적 손실, 평판 손상 또는 규제 결과가 발생할 수 있습니다. 이러한 잠재적 결과로 인해 잘 설계된 설계의 중요한 데이터 측면과 데이터에 대한 액세스를 제어할 수 있습니다.

데이터 보안을 위한 주요 고려 사항은 다음과 같습니다.

권한 구성

AWS Identity and Access Management (IAM)는 AWS 리소스에 대한 액세스를 인증하고 사용할 수 있는 권한을 부여받은 사용자를 제어하여 리소스에 대한 액세스를 안전하게 관리하는 데 도움이 됩니다. 기본적으로 AWS 의 모든 작업은 명시적으로 허용되지 않는 한 묵시적으로 거부됩니다. 정책을 생성하여 AWS 에서 액세스를 관리합니다. 정책을 사용하여 세분화된 수준에서 사용자가 액세스할 수 있는 리소스와 해당 리소스에 대해 수행할 수 있는 작업을 정의할 수 있습니다. AWS 가장 좋은 방법은 최소 권한 권한을 적용하는 것입니다. 즉, 사용자에게 작업을 수행하는 데 필요한 권한만 부여하는 것입니다. 자세한 내용은 IAM 설명서에서 다음을 참조하세요.

사용자 인증

인간 사용자가 자격 증명 공급자와의 페더레이션을 사용하여 임시 자격 증명을 사용하여 AWS 에 액세스하도록 요구하는 것이 AWS 모범 사례입니다. 사용자 인력 액세스를 중앙 집중화하는 데 권장되는 서비스는 AWS IAM Identity Center입니다. 이 서비스를 사용하면 직원 자격 증명을 안전하게 생성 또는 연결하고 AWS 계정 및 애플리케이션에서 액세스를 중앙에서 관리할 수 있습니다. IAM Identity Center는 원활한 통합 및 사용자 관리를 제공하기 위해 SAML 2.0, Open ID Connect(OIDC) 또는 OAuth 2.0을 사용하여 외부 ID 제공업체(idP)와 페더레이션할 수 있습니다. 자세한 내용은 (AWS 마케팅)의 자격 증명 페더레이션 AWS 및 자격 증명 공급자 및 페더레이션(IAM 설명서)을 참조하세요.

AWS Directory Service를 사용하여 Active Directory와 같은 디렉터리에 정의된 사용자 및 그룹을 관리해 사용자를 인증하고 권한을 부여할 수도 있습니다. 보안 개발 환경 내에서 Linux 파일 권한을 사용하여 가상 프라이빗 클라우드(VPC) 내의 데이터 액세스를 승인하고 제한할 수 있습니다. VPC 엔드포인트를 사용하여 퍼블릭 인터넷을 통과 AWS 서비스 하지 않고에 대한 액세스를 제공합니다. 엔드포인트 정책을 사용하여 엔드포인트를 사용할 수 있는 보안 AWS 주체를 제한하고 자격 증명 기반 정책을 사용하여 액세스를 제한합니다 AWS 서비스.

데이터 전송

AWS 는 온프레미스 데이터를 클라우드로 마이그레이션하는 몇 가지 방법을 제공합니다. 처음에는 Amazon Simple Storage Service(Amazon S3)에 데이터를 저장하는 것이 일반적입니다. Amazon S3는 원하는 양의 데이터를 저장, 보호 및 검색하는 데 도움이 되는 클라우드 기반 객체 스토리지 서비스입니다. Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서 데이터를 송수신하는 경우 최대 25Gbps의 대역폭을 제공합니다. 또한 교차 리전 데이터 복제 및 데이터 계층화를 제공합니다. Amazon S3에 저장된 데이터는 복제 소스 역할을 할 수 있습니다. 이를 사용하여 새 파일 시스템을 생성하거나 EC2 인스턴스로 데이터를 전송할 수 있습니다. Amazon S3를 반도체 도구 및 흐름을 위한 AWS 관리형 포터블 운영 체제 인터페이스(POSIX) 호환 파일 시스템의 백엔드로 사용할 수 있습니다.

또 다른 AWS 스토리지 서비스는 업계 표준 연결 프로토콜을 지원하고에서 고가용성 및 복제를 제공하는 파일 시스템을 제공하는 Amazon FSx입니다 AWS 리전. 반도체 산업의 일반적인 선택 사항으로, Amazon FSx for NetApp ONTAP, Amazon FSx for Lustre, Amazon FSx for OpenZFS가 포함됩니다. Amazon FSx의 확장 가능한 고성능 파일 시스템은 보안 개발 환경 내부에 로컬로 데이터를 저장하는 데 매우 적합합니다.

AWS 에서는 먼저에서 AWS 반도체 워크로드의 스토리지 요구 사항을 정의한 다음를 사용하여 온프레미스에서 로 데이터를 AWS DataSync 전송하는 적절한 데이터 전송 메커니즘 AWS 을 식별할 것을 권장합니다 AWS. DataSync는 파일 또는 객체 데이터를 AWS 스토리지 서비스 간에 또는 해당 서비스에서 송수신하는 데 도움이 되는 온라인 데이터 전송 및 검색 서비스입니다. 자체 관리형 스토리지 시스템을 사용하는지 또는 NetApp과 같은 스토리지 공급자를 사용하는지에 따라 인터넷을 통해 또는 AWS Direct Connect를 통해 안전한 개발 환경으로 데이터를 빠르게 이동하고 복제하도록 DataSync를 구성할 수 있습니다. DataSync는 소유권, 타임스탬프, 액세스 권한과 같은 파일 시스템 데이터 및 메타데이터를 전송할 수 있습니다. FSx for ONTAP과 NetApp ONTAP 간에 파일을 전송하는 경우 NetApp SnapMirror를 사용하는 AWS 것이 좋습니다. Amazon FSx는 저장 및 전송 중 암호화를 지원합니다. AWS CloudTrail 및 기타 서비스별 로깅 기능을 사용하여 모든 API 직접 호출 및 관련 데이터 전송을 로깅합니다. 전용 계정의 로그를 중앙 집중화하고 변경 불가능한 기록에 대해 세분화된 액세스 정책을 적용합니다.

AWS 는 , AWS Network Firewall Amazon Route 53 Resolver DNS 방화벽, 및 웹 프록시AWS WAF와 같은 애플리케이션 인식 네트워크 방화벽을 포함하여 데이터 흐름을 제어하는 데 도움이 되는 추가 서비스를 제공합니다. Amazon Virtual Private Cloud(Amazon VPC)의 보안 그룹, 네트워크 액세스 제어 목록 및 Amazon Virtual Private Cloud(Amazon VPC)의 VPC 엔드포인트, 네트워크 방화벽, 전송 게이트웨이 라우팅 테이블 및 AWS Organizations의 서비스 제어 정책(SCP을 사용해 네트워크 세분화를 적용하여 환경 내에서 데이터 흐름을 제어합니다. VPC 흐름 로그와 VPC 흐름 로그 버전 2~5의 사용 가능한 필드를 사용하여 모든 네트워크 트래픽을 중앙에서 로깅합니다.

데이터 암호화

AWS Key Management Service (AWS KMS) 고객 관리형 키 또는 AWS CloudHSM을 사용하여 저장된 모든 데이터를 암호화합니다. 세분화된 키 리소스 정책을 생성하고 유지 관리합니다. 자세한 내용은 Creating an enterprise encryption strategy for data at rest를 참조하세요.

업계 표준 256비트 고급 암호화 표준(AES-256) 암호로 최소 TLS 1.2를 적용하여 전송 중 데이터를 암호화합니다.

아웃바운드 네트워크 트래픽 관리

보안 개발 환경에 인터넷 액세스가 필요한 경우 모든 아웃바운드 인터넷 트래픽은 오픈 소스 프록시인 Network Firewall 또는 Squid와 같은 네트워크 수준 적용 지점을 통해 로깅되고 제한되어야 합니다. VPC 엔드포인트와 인터넷 프록시는 사용자의 무단 데이터 유출을 방지하는 데 도움이 됩니다. 이는 보안 개발 환경 내에서 그리고 VPC 내에서만 데이터에 대한 액세스를 허용하는 데 중요합니다.

마지막으로 Amazon VPC의 기능인 Network Access Analyzer를 사용하여 네트워크 세분화 검증을 수행하고 지정된 요구 사항을 충족하지 않는 잠재적 네트워크 경로를 식별할 수 있습니다.

보안 제어를 계층화하면 강력한 데이터 경계를 설정하고 적용할 수 있습니다. 자세한 내용은 데이터 경계 구축을 참조하세요 AWS.