기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
클라우드 팀 예제: VPC 구성 변경
클라우드 팀은 사용 사례에 적합하지 않을 수 있는 AWS 기본 설정 변경과 같은 일반적인 추세가 있는 보안 조사 결과를 분류하고 수정할 책임이 있습니다. 이러한 결과는 VPC 구성과 같은 많은 AWS 계정 또는 리소스에 영향을 미치는 경향이 있거나 전체 환경에 적용해야 하는 제한을 포함합니다. 대부분의 경우 클라우드 팀은 정책 추가 또는 업데이트와 같은 일회성 수동 변경을 수행합니다.
조직에서 환경을 AWS 사용한 후 개발 중인 안티 패턴 세트를 찾을 수 있습니다. 안티 패턴은 솔루션이 대체 솔루션보다 역생산적이거나 비효율적이거나 덜 효과적인 반복적인 문제에 자주 사용되는 솔루션입니다. 이러한 안티 패턴의 대안으로 조직은 AWS Organizations 서비스 제어 정책(SCPs) 또는 IAM Identity Center 권한 세트와 같이 보다 효과적인 환경 전반의 제한을 사용할 수 있습니다. SCPs 및 권한 세트는 사용자가 퍼블릭 Amazon Simple Storage Service(Amazon S3) 버킷을 구성하지 못하도록 하는 등 리소스 유형에 대한 추가 제한을 제공할 수 있습니다. 가능한 모든 보안 구성을 제한하려는 유혹이 있을 수 있지만 SCPs 및 권한 세트에 대한 정책 크기 제한이 있습니다. 예방 및 탐지 제어에 균형 잡힌 접근 방식을 사용하는 것이 좋습니다.
다음은 클라우드 팀이 담당할 수 있는 AWS Security Hub 기본 보안 모범 사례(FSBP) 표준의 몇 가지 제어입니다.
이 예에서 클라우드 팀은 FSBP 제어 EC2.2에 대한 조사 결과를 처리하고 있습니다. 이 제어에 대한 설명서에서는 기본 인바운드 및 아웃바운드 규칙을 통해 광범위한 액세스를 허용하므로 기본 보안 그룹을 사용하지 않는 것이 좋습니다. 기본 보안 그룹은 삭제할 수 없으므로 인바운드 및 아웃바운드 트래픽을 제한하도록 규칙 설정을 변경하는 것이 좋습니다. 이 문제를 효율적으로 해결하려면 클라우드 팀이 설정된 메커니즘을 사용하여 모든 VPCs에 대한 보안 그룹 규칙을 수정해야 합니다. 각 VPC에는이 기본 보안 그룹이 있기 때문입니다. 대부분의 경우 클라우드 팀은 사용자 AWS Control Tower 지정 또는 HashiCorp Terraform
