# 보안
**Topics**
+ [
# 보안 기초
](a-sec-security.md)
+ [
# 자격 증명 및 액세스 관리
](a-identity-and-access-management.md)
+ [
# 탐지
](a-detective-controls.md)
+ [
# 인프라 보호
](a-infrastructure-protection.md)
+ [
# 데이터 보호
](a-data-protection.md)
+ [
# 사고 대응
](a-incident-response.md)
# 보안 기초
**Topics**
+ [
# SEC 1 워크로드를 안전하게 운영하려면 어떻게 해야 합니까?
](w2aac19b7b5b5.md)
# SEC 1 워크로드를 안전하게 운영하려면 어떻게 해야 합니까?
워크로드를 안전하게 운영하려면 모든 보안 영역에 포괄적 모범 사례를 적용해야 합니다. 조직 및 워크로드 수준에서 운영 우수성에 정의된 요구 사항과 프로세스를 가져와 모든 영역에 적용합니다. AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됩니다. 보안 프로세스, 테스트 및 검증을 자동화함으로써 보안 작업을 확장할 수 있습니다.
**Topics**
+ [
# SEC01-BP01 계정을 사용하여 워크로드 분리
](sec_securely_operate_multi_accounts.md)
+ [
# SEC01-BP02 AWS 계정 보안
](sec_securely_operate_aws_account.md)
+ [
# SEC01-BP03 제어 목표 파악 및 검증
](sec_securely_operate_control_objectives.md)
+ [
# SEC01-BP04 최신 보안 위협 정보 파악
](sec_securely_operate_updated_threats.md)
+ [
# SEC01-BP05 최신 보안 권장 사항 파악
](sec_securely_operate_updated_recommendations.md)
+ [
# SEC01-BP06 파이프라인에서 보안 제어의 테스트 및 검증 자동화
](sec_securely_operate_test_validate_pipeline.md)
+ [
# SEC01-BP07 보안 위협 모델을 사용하여 위험 파악 및 우선순위 지정
](sec_securely_operate_threat_model.md)
+ [
# SEC01-BP08 새로운 보안 서비스 및 기능을 정기적으로 평가 및 구현
](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 계정을 사용하여 워크로드 분리
워크로드가 증가함에 따라 조직에서 공통 가드레일을 설정할 수 있도록 보안 및 인프라를 염두에 두고 시작해야 합니다. 그러면 여러 워크로드 사이에 경계를 정해 제어할 수 있습니다. 프로덕션 환경을 개발 및 테스트 환경과 격리하거나 외부 규정 준수 요구 사항(예: PCI-DSS 또는 HIPAA)에 정의된 대로 서로 다른 민감도 수준의 데이터를 처리하는 워크로드와 그렇지 않은 워크로드 간에 강력한 논리적 경계를 표시하려는 경우에는 계정 수준의 분리를 권장합니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ AWS Organizations 사용: AWS Organizations를 사용하여 여러 AWS 계정을 정책 기반으로 관리하는 방식을 중앙 집중식으로 적용합니다.
+ [AWS Organizations 시작하기 ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [AWS Organization의 여러 계정에서 서비스 제어 정책을 사용해 권한 가드레일을 설정하는 방법 ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ AWS Control Tower 고려: AWS Control Tower는 모범 사례를 기반으로 안전하고 새로운 다중 계정 AWS 환경을 설정하고 관리할 수 있는 간편한 방법을 제공합니다.
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
## 리소스
**관련 문서:**
+ [IAM 모범 사례 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+ [보안 공지](https://aws.amazon.com/security/security-bulletins)
+ [AWS 보안 감사 지침](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)
**관련 동영상:**
+ [AWS Organizations를 사용하여 다중 계정 AWS 환경 관리 ](https://youtu.be/fxo67UeeN1A)
+ [Well-Architected 방식의 보안 모범 사례 ](https://youtu.be/u6BCVkXkPnM)
+ [AWS Control Tower를 사용하여 다중 계정 AWS 환경 제어 ](https://youtu.be/2t-VkWt0rKk)
# SEC01-BP02 AWS 계정 보안
AWS 계정을 보호하는 데는 [루트 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)를 사용하지 않고 보안을 확보하는 등 여러 가지 측면이 있습니다. 전용 인프라에서 [AWS Organizations](https://aws.amazon.com/organizations/) 를 사용하면 AWS에서 워크로드가 증가하고 이를 확장함에 따라 계정을 중앙에서 관리할 수 있습니다. AWS Organizations는 계정을 관리하고 제어를 설정하며 여러 계정에 걸쳐 서비스를 구성하는 데 도움을 줍니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ AWS Organizations 사용: AWS Organizations를 사용하여 여러 AWS 계정을 정책 기반으로 관리하는 방식을 중앙 집중식으로 적용합니다.
+ [AWS Organizations 시작하기](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [AWS Organization의 여러 계정에서 서비스 제어 정책을 사용해 권한 가드레일을 설정하는 방법 ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ AWS 루트 사용자의 사용 제한: 루트 사용자가 꼭 필요한 태스크를 수행할 때만 루트 사용자를 사용합니다.
+ [AWS 계정 루트 사용자 보안 인증 정보가 필요한 AWS 작업 ](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+ 루트 사용자에 다중 인증(MFA) 사용: AWS Organizations가 루트 사용자를 관리하지 않는 경우 AWS 계정 루트 사용자에 MFA를 사용합니다.
+ [루트 사용자 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+ 주기적으로 루트 사용자 암호 변경: 루트 사용자 암호를 변경하면 저장된 암호가 사용될 위험이 줄어듭니다. AWS Organizations를 사용하지 않고 누구나 물리적으로 액세스할 수 있는 경우 이는 특히 중요합니다.
+ [AWS 계정 루트 사용자 암호 변경 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+ AWS 계정 루트 사용자를 사용할 때 알림 사용: 알림을 자동으로 받으면 위험이 줄어듭니다.
+ [AWS 계정의 루트 액세스 키가 사용될 때 알림을 받는 방법 ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ 새로 추가된 리전에 액세스 제한: 새 AWS 리전의 경우 사용자 및 역할과 같은 IAM 리소스는 활성화된 리전으로만 전파됩니다.
+ [ 이후에 사용할 AWS 리전에 계정을 활성화하는 권한 설정 ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+ AWS CloudFormation StackSets 고려: CloudFormation StackSets를 사용하여 IAM 정책, 역할 및 그룹을 포함한 리소스를 승인된 템플릿에서 다양한 AWS 계정과 리전에 배포할 수 있습니다.
+ [ CloudFormation StackSets 사용 ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)
## 리소스
**관련 문서:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS 보안 감사 지침 ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ IAM 모범 사례 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [보안 공지 ](https://aws.amazon.com/security/security-bulletins/)
**관련 동영상:**
+ [ 자동화 및 거버넌스를 통해 대규모 AWS 도입 지원 ](https://youtu.be/GUMSgdB-l6s)
+ [ Well-Architected 방식의 보안 모범 사례 ](https://youtu.be/u6BCVkXkPnM)
**관련 예시:**
+ [ 실습: AWS 계정 및 루트 사용자 ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP03 제어 목표 파악 및 검증
위협 모델에서 식별된 규정 준수 요구 사항 및 위험을 기준으로, 워크로드에 적용해야 하는 제어 목표와 제어 항목을 도출하고 검증합니다. 제어 목표 및 제어에 대한 지속적인 검증은 위험 완화의 효과를 측정하는 데 도움이 됩니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ 규정 준수 요구 사항 파악: 워크로드가 준수해야 하는 조직/법적/규정 준수 요구 사항을 파악합니다.
+ AWS 규정 준수 리소스 파악: 규정 준수를 지원하기 위해 AWS에서 제공하는 리소스를 파악합니다.
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## 리소스
**관련 문서:**
+ [AWS 보안 감사 지침](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ 보안 공지](https://aws.amazon.com/security/security-bulletins/)
**관련 동영상:**
+ [AWS Security Hub CSPM: 보안 알림 관리 및 규정 준수 자동화](https://youtu.be/HsWtPG_rTak)
+ [Well-Architected 방식의 보안 모범 사례](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 최신 보안 위협 정보 파악
적절한 제어 수단을 정의하고 구현하는 데 도움이 되도록 최신 보안 위협 정보를 바탕으로 공격 벡터를 파악합니다. AWS Managed Services를 사용하면 AWS 계정에서 예기치 않거나 일반적이지 않은 동작에 대한 알림을 더 쉽게 받을 수 있습니다. 보안 정보 흐름의 일부로 AWS 파트너 도구 또는 서드 파티 위협 정보 피드를 사용하여 조사합니다. 이 [일반적인 취약점 및 노출(CVE) 목록 ](https://cve.mitre.org/) 에는 최신 정보를 얻기 위해 사용할 수 있는 공개된 사이버 보안 취약점이 수록되어 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ 위협 정보 출처 구독: 워크로드에 사용된 기술과 관련이 있는 여러 출처의 위협 정보를 정기적으로 검토합니다.
+ [일반적인 취약점 및 노출 목록 ](https://cve.mitre.org/)
+ 실시간으로 워크로드를 모니터링하고, 보안 문제를 식별하고, 근본 원인 분석 및 수정을 신속하게 처리할 수 있도록 [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) 서비스: 인터넷을 통해 워크로드에 액세스할 수 있는 경우 인텔리전스 소스에 대한 실시간에 가까운 가시성을 제공합니다.
## 리소스
**관련 문서:**
+ [AWS 보안 감사 지침](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ 보안 공지](https://aws.amazon.com/security/security-bulletins/)
**관련 동영상:**
+ [Well-Architected 방식의 보안 모범 사례 ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 최신 보안 권장 사항 파악
워크로드의 보안 태세를 강화하기 위해 최신 AWS 및 업계 보안 권장 사항을 모두 파악합니다. [AWS 보안 공지](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) 에는 보안 및 개인정보 알림에 대한 중요한 정보가 포함되어 있습니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ AWS 업데이트 팔로우: 새로운 권장 사항, 팁 및 요령을 구독하거나 정기적으로 확인합니다.
+ [AWS Well-Architected 실습](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [AWS 보안 블로그](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [AWS 서비스 설명서](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ 업계 뉴스 구독: 워크로드에 사용된 기술과 관련이 있는 여러 출처의 뉴스 피드를 정기적으로 검토합니다.
+ [예시: 일반적인 취약점 및 노출 목록](https://cve.mitre.org/cve/?ref=wellarchitected)
## 리소스
**관련 문서:**
+ [보안 공지](https://aws.amazon.com/security/security-bulletins/)
**관련 동영상:**
+ [Well-Architected 방식의 보안 모범 사례](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 파이프라인에서 보안 제어의 테스트 및 검증 자동화
빌드, 파이프라인 및 프로세스의 일부로서 테스트 및 검증되는 보안 메커니즘에 대한 보안 기준과 템플릿을 설정합니다. 도구와 자동화를 사용하여 모든 보안 제어를 지속적으로 테스트하고 검증합니다. 예를 들어 시스템 이미지와 인프라 같은 항목을 코드 템플릿으로 삼아 단계마다 설정된 기준에 따라 보안 취약성, 불규칙성, 드리프트를 검사합니다. AWS CloudFormation Guard는 CloudFormation 템플릿이 안전하고 시간을 절약해 주며 구성 오류의 위험을 줄여주는지 확인하는 데 도움이 됩니다.
프로덕션 환경에 적용되는 잘못된 보안 구성의 수를 줄여야 하므로, 빌드 프로세스에서 품질 관리와 결함 감소 과정을 많이 수행할수록 좋습니다. 가능한 경우 항상 보안 문제를 테스트하도록 지속적 통합 및 지속적 배포(CI/CD) 파이프라인을 설계합니다. CI/CD 파이프라인은 빌드 및 전달의 각 단계에서 보안을 강화할 기회를 제공합니다. 새로운 위협을 완화하기 위해 CI/CD 보안 도구도 업데이트해야 합니다.
워크로드 구성의 변경 사항을 추적하여 규정 준수 감사, 관리 변경, 적용 가능한 조사에 도움을 받습니다. AWS Config를 사용하여 AWS 및 서드 파티 리소스를 기록하고 평가할 수 있습니다. 이를 통해 전체적인 규정 준수를 규칙 및 규정 준수 팩(해결 조치가 포함된 규칙의 모음)으로 지속적으로 감사 및 평가할 수 있습니다.
변경 추적에는 조직의 변화 제어 프로세스에 포함된 정기적 변경 사항(MACD - 이동/추가/변경/삭제라고도 함), 계획하지 않은 변경 사항 또는 사고 등 예기치 않은 변경 사항도 포함됩니다. 인프라에서 변경이 이루어지기도 하지만 코드 리포지토리 변경, 머신 이미지 및 애플리케이션 인벤토리 변경, 프로세스 및 정책 변경 또는 문서 변경 등 다른 카테고리와 관련된 경우도 있을 수 있습니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
+ 구성 관리 자동화: 구성 관리 서비스 또는 도구를 사용하여 보안 구성을 자동으로 적용하고 확보합니다.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS에서 CI/CD 파이프라인 설정 ](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## 리소스
**관련 문서:**
+ [AWS Organization의 여러 계정에서 서비스 제어 정책을 사용해 권한 가드레일을 설정하는 방법](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**관련 동영상:**
+ [AWS Organizations를 사용하여 다중 계정 AWS 환경 관리](https://youtu.be/fxo67UeeN1A)
+ [Well-Architected 방식의 보안 모범 사례](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 보안 위협 모델을 사용하여 위험 파악 및 우선순위 지정
보안 위협 모델을 사용하여 가장 최근에 등록된 잠재적 위협을 파악하고 유지 관리합니다. 위협 우선순위를 지정하고 보안 제어를 조정하여 방지하고, 탐지하고, 대응합니다. 진화하는 보안 환경에 맞춰 위협 모델을 재검토하고 유지 관리합니다.
위협 모델링은 설계 프로세스의 초기에 보안 문제를 찾아 해결하는 데 도움을 주는 체계적인 접근법을 제공합니다. 수명 주기의 나중보다 초기에 완화하면 비용이 더 적게 들기 때문에 초기에 보안 문제를 해결하는 것이 더 좋습니다.
위협 모델링 프로세스의 일반적인 핵심 단계는
1. 자산, 행위자, 진입점, 구성 요소, 사용 사례, 신뢰 수준을 찾아 설계 다이어그램에 포함하는 것입니다.
1. 위협의 목록을 파악합니다.
1. 각 위협에 대해 완화 방법을 찾습니다. 여기에 보안 제어 구현이 포함될 수 있습니다.
1. 위협이 적절히 완화되었는지 판단하는 위험 매트릭스를 생성하여 검토합니다.
위협 모델링은 워크로드(또는 워크로드 기능) 수준에서 수행하여 모든 컨텍스트를 평가 가능하도록 해야 가장 효과적입니다. 보안 환경이 변화하면 이 매트릭스를 다시 확인하고 유지 관리합니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
+ 위협 모델 생성: 보안 위협 모델을 생성하여 잠재적인 보안 위협을 파악하고 해결합니다.
+ [NIST: 데이터 중심 시스템 위협 모델링을 위한 가이드 ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)
## 리소스
**관련 문서:**
+ [AWS 보안 감사 지침 ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [보안 공지 ](https://aws.amazon.com/security/security-bulletins/)
**관련 동영상:**
+ [Well-Architected 방식의 보안 모범 사례](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP08 새로운 보안 서비스 및 기능을 정기적으로 평가 및 구현
워크로드의 보안 상태를 개선할 수 있는 AWS 및 AWS 파트너의 보안 서비스와 기능을 평가하고 구현합니다. AWS 보안 블로그에서는 새로운 AWS 서비스 및 기능, 구현 가이드, 일반적인 보안 가이드를 강조합니다. [AWS의 새로운 소식은](https://aws.amazon.com/new) 모든 신규 AWS 기능, 서비스, 공지 사항을 파악하는 유용한 방법입니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
+ 일반 검토 계획: 규정 준수 요구 사항, 새 AWS 보안 기능/서비스 평가, 업계 최신 소식 확인 등의 검토 활동 일정을 생성합니다.
+ AWS 서비스 및 기능 발견: 사용 중인 서비스에 적용 가능한 보안 기능을 검색하고 새로 릴리스되는 기능을 검토합니다.
+ [AWS 보안 블로그](https://aws.amazon.com/blogs/security/)
+ [AWS 보안 공지 ](https://aws.amazon.com/security/security-bulletins/)
+ [AWS 서비스 설명서 ](https://aws.amazon.com/documentation/)
+ AWS 서비스 온보딩 프로세스 정의: 새로운 AWS 서비스를 온보딩하는 프로세스를 정의합니다. 이 과정에서 새 AWS 서비스의 기능과 워크로드의 규정 준수 요구 사항을 평가할 방법도 정의합니다.
+ 신규 서비스 및 기능 테스트: 프로덕션 환경을 거의 동일하게 복제한 비프로덕션 환경에서, 새로 릴리스하는 서비스 및 기능을 테스트합니다.
+ 다른 방어 메커니즘 구현: 워크로드를 방어하기 위한 자동화된 메커니즘을 구현하고 사용 가능한 옵션을 살펴봅니다.
+ [AWS Config 규칙에 따른 규정 미준수 AWS 리소스 문제 해결 ](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## 리소스
**관련 동영상:**
+ [Well-Architected 방식의 보안 모범 사례 ](https://youtu.be/u6BCVkXkPnM)
# 자격 증명 및 액세스 관리
**Topics**
+ [
# SEC 2 사람과 시스템에 대한 인증은 어떻게 관리합니까?
](w2aac19b7b7b5.md)
+ [
# SEC 3 사람과 시스템에 대한 권한은 어떻게 관리합니까?
](w2aac19b7b7b7.md)
# SEC 2 사람과 시스템에 대한 인증은 어떻게 관리합니까?
안전한 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 액세스 권한을 관리하고 부여하는 데 필요한 자격 증명의 유형을 이해하면 적절한 자격 증명이 적절한 조건에서 적절한 리소스에 액세스할 수 있도록 보장할 수 있습니다.
인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경과 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 구성원이거나 협업하는 외부 사용자로, 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구를 통해 AWS 리소스와 상호작용합니다.
시스템 자격 증명: 서비스 애플리케이션, 운영 도구 및 워크로드에서 AWS 서비스에 요청하려면(예: 데이터 읽기) 자격 증명이 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같이 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 자격 증명을 관리할 수도 있습니다. 또한 AWS 환경에 액세스해야 하는 시스템이 AWS 외부에 있을 수도 있습니다.
**Topics**
+ [
# SEC02-BP01 강력한 로그인 메커니즘 사용
](sec_identities_enforce_mechanisms.md)
+ [
# SEC02-BP02 임시 보안 인증 정보 사용
](sec_identities_unique.md)
+ [
# SEC02-BP03 안전하게 보안 암호를 저장 및 사용
](sec_identities_secrets.md)
+ [
# SEC02-BP04 중앙 집중식 자격 증명 공급자 사용
](sec_identities_identity_provider.md)
+ [
# SEC02-BP05 정기적으로 보안 인증 정보 감사 및 교체
](sec_identities_audit.md)
+ [
# SEC02-BP06 사용자 그룹 및 속성 활용
](sec_identities_groups_attributes.md)
# SEC02-BP01 강력한 로그인 메커니즘 사용
최소 암호 길이를 적용하고, 사용자에게 일반적인 암호나 재사용된 암호를 사용하지 않도록 교육합니다. 추가적인 확인 계층을 제공하기 위해 소프트웨어 또는 하드웨어 메커니즘을 사용하여 MFA(Multi-Factor Authentication)를 적용합니다. 예를 들어 IAM Identity Center를 자격 증명 소스로 사용하는 경우, MFA에 “컨텍스트 인식” 또는 “상시 작동” 설정을 구성하고 사용자가 자신의 MFA 디바이스를 등록하여 도입 속도를 향상할 수 있습니다. 외부 자격 증명 공급자(IdP)를 사용하는 경우 MFA에 IdP를 구성합니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ Identify and Access Management(IAM) 정책 생성: 사용자가 내 보안 인증 정보 페이지에서 역할을 수임하고 자신의 보안 인증 정보를 변경하고 MFA 디바이스를 관리할 수 있도록 하는 몇 가지 작업을 제외한 모든 IAM 작업을 금지하는 고객 관리형 IAM 정책을 [생성합니다](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1).
+ 자격 증명 공급자에서 MFA 사용: 사용하는 자격 증명 공급자 또는 Single Sign-On에서 [MFA](https:/aws.amazon.com/iam/details/mfa) 를 사용합니다(예: [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html)).
+ 강력한 암호 정책 구성: 무작위 대입 공격으로부터 보호할 수 있도록 강력한 [암호 정책을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) IAM 또는 연동 자격 증명 시스템에서 구성합니다.
+ [정기적인 자격 증명 교체](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials): 워크로드 관리자가 암호와 액세스 키(사용하는 경우)를 정기적으로 변경해야 합니다.
## 리소스
**관련 문서:**
+ [AWS Secrets Manager 시작하기](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [자격 증명 공급자 및 연동](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [AWS 계정 루트 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected)
+ [AWS Secrets Manager 시작하기](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected)
+ [임시 보안 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected)
+ [보안 파트너 솔루션: 액세스 및 액세스 제어](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [임시 보안 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 계정 루트 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**관련 동영상:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale(대규모 보안 암호 관리, 검색, 교체 모범 사례)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with IAM Identity Center(AWS SSO를 사용하여 대규모로 사용자 권한 관리)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 임시 보안 인증 정보 사용
자격 증명이 있어야 [임시 자격 증명을 동적으로 획득할 수 있습니다.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html). 인력 자격 증명의 경우 AWS IAM Identity Center를 사용하거나 AWS Identity and Access Management(IAM)과의 페더레이션을 사용하여 AWS 계정에 액세스합니다. 시스템 자격 증명(예: Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 또는 AWS Lambda 함수)의 경우 장기적인 액세스 키를 포함한 IAM 사용자 대신 IAM 역할을 사용해야 합니다.
AWS Management Console을 사용하는 인적 자격 증명의 경우, 사용자가 임시 보안 인증을 획득하여 AWS에 연동해야 합니다. AWS IAM Identity Center 사용자 포털을 사용하면 됩니다. CLI 액세스가 필요한 사용자의 경우, [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/)를 사용합니다. CLI v2는 IAM Identity Center와의 직접적인 통합을 지원합니다. 사용자는 IAM Identity Center 계정과 역할에 연결된 CLI 프로필을 생성할 수 있습니다. 그러면 CLI가 자동으로 IAM Identity Center에서 AWS 보안 인증 정보를 검색하여 사용자를 대신해 새로 고칩니다. 따라서 IAM Identity Center 콘솔에서 임시 AWS 보안 인증 정보를 복사해 붙여넣지 않아도 됩니다. SDK의 경우, 사용자는 AWS Security Token Service(AWS STS)를 사용하여 임시 보안 인증 정보를 수신할 역할을 수임해야 합니다. 경우에 따라 임시 자격 증명이 실용적이지 않을 수 있습니다. 액세스 키를 저장하는 데 수반되는 위험을 알고 있어야 하고, 키를 자주 교체해 사용해야 하며, 가능한 경우 다중 인증(MFA)을 필수 조건으로 지정해야 합니다. 마지막으로 액세스한 정보를 사용하여 액세스 키를 교체하거나 제거할 시기를 결정합니다.
소비자에게 AWS 리소스에 대한 액세스 권한을 부여해야 하는 경우, [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) 자격 증명 풀을 사용해 임시적이고 권한이 제한된 일련의 보안 인증 정보를 할당하여 AWS 리소스에 액세스합니다. 각 사용자에 대한 권한은 생성한 [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) 을 통해 제어됩니다. 사용자의 ID 토큰에 있는 클레임에 따라 각 사용자의 역할을 선택하는 규칙을 정의할 수 있습니다. 인증된 사용자에 대한 기본 역할을 정의할 수 있습니다. 또한 인증되지 않은 게스트 사용자의 경우, 권한이 제한된 별도의 IAM 역할을 정의할 수 있습니다.
시스템 자격 증명의 경우, IAM 역할을 사용하여 AWS에 대한 액세스 권한을 부여해야 합니다. Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 경우 [Amazon EC2 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)을 사용할 수 있습니다. Amazon EC2 인스턴스에 IAM 역할을 연결하면 Amazon EC2에서 실행 중인 애플리케이션에서 Instance Metadata Service(IMDS)를 통해 AWS가 생성, 배포 및 교체하는 임시 보안 인증 정보를 자동으로 사용하도록 할 수 있습니다. 이 [최신 버전의](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) IMDS는 임시 보안 인증 정보를 노출하는 취약점을 예방하는 데 도움이 되므로 구현해야 합니다. 키 또는 암호를 사용하여 Amazon EC2 인스턴스에 액세스하는 경우 [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) 를 사용하면 저장된 보안 암호 없이 사전 설치된 에이전트를 통해 보다 안전하게 인스턴스에 액세스하고 이를 관리할 수 있습니다. 또한 AWS Lambda와 같은 다른 AWS 서비스를 사용하여 IAM 서비스 역할을 구성하고, 이를 통해 임시 보안 인증 정보를 사용해 AWS 작업을 수행하도록 서비스 권한을 부여할 수 있습니다. 임시 보안 인증 정보를 사용하지 못하는 경우 프로그래밍 방식의 도구(예: [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/))를 사용하여 보안 인증 정보 교체와 관리를 자동화합니다.
**정기적으로 자격 증명 감사 및 교체: **올바른 제어 기능이 적용되는지 확인하려면 주기적인 검증(가능한 자동화된 도구 사용)을 실시해야 합니다. 인적 자격 증명의 경우, 사용자가 주기적으로 암호를 변경하고 액세스 키 사용을 중지하며 그 대신 임시 자격 증명을 사용하도록 규정해야 합니다. IAM 사용자에서 중앙화된 자격 증명으로 이전할 때 [보안 인증 보고서를 생성하여 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)IAM 사용자를 감사할 수 있습니다. 또한 자격 증명 공급자에 MFA 설정을 사용하는 것이 좋습니다. 이를 위해 [AWS Config 규칙](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) 를 설정하여 이러한 설정을 모니터링할 수 있습니다. 시스템 자격 증명의 경우, IAM 역할을 사용한 임시 보안 인증 정보를 사용해야 합니다. 이러한 방법이 불가능한 경우, 액세스 키를 자주 감사하고 교체해 사용해야 합니다.
**안전하게 보안 암호 저장 및 사용:** IAM과 관련이 없는 보안 인증 정보이며 임시 보안 인증 정보를 사용할 수 없는 경우(예: 데이터베이스 로그인) [Secrets Manager](https://aws.amazon.com/secrets-manager/)와 같이 보안 암호 관리 작업을 처리하도록 설계된 서비스를 사용합니다. Secrets Manager를 사용하면 [지원 서비스를 통해 간편하게 암호화된 보안 암호를 관리 및 교체하고 안전하게 저장할 수 있습니다.](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). 보안 암호에 액세스하기 위한 호출은 감사를 위해 AWS CloudTrail에 기록되며, IAM 권한은 이에 액세스하기 위한 최소 권한을 부여할 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ 최소 권한 정책 구현: IAM 그룹 및 역할에 최소 권한 액세스 정책을 적용하여 사용자별로 정의한 역할 또는 기능을 반영합니다.
+ [최소 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ 불필요한 권한 제거: 불필요한 권한을 제거하여 최소 권한 정책을 구현합니다.
+ [사용자 활동 보기를 통한 정책 범위 축소](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [역할 액세스 보기](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites)
+ 권한 경계 고려: 권한 경계는 자격 증명 기반 정책을 통해 IAM 엔터티에 부여할 수 있는 최대 권한을 설정하는 관리형 정책을 사용하는 고급 기능입니다. 엔터티의 권한 경계는 자격 증명 기반 정책과 권한 경계 모두에서 허용되는 작업만 수행하도록 허용합니다.
+ [실습: 역할 생성을 위임하는 IAM 권한 경계](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
+ 권한에 리소스 태그 고려: 태그를 사용하여 태깅을 지원하는 AWS 리소스에 대한 액세스를 제어할 수 있습니다. IAM 사용자 및 역할에 태깅하여 액세스할 수 있는 항목을 제어할 수도 있습니다.
+ [실습: EC2에 대한 IAM 태그 기반 액세스 제어](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
+ [ABAC(속성 기반 액세스 제어)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
## 리소스
**관련 문서:**
+ [AWS Secrets Manager 시작하기](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [자격 증명 공급자 및 연동](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [보안 파트너 솔루션: 액세스 및 액세스 제어](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [임시 보안 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 계정 루트 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**관련 동영상:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale(대규모 보안 암호 관리, 검색, 교체 모범 사례)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with AWS IAM Identity Center(AWS SSO를 사용하여 대규모로 사용자 권한 관리)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 안전하게 보안 암호를 저장 및 사용
보안 암호(예: 서드 파티 애플리케이션에 대한 암호)가 필요한 인력 및 시스템 자격 증명의 경우 특수 서비스의 최신 업계 표준을 사용하여 자동화된 교체 시스템에 암호를 저장합니다. 예를 들면, IAM과 관련이 없는 보안 인증 정보이며 임시 보안 인증 정보를 사용할 수 없는 경우(예: 데이터베이스 로그인) AWS Secrets Manager와 같이 보안 암호 관리 작업을 처리하도록 설계된 서비스를 사용합니다. Secrets Manager를 사용하면 지원 서비스를 통해 간편하게 암호화된 보안 암호를 관리 및 교체하고 안전하게 저장할 수 있습니다. 보안 암호에 액세스하기 위한 호출은 감사를 위해 AWS CloudTrail에 기록되며, IAM 권한은 이에 액세스하기 위한 최소 권한을 부여할 수 있습니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ AWS Secrets Manager 사용: [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 는 보안 암호를 쉽게 관리할 수 있게 해 주는 AWS 서비스입니다. 데이터베이스 자격 증명, 암호, 타사 API 키는 물론 임의의 텍스트도 보안 정보에 해당할 수 있습니다.
## 리소스
**관련 문서:**
+ [AWS Secrets Manager 시작하기 ](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [자격 증명 공급자 및 연동](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
**관련 동영상:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale(대규모 보안 암호 관리, 검색, 교체 모범 사례)](https://youtu.be/qoxxRlwJKZ4)
# SEC02-BP04 중앙 집중식 자격 증명 공급자 사용
인력 자격 증명의 경우 중앙 집중식 위치에서 자격 증명을 관리할 수 있는 자격 증명 공급자를 사용합니다. 이렇게 하면 단일 위치에서 액세스를 생성, 관리 및 취소하므로 여러 애플리케이션과 서비스에 대한 액세스를 더 쉽게 관리할 수 있습니다. 예를 들어 누군가가 퇴사한다면 한 곳에서 모든 애플리케이션 및 서비스(AWS 포함)에 대한 액세스 권한을 취소할 수 있습니다. 이렇게 하면 자격 증명을 여러 개 만들 필요가 없고, 기존 인사(HR) 프로세스와 통합할 수도 있습니다.
개인 AWS 계정과 페더레이션하려면 AWS Identity and Access Management의 SAML 2.0 기반 공급자를 통해 AWS용 중앙 집중식 자격 증명을 사용할 수 있습니다. AWS에서 직접 호스팅하든, AWS 외부에서 호스팅하든, AWS Partner에서 제공하든 [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) 프로토콜과 호환되기만 하면 어느 공급자를 사용해도 됩니다. AWS 계정과 선택한 공급자 사이의 페더레이션을 활용하면 SAML 어설션을 사용해 임시 보안 인증 정보를 얻어 사용자나 애플리케이션에 AWS API 작업을 호출할 액세스 권한을 부여할 수 있습니다. 웹 기반 SSO(Single Sign-On)도 지원되므로 사용자가 로그인 웹 사이트에서 AWS Management Console에 로그인할 수 있습니다.
AWS Organizations 내 여러 계정에 페더레이션하려면 [AWS IAM Identity Center(IAM Identity Center)](http://aws.amazon.com/single-sign-on/)에서 자격 증명 소스를 구성하여 사용자와 그룹이 저장될 위치를 지정하면 됩니다. 구성이 완료되면 자격 증명 공급자가 실제 소스가 되며, System for Cross-domain Identity Management(SCIM) v2.0 프로토콜을 사용해 정보를 [동기화](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) 할 수 있습니다. 그러면 사용자나 그룹을 검색하여 이들에게 AWS 계정, 클라우드 애플리케이션 또는 둘 모두에 IAM Identity Center 액세스 권한을 부여할 수 있습니다.
IAM Identity Center는 AWS Organizations와 통합되므로 자격 증명 공급자를 한 번 구성하면 조직에서 관리하는 [기존 및 새 계정에 대한 액세스 권한을 부여](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) 할 수 있습니다. IAM Identity Center는 사용자 및 그룹을 관리하는 데 사용할 수 있는 기본 스토어를 제공합니다. IAM Identity Center 스토어를 사용하는 경우, 최소 권한의 모범 사례를 염두에 두고 사용자와 그룹을 생성하고 해당 액세스 수준을 AWS 계정 및 애플리케이션에 할당합니다. 또는 SAML 2.0을 사용하여 [외부 자격 증명 공급자에 연결 ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)하거나 [Microsoft AD Directory에 연결](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) (AWS Directory Service 사용)할 수 있습니다. 구성이 완료되면 중앙 자격 증명 공급자를 통해 인증한 후 AWS Management Console 또는 AWS 모바일 앱에 로그인할 수 있습니다.
최종 사용자 또는 워크로드 소비자(예: 모바일 앱)를 관리할 때는 다음을 사용할 수 있습니다. [Amazon Cognito](http://aws.amazon.com/cognito/). 이는 웹 및 모바일 앱의 인증, 권한 부여 및 사용자 관리 등의 기능을 제공합니다. 사용자는 사용자 이름과 암호를 통해 직접 로그인하거나, Amazon, Apple, Facebook 또는 Google 등 타사를 통해 로그인할 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ 중앙화된 관리 액세스: AWS 계정과 ID 제공업체(idP) 간의 신뢰 관계를 구축하기 위해 Identity and Access Management(IAM) 자격 증명 공급자 엔터티를 생성합니다. IAM는 OpenID Connect (OIDC) 또는 SAML 2.0(Security Assertion Markup Language 2.0)과 호환되는 idP를 지원합니다.
+ [자격 증명 공급자 및 연동](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ 중앙화된 애플리케이션 액세스: 애플리케이션 액세스 중앙화에는 Amazon Cognito를 고려하십시오. Amazon Cognito를 사용하면 웹 및 모바일 앱에 사용자 가입/로그인 기능 및 액세스 제어를 빠르고 손쉽게 추가할 수 있습니다. [Amazon Cognito](https://aws.amazon.com/cognito/) 는 수백만 명의 사용자로 확장되며 Facebook, Google 및 Amazon과 같은 소셜 자격 증명 공급자와 SAML 2.0을 통한 엔터프라이즈 자격 증명 공급자를 통한 로그인을 지원합니다.
+ 오래된 IAM 사용자 및 그룹 제거: ID 제공업체(idP)를 사용하기 시작한 후 더 이상 필요하지 않은 IAM 사용자 및 그룹을 제거합니다.
+ [사용되지 않는 보안 인증 정보 찾기](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)
+ [IAM 그룹 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)
## 리소스
**관련 문서:**
+ [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [보안 파트너 솔루션: 액세스 및 액세스 제어](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [임시 보안 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 계정 루트 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**관련 동영상:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale(대규모 보안 암호 관리, 검색, 교체 모범 사례)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with AWS IAM Identity Center(AWS SSO를 사용하여 대규모로 사용자 권한 관리)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP05 정기적으로 보안 인증 정보 감사 및 교체
임시 보안 인증 정보를 사용할 수 없으며 장기 보안 인증 정보가 필요한 경우 보안 인증 정보를 감사하여 정의된 제어(예: 다중 인증(MFA))가 적용되고 정기적으로 교체되며 적절한 액세스 수준을 보유하는지 확인합니다. 올바른 제어 기능이 적용되는지 확인하려면 주기적인 검증(가능한 자동화된 도구 사용)을 실시해야 합니다. 인적 자격 증명의 경우, 사용자가 주기적으로 암호를 변경하고 액세스 키 사용을 중지하며 그 대신 임시 자격 증명을 사용하도록 규정해야 합니다. AWS Identity and Access Management(IAM) 사용자에서 중앙화된 자격 증명으로 이전할 때 [보안 인증 보고서를 생성하여 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)IAM 사용자를 감사할 수 있습니다. 또한 자격 증명 공급자에 MFA 설정을 사용하는 것이 좋습니다. 이를 위해 [AWS Config 규칙](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) 를 설정하여 이러한 설정을 모니터링할 수 있습니다. 시스템 자격 증명의 경우, IAM 역할을 사용한 임시 보안 인증 정보를 사용해야 합니다. 이러한 방법이 불가능한 경우, 액세스 키를 자주 감사하고 교체해 사용해야 합니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
+ 정기적으로 보안 인증 정보 감사: 보안 인증 보고와 Identify and Access Management(IAM) Access Analyzer를 사용하여 IAM 보안 인증 정보 및 권한을 감사합니다.
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [보안 인증 보고서 가져오기](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
+ [실습: 자동화된 IAM 사용자 정리](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool)
+ 액세스 수준을 사용하여 IAM 권한 검토: AWS 계정의 보안을 강화하기 위해 각 IAM 정책을 정기적으로 검토하고 모니터링합니다. 필요한 작업을 수행하는 데 필요한 최소 권한만 정책에서 부여하는지 확인합니다.
+ [액세스 수준을 사용하여 IAM 권한 검토](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions)
+ IAM 리소스 생성 및 업데이트 자동화 고려: AWS CloudFormation을 사용하면 템플릿을 확인하고 버전을 제어할 수 있으므로, 역할 및 정책을 포함한 IAM 리소스 배포를 자동화하고 인적 오류를 줄일 수 있습니다.
+ [실습: IAM 그룹 및 역할의 자동 배포](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html)
## 리소스
**관련 문서:**
+ [AWS Secrets Manager 시작하기](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [자격 증명 공급자 및 연동](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [보안 파트너 솔루션: 액세스 및 액세스 제어](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [임시 보안 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
**관련 동영상:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale(대규모 보안 암호 관리, 검색, 교체 모범 사례)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with AWS IAM Identity Center(AWS SSO를 사용하여 대규모로 사용자 권한 관리)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP06 사용자 그룹 및 속성 활용
관리하는 사용자 수가 늘어나면서 사용자를 체계적으로 정리하여 대규모로 관리할 방법을 결정해야 합니다. 공통 보안 요구 사항이 있는 사용자들을 자격 증명 공급자가 정의한 그룹에 배치하고, 액세스 제어에 사용할 수 있는 사용자 속성(예: 부서 또는 위치)이 정확하게 업데이트되었는지 확인하는 메커니즘을 적절히 설정합니다. 액세스를 제어할 때는 개별적인 사용자가 아니라 이러한 그룹과 속성을 사용합니다. 이를 통해 사용자의 액세스 권한을 변경해야 할 때 여러 개별 정책을 업데이트하는 대신 [권한 세트](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html)를 사용해 사용자의 그룹 멤버십 또는 속성을 한 번 변경하여 중앙에서 액세스를 관리할 수 있습니다. AWS IAM Identity Center(IAM Identity Center)를 사용하여 사용자 그룹 및 속성을 관리할 수 있습니다. IAM Identity Center는 가장 보편적으로 사용되는 속성을 지원합니다. 사용자 생성 중에 수동으로 입력한 것이든, 동기화 엔진을 사용하여 자동으로 프로비저닝된 것(예: System for Cross-Domain Identity Management(SCIM) 사양에 정의된 대로)이든 마찬가지입니다.
공통 보안 요구 사항이 있는 사용자들을 자격 증명 공급자가 정의한 그룹에 배치하고, 액세스 제어에 사용할 수 있는 사용자 속성(예: 부서 또는 위치)이 정확하게 업데이트되었는지 확인하는 메커니즘을 적절히 설정합니다. 개별 사용자가 아닌 이러한 그룹 및 속성을 사용하여 액세스를 제어합니다. 이를 통해 사용자의 액세스 권한을 변경해야 할 때 여러 개별 정책을 업데이트하는 대신 사용자의 그룹 멤버십 또는 속성을 한 번 변경하여 중앙에서 액세스를 관리할 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
+ AWS IAM Identity Center(IAM Identity Center)를 사용하는 경우 그룹 구성: IAM Identity Center는 사용자 그룹을 구성하고 그룹에 원하는 수준의 권한을 할당할 수 있는 기능을 제공합니다.
+ [AWS Single Sign-On - 자격 증명 관리](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ 속성 기반 액세스 제어(ABAC) 자세히 알아보기: ABAC는 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다.
+ [AWS용 ABAC란 무엇입니까?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [실습: EC2에 대한 IAM 태그 기반 액세스 제어](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## 리소스
**관련 문서:**
+ [AWS Secrets Manager 시작하기](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [자격 증명 공급자 및 연동](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [AWS 계정 루트 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**관련 동영상:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale(대규모 보안 암호 관리, 검색, 교체 모범 사례)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with AWS IAM Identity Center(AWS SSO를 사용하여 대규모로 사용자 권한 관리)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**관련 예시:**
+ [실습: EC2에 대한 IAM 태그 기반 액세스 제어](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
# SEC 3 사람과 시스템에 대한 권한은 어떻게 관리합니까?
AWS 및 워크로드에 액세스해야 하는 사람 및 시스템 자격 증명에 대한 액세스를 제어하는 권한을 관리합니다. 권한은 누가 어떤 조건에서 무엇에 액세스할 수 있는지를 제어합니다.
**Topics**
+ [
# SEC03-BP01 액세스 요구 사항 정의
](sec_permissions_define.md)
+ [
# SEC03-BP02 최소 권한 액세스 부여
](sec_permissions_least_privileges.md)
+ [
# SEC03-BP03 긴급 액세스 프로세스 설정
](sec_permissions_emergency_process.md)
+ [
# SEC03-BP04 지속적으로 권한 축소
](sec_permissions_continuous_reduction.md)
+ [
# SEC03-BP05 조직에 대한 권한 가드레일 정의
](sec_permissions_define_guardrails.md)
+ [
# SEC03-BP06 수명 주기에 따라 액세스 관리
](sec_permissions_lifecycle.md)
+ [
# SEC03-BP07 퍼블릭 및 크로스 계정 액세스 분석
](sec_permissions_analyze_cross_account.md)
+ [
# SEC03-BP08 안전하게 리소스 공유
](sec_permissions_share_securely.md)
# SEC03-BP01 액세스 요구 사항 정의
관리자, 최종 사용자 또는 기타 구성 요소는 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 누가 혹은 무엇이 각 구성 요소에 액세스할 수 있는지 명확하게 정의한 다음 적절한 자격 증명 유형과 인증 및 권한 부여 방법을 선택해야 합니다.
**일반적인 안티 패턴:**
+ 애플리케이션에 보안 암호를 하드 코딩 또는 저장합니다.
+ 각 사용자에 대한 사용자 지정 권한을 부여합니다.
+ 수명이 긴 보안 인증을 사용합니다.
**이 모범 사례가 확립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
관리자, 최종 사용자 또는 기타 구성 요소는 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 누가 혹은 무엇이 각 구성 요소에 액세스할 수 있는지 명확하게 정의한 다음 적절한 자격 증명 유형과 인증 및 권한 부여 방법을 선택해야 합니다.
조직 내 AWS 계정에 대한 정기적인 액세스를 제공하려면 [페더레이션 액세스](https://aws.amazon.com/identity/federation/) 또는 중앙 집중식 자격 증명 공급자를 사용해야 합니다. 또한 자격 증명 관리를 중앙 집중화하고, 직원 액세스 수명 주기에 대한 AWS 액세스를 통합하기 위해 정립된 사례가 있는지 확인해야 합니다. 예를 들어, 직원이 다른 액세스 수준의 직무로 변경할 경우 해당 그룹 멤버십 또한 변경하여 새로운 액세스 요구 사항을 반영해야 합니다.
비 인적 자격 증명에 대한 액세스 요구 사항을 정의할 경우 어떤 애플리케이션 및 구성 요소가 액세스해야 하는지, 그리고 어떻게 권한이 부여되는지 결정합니다. 권장되는 접근 방식은 최소 권한 액세스 모델을 통해 구축된 IAM 역할을 사용하는 것입니다. [AWS 관리형 정책은](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) 대부분의 일반적인 사용 사례를 다루는 사전 정의된 IAM 정책을 제공합니다.
AWS 서비스, 즉 [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) 및 [AWS Systems Manager Parameter Store는](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)IAM 역할 사용이 실현 불가능한 경우 애플리케이션 또는 워크로드로부터 보안 암호를 안전하게 분리할 수 있도록 지원합니다. Secrets Manager에서 보안 인증에 대한 자동 교체를 설정할 수 있습니다. Systems Manager를 사용하여 스크립트, 명령, SSM 문서, 구성 및 자동화 워크플로의 파라미터를 참조할 수 있으며 이 경우 파라미터를 생성할 때 지정한 고유한 이름을 사용합니다.
AWS Identity and Access Management Roles Anywhere를 사용하여 [IAM 외부에서 실행되는 워크로드에 대한](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) AWS의 임시 보안 자격 증명을 얻을 수 있습니다. 워크로드에서 사용하는 [IAM 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) 및 [IAM 역할은](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) AWS 애플리케이션에서 AWS 리소스에 액세스하는 데 사용하는 것과 동일한 것일 수 있습니다.
가능한 경우, 장기적이고 정적인 보안 인증보다는 단기적이고 임시적인 보안 인증을 사용하는 것이 좋습니다. 프로그래밍 방식 액세스 및 장기 보안 인증을 사용하는 IAM 사용자가 필요한 경우 [마지막으로 사용된 액세스 키 정보를](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) 사용하여 액세스 키를 교체 및 제거합니다.
## 리소스
**관련 문서:**
+ [속성 기반 액세스 제어(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [IAM Identity Center의 AWS 관리형 정책](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [AWS IAM 정책 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [IAM 사용 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [불필요한 보안 인증 제거](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [정책 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [AWS 계정, OU 또는 조직을 기준으로 AWS 리소스에 대한 액세스를 제어하는 방법](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [AWS Secrets Manager의 향상된 검색을 사용하여 보안 암호를 쉽게 식별, 정렬 및 관리](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**관련 동영상:**
+ [60분 이내에 IAM 정책 마스터하기](https://youtu.be/YQsK4MtsELU)
+ [업무 분리, 최소 권한, 위임 및 CI/CD](https://youtu.be/3H0i7VyTu70)
+ [혁신을 위한 자격 증명 및 액세스 관리 간소화](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 최소 권한 액세스 부여
특정 조건에서 특정 AWS 리소스에 대한 특정 작업과 관련한 액세스를 허용하여 자격 증명에 필요한 액세스 권한만 부여합니다. 개별 사용자에 대한 권한을 정의하는 대신, 그룹 및 자격 증명 속성을 사용하여 대규모로 권한을 동적으로 설정합니다. 예를 들어 개발자 그룹이 자체 프로젝트에 대한 리소스만 관리하도록 액세스 권한을 허용할 수 있습니다. 이렇게 하면 특정 개발자를 그룹에서 제거했을 때 액세스 정책을 변경할 필요 없이 해당 그룹을 액세스 제어에 사용한 모든 리소스에서 이 개발자에 대한 액세스가 취소됩니다.
**일반적인 안티 패턴:**
+ 사용자에게 기본적으로 관리자 권한을 부여합니다.
+ 일상적인 활동에 루트 계정을 사용합니다.
**이 모범 사례가 확립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
원칙으로 [최소 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 을 확립하면 사용 가능성과 효율성을 적절하게 절충하면서 자격 증명이 특정 작업을 처리하는 데 필요한 최소한의 기능 세트만 수행하도록 할 수 있습니다. 이 원칙에 따라 운영하면 의도치 않은 액세스를 제한하고, 누가 어떤 리소스에 액세스할 수 있는지 감사할 수 있습니다. AWS에서는 루트 사용자를 제외하고는 기본적으로 자격 증명에 권한이 없습니다. 루트 사용자의 보안 인증은 엄격하게 제어되어야 하며 [특정 작업](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)에만 사용해야 합니다.
IAM 또는 리소스 엔터티(예: 페더레이션형 ID, 시스템 또는 리소스(예: S3 버킷)에서 사용하는 IAM 역할)에 연결된 권한을 명시적으로 부여하는 경우 정책을 사용합니다. 정책을 생성하여 연결할 때 서비스 작업, 리소스는 물론 AWS가 액세스를 허용하려면 참이어야 하는 조건을 지정할 수 있습니다. AWS는 다양한 조건을 지원하여 액세스 범위를 축소할 수 있도록 도와줍니다. 예를 들어, `PrincipalOrgID` [조건 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)를 사용하면 AWS Organizations의 식별자를 확인하므로 AWS Organization 내에서만 액세스를 허용할 수 있습니다.
또한 AWS CloudFormation에서 AWS Lambda 함수를 생성하는 등 AWS 서비스가 사용자를 대신하여 수행하는 요청을 `CalledVia` 조건 키를 사용하여 제어할 수도 있습니다. 계정 내 전체 권한을 효과적으로 제한하기 위해 다른 정책 유형 간 계층을 지정해야 합니다. 예를 들어, 애플리케이션 팀에서 자체적으로 IAM 정책을 생성하도록 허용할 수 있지만 [권한 경계](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) 를 사용하여 이들이 허용할 수 있는 최대 권한을 제한해야 합니다.
권한 관리를 확장하고 최소 권한의 원칙을 준수하는 데 도움이 되는 다양한 AWS 기능이 있습니다. [속성 기반 액세스 제어](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) 를 통해 리소스의 *[태그](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* 를 기준으로 권한을 제한할 수 있으며, 이를 통해 리소스 및 호출하는 IAM 보안 주체에 적용된 태그를 기준으로 권한 부여 결정을 내릴 수 있습니다. 이렇게 하면 태그 지정과 권한 정책을 결합하여 여러 사용자 지정 정책 없이도 세분화된 리소스 액세스를 달성할 수 있습니다.
최소 권한 정책 생성을 가속화하는 또 다른 방법은 활동 실행 후 CloudTrail 권한을 기반으로 정책을 수립하는 것입니다. [IAM Access Analyzer는 활동을 기반으로 IAM 정책을 자동으로 생성할 수 있습니다](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). 또한 조직 또는 개별 계정 수준에서 IAM Access Advisor를 사용하여 [특정 정책에 대해 마지막 액세스 정보를 추적](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)할 수 있습니다.
이러한 세부 정보를 검토하고 불필요한 권한을 제거할 주기를 설정할 수 있습니다. AWS 조직 내 권한 가드레일을 설정하여 모든 멤버 계정 내에서 최대 권한을 제어해야 합니다. 서비스, 즉 [AWS Control Tower는 권장 관리형 예방 제어 기능](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) 이 있어 자체적인 제어를 정의할 수 있습니다.
## 리소스
**관련 문서:**
+ [IAM 엔터티의 권한 경계](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [최소 권한 IAM 정책 작성 기법](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [IAM Access Analyzer를 통해 액세스 활동에 기반한 IAM 정책을 생성하여 보다 쉽게 최소 권한을 구현](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [마지막 액세스 정보를 사용하여 권한 수정](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [IAM 정책 유형과 사용 시기](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [IAM 정책 시뮬레이터로 IAM 정책 테스트](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [AWS Control Tower의 가드레일](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [제로 트러스트 아키텍처: AWS의 철학](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [CloudFormation StackSets로 최소 권한의 원칙을 구현하는 방법](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
**관련 동영상:**
+ [차세대 권한 관리](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [제로 트러스트: AWS의 철학](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [권한 경계를 사용하여 IAM 사용자 및 역할을 제한하고 권한 승격을 방지하려면 어떻게 해야 하나요?](https://www.youtube.com/watch?v=omwq3r7poek)
**관련 예시:**
+ [실습: 역할 생성을 위임하는 IAM 권한 경계](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
# SEC03-BP03 긴급 액세스 프로세스 설정
가능성은 낮지만 자동화된 프로세스 또는 파이프라인에 문제가 발생할 때 워크로드에 긴급 액세스할 수 있도록 하는 프로세스입니다. 이 긴급 액세스 프로세스를 통해 최소 권한 액세스를 사용할 수 있습니다. 그러나 사용자가 적절한 수준의 액세스 권한이 필요할 때는 해당 권한을 얻을 수 있습니다. 예를 들어, 관리자가 액세스를 위한 긴급 AWS 크로스 계정 역할 등의 요청을 확인하고 승인하는 프로세스 또는 관리자가 긴급 요청을 확인하고 승인하기 위해 따라야 하는 특정 프로세스를 설정합니다.
**일반적인 안티 패턴:**
+ 기존 자격 증명 구성을 사용하여 중단으로부터 복구할 수 있는 긴급 프로세스가 없습니다.
+ 승격된 장기 권한을 문제 해결 또는 복구 목적으로 부여합니다.
**이 모범 사례가 확립되지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
긴급 액세스 설정은 여러 가지 형태일 수 있으며 이에 대비해야 합니다. 첫 번째는 기본 자격 증명 공급자의 실패입니다. 이 경우 복구에 필요한 권한을 통해 액세스의 두 번째 방법을 사용해야 합니다. 이 방법은 백업 자격 증명 공급자 또는 IAM 사용자일 수 있습니다. 이 두 번째 방법을 사용할 경우 [엄격한 제어, 모니터링 및 알림](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 이 필요합니다. 긴급 액세스 자격 증명은 이 목적에 맞는 계정에서 생성되어야 하며 복구를 위해 특별히 설계된 역할을 수행할 수 있는 권한만 가지고 있어야 합니다.
또한 승격된 임시 관리 액세스가 필요할 경우에 대비하여 긴급 액세스를 준비해야 합니다. 일반적인 시나리오는 변경 사항을 배포하는 데 사용하는 자동 프로세스로 권한 변경을 제한하는 것입니다. 이 프로세스에 문제가 발생할 경우 사용자는 기능 복원을 위해 승격된 권한을 요청해야 할 수 있습니다. 이 경우, 사용자가 승격된 액세스를 요청할 수 있고 관리자가 이를 확인 및 승인할 수 있는 프로세스를 설정합니다. 구현 계획에는 사전 프로비저닝 액세스 및 긴급 설정, *브레이크 글라스*, 역할이 [SEC10-BP05 액세스 권한 사전 프로비저닝](sec_incident_response_pre_provision_access.md)의 일부로서 제공되며 이에 대한 모범 사례 지침이 자세히 설명되어 있습니다.
## 리소스
**관련 문서:**
+ [AWS 모니터링 및 알림](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity)
+ [임시 승격된 액세스 관리](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
**관련 동영상:**
+ [60분 이내에 IAM 정책 마스터하기](https://youtu.be/YQsK4MtsELU)
# SEC03-BP04 지속적으로 권한 축소
팀 및 워크로드가 필요한 액세스 권한을 결정할 때 더 이상 사용하지 않는 권한을 제거하고 최소 권한을 부여하기 위한 검토 프로세스를 설정합니다. 사용하지 않는 자격 증명 및 권한을 지속적으로 모니터링하고 줄입니다.
팀과 프로젝트를 막 시작하는 경우, 혁신과 민첩성을 이끌어내기 위해 광범위한 액세스 권한(개발 또는 테스트 환경에서)을 부여하고자 하는 경우가 있습니다. 특히 프로덕션 환경에서 액세스를 지속적으로 평가하고, 필요한 권한에 대해서만 제한적으로 액세스를 부여하고, 최소 권한을 구현하는 것을 권장합니다. AWS에서는 사용되지 않는 액세스를 파악할 수 있도록 액세스 분석 기능을 제공합니다. AWS에서 액세스 활동을 분석하여 액세스 키와 역할이 마지막으로 사용된 사례의 정보를 제공하므로 미사용된 사용자와 역할, 권한, 보안 인증 정보를 파악하는 데 도움이 됩니다. 즉 [마지막으로 액세스한 타임스탬프](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) 을 [를 사용하면 미사용된 사용자와 역할을 파악하여](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)제거할 수 있습니다. 또한 서비스와 작업의 마지막 액세스 정보를 검토하면 [특정 사용자와 역할을 대상으로 권한을 강화할 수도 있습니다.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). 예를 들어 마지막 액세스 정보를 사용하면 애플리케이션 역할에 필요한 특정 Amazon Simple Storage Service(Amazon S3) 작업을 파악하여 그러한 작업에 대해서만 액세스를 제한할 수 있습니다. 이러한 기능은 AWS Management Console에서 프로그램 방식으로 제공되므로 인프라 워크플로 및 자동화된 도구에 손쉽게 통합할 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
+ AWS Identity and Access Management(IAM) Access Analyzer 구성: AWS IAM Access Analyzer를 사용하면 Amazon Simple Storage Service(Amazon S3) 버킷 또는 IAM 역할과 같은 조직 및 계정 내 리소스 중 외부 엔터티와 공유되는 리소스를 식별할 수 있습니다.
+ [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
## 리소스
**관련 문서:**
+ [ABAC(속성 기반 액세스 제어)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [최소 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [불필요한 자격 증명 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [정책 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**관련 동영상:**
+ [60분 이내에 IAM 정책 마스터하기](https://youtu.be/YQsK4MtsELU)
+ [업무 분리, 최소 권한, 위임 및 CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP05 조직에 대한 권한 가드레일 정의
조직의 모든 자격 증명에 대한 액세스를 제한하는 공통 제어를 설정합니다. 예를 들어, 특정 AWS 리전에 대한 액세스를 제한하거나 중앙 보안 팀에 사용되는 IAM 역할과 같은 공통 리소스를 운영자가 삭제하지 못하게 할 수 있습니다.
**일반적인 안티 패턴:**
+ 조직의 관리자 계정에서 워크로드를 실행합니다.
+ 프로덕션과 비 프로덕션 워크로드를 동일한 계정에서 실행합니다.
**이 모범 사례가 확립되지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
AWS에서 추가 워크로드를 확장하고 관리하면서, 계정을 사용하여 이러한 워크로드를 분리하고 AWS Organizations를 사용하여 해당 계정을 관리해야 합니다. 이 경우 조직 내 모든 자격 증명에 대한 액세스를 제한하는 공통 권한 가드레일을 설정하는 것이 좋습니다. 예를 들어, 특정 AWS 리전에 대한 액세스를 제한하거나 중앙 보안팀이 사용하는 IAM 역할과 같은 공통 리소스를 팀에서 삭제하지 못하게 할 수 있습니다.
사용자가 주요 서비스를 비활성화하지 못하도록 방지하는 등 서비스 제어 정책 예시를 구현하는 것부터 시작할 수 있습니다. SCP는 IAM 정책 언어를 사용하여 모든 IAM 보안 주체(사용자 및 역할)가 준수하는 제어를 설정할 수 있습니다. 특정 서비스 작업과 리소스에 대한 액세스를 제한하거나, 조직의 액세스 제어 요구 사항에 부합하도록 특정 조건을 기반으로 액세스를 제한할 수 있습니다. 필요한 경우, 가드레일에 예외를 정의할 수 있습니다. 예를 들어, 주어진 계정에서 특정 관리자 역할을 제외한 모든 IAM 엔터티에 대해 서비스 작업을 제한할 수 있습니다.
관리 계정에서 워크로드를 실행하지 않는 것이 좋습니다. 관리 계정은 멤버 계정에 영향을 미치는 보안 가드레일을 관리 및 배포하는 데 사용해야 합니다. 일부 AWS 서비스는 위임된 관리자 계정의 사용을 지원합니다. 가능한 경우, 이 위임된 계정을 관리 계정 대신 사용해야 합니다. 조직의 관리자 계정에 대한 액세스는 강력하게 제한해야 합니다.
다중 계정 전략을 사용하면 워크로드에 가드레일을 훨씬 더 유연하게 적용할 수 있습니다. AWS Security Reference Architecture는 계정 구조 설계 방법에 대한 권장 가이드를 제공합니다. AWS Control Tower와 같은 AWS 서비스는 조직 전체에 대한 사전 예방 제어와 탐지 제어 모두를 중앙에서 관리할 수 있는 기능을 제공합니다. 조직 내 각 계정 또는 OU에 대한 명확한 목적을 정의하고 해당 목적에 따라 제어를 제한합니다.
## 리소스
**관련 문서:**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [서비스 제어 정책(SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [다중 계정 환경에서 서비스 제어 정책 최대한 활용](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [AWS Security Reference Architecture(AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**관련 동영상:**
+ [서비스 제어 정책을 사용한 예방적 가드레일 적용](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [AWS Control Tower를 통해 대규모 거버넌스 구축](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [AWS Identity and Access Management 심층 분석](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 수명 주기에 따라 액세스 관리
액세스 제어를 운영자 및 애플리케이션 수명 주기/중앙 집중식 페더레이션 공급자와 통합합니다. 예를 들어 조직에서 나가거나 역할이 변경될 때 사용자의 액세스 권한을 제거합니다.
워크로드를 관리할 때 별도의 여러 계정을 사용하다 보면, 해당 계정 간에 리소스를 공유해야 하는 경우가 있습니다. 리소스를 공유할 때는 [AWS Resource Access Manager(AWS RAM)를 사용하는 것이 좋습니다.](http://aws.amazon.com/ram/). 이 서비스를 사용하면 AWS Organizations 및 조직 단위 내에서 AWS 리소스를 쉽고 안전하게 공유할 수 있습니다. AWS RAM을 사용하면 리소스를 공유하는 조직이나 조직 단위에서의 계정 포함 여부에 따라 공유 리소스에 대한 액세스 권한이 자동으로 부여되거나 취소됩니다. 이렇게 하면 리소스를 원하는 계정끼리만 공유하도록 할 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
사용자 액세스 수명 주기 현재 사용자만 액세스할 수 있도록 시설의 신규 참여 사용자, 직무 기능 변경, 퇴거 사용자에 적용할 사용자 액세스 수명 주기 정책을 구현합니다.
## 리소스
**관련 문서:**
+ [ABAC(속성 기반 액세스 제어)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [최소 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [불필요한 자격 증명 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [정책 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**관련 동영상:**
+ [60분 이내에 IAM 정책 마스터하기](https://youtu.be/YQsK4MtsELU)
+ [업무 분리, 최소 권한, 위임 및 CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 퍼블릭 및 크로스 계정 액세스 분석
퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 이 유형의 액세스가 필요한 리소스에 대해서만 퍼블릭 액세스 및 크로스 계정 액세스를 줄입니다.
**일반적인 안티 패턴:**
+ 크로스 계정에 대한 액세스 및 리소스에 대한 퍼블릭 액세스를 관리하는 프로세스를 따르지 않습니다.
**이 모범 사례가 확립되지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
AWS에서는 다른 계정의 리소스에 대한 액세스 권한을 부여할 수 있습니다. 리소스에 연결된 정책(예: [Amazon Simple Storage Service(Amazon S3) 버킷 정책](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)을 사용하거나 자격 증명이 다른 계정에서 IAM 역할을 수임하도록 허용하여 다른 계정의 직접 액세스를 허용합니다. 리소스 정책을 사용하는 경우, 조직의 자격 증명에 액세스 권한이 부여되었는지, 그리고 사용자가 리소스를 공개하려는 의도인지 확인해야 합니다. 공개적으로 사용 가능해야 하는 모든 리소스를 승인하는 프로세스를 정의합니다.
[IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) 는 [증명 가능한 보안](https://aws.amazon.com/security/provable-security/) 을 사용하여 자격 증명에 계정 외부의 리소스에 대한 전체적인 액세스 경로를 제공합니다. 따라서 리소스 정책을 지속적으로 검토하고, 퍼블릭 또는 크로스 계정 액세스 결과를 보고하여 잠재적인 광범위한 액세스를 쉽게 분석할 수 있습니다. AWS Organizations에서 IAM Access Analyzer를 구성하여 모든 계정에 대한 가시성을 확인합니다. 또한 IAM Access Analyzer를 사용하면 리소스 사용 권한을 배포하기 전에 [Access Analyzer 결과를 미리 보기](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html)도 가능합니다. 따라서 정책 변경 사항이 리소스에 대해 의도한 퍼블릭 및 크로스 계정 액세스만 부여하는지 확인할 수 있습니다. 다중 계정 액세스를 설계할 경우 [역할을 수임할 수 있는 경우를 제어하는 신뢰 정책](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)을 사용할 수 있습니다. 예를 들어, 특정 소스 IP 범위로 역할 수임을 제한할 수 있습니다.
또한 실수로 인한 퍼블릭 액세스 구성에 대해 [AWS Config를 사용하여 리소스를 보고 및 개선](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) 할 수 있으며, 이 경우 AWS Config 정책 확인을 사용합니다. 또한 [AWS Control Tower](https://aws.amazon.com/controltower) 및 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) 와 같은 서비스는 AWS Organizations 전체에 검사 및 가드레일을 배포하기만 하면 공개적으로 노출된 리소스를 파악 및 개선할 수 있습니다. 예를 들어, AWS Control Tower는 [Amazon EBS 스냅샷이 모든 AWS 계정에 의해 복원 가능한지](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)탐지할 수 있는 관리형 가드레일을 보유합니다.
## 리소스
**관련 문서:**
+ [AWS Identity and Access Management Access Analyzer 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [AWS Control Tower의 가드레일](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS 기초 보안 모범 사례 표준](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [AWS Config 관리형 규칙](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [AWS Trusted Advisor 확인 참조](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
**관련 동영상:**
+ [다중 계정 환경 보안 모범 사례](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [IAM Access Analyzer 심층 분석](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 안전하게 리소스 공유
계정 전체에 걸쳐 또는 AWS Organizations 내에서 공유된 리소스의 사용을 관리합니다. 공유 리소스를 모니터링하고 공유 리소스 액세스를 검토합니다.
**일반적인 안티 패턴:**
+ 서드파티 크로스 계정 액세스 권한을 부여할 때 기본 IAM 신뢰 정책을 사용합니다.
**이 모범 사례가 확립되지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
여러 AWS 계정을 사용하여 워크로드를 관리할 경우 계정 간에 리소스를 공유해야 할 수 있습니다. 이것은 흔히 AWS Organizations 내에서 공유되는 크로스 계정 공유입니다. 여러 AWS 서비스, 즉 [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) 및 [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) 은 Organizations와 통합되는 크로스 계정 기능이 있습니다. 이때 [AWS Resource Access Manager](https://aws.amazon.com/ram/) 를 사용하여 기타 일반적인 리소스, 즉 [VPC 서브넷 또는 Transit Gateway Attachment](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall)또는 [Amazon SageMaker Runtime 파이프라인](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker)을 공유합니다. 계정이 Organizations 내 리소스만 공유하도록 하려면 [서비스 제어 정책(SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) 을 사용하여 외부 보안 주체에 대한 액세스를 방지하는 것이 좋습니다.
리소스를 공유할 때는 의도하지 않은 액세스로부터 보호할 수 있는 조치를 마련해야 합니다. 이를 위해 자격 증명 기반 제어와 네트워크 제어를 결합하여 [조직의 데이터 경계를 생성](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)하는 것을 권장합니다. 이러한 제어를 통해 어떤 리소스를 공유할 수 있는지에 대한 엄격한 제한을 설정하고, 리소스의 허용되지 않은 공유 또는 노출을 예방할 수 있습니다. 예를 들어, 데이터 경계의 일부로 VPC 엔드포인트 정책 및 `aws:PrincipalOrgId` 조건을 사용하여 Amazon S3 버킷에 액세스하는 자격 증명이 조직 내에 속한 것인지 확인할 수 있습니다.
경우에 따라 Organizations 외부 리소스의 공유를 허용하거나 사용자의 계정에 서드파티 액세스 권한을 부여해야 할 수 있습니다. 예를 들어, 파트너가 사용자의 계정 내 리소스에 액세스해야 하는 모니터링 솔루션을 제공할 수 있습니다. 이 경우, 서드파티에만 필요한 권한이 포함된 IAM 크로스 계정 역할을 생성해야 합니다. 또한 [외부 ID 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)을 사용하여 신뢰 정책을 만들어야 합니다. 외부 ID를 사용할 경우 각 서드파티를 위한 고유 ID를 생성해야 합니다. 고유 ID는 서드파티가 공급하거나 제어할 수 없습니다. 서드파티가 더 이상 환경에 액세스할 필요가 없다면 역할을 제거해야 합니다. 또한 어떠한 경우라도 서드파티에 장기 IAM 보안 인증을 제공하지 않아야 합니다. 기본적으로 공유를 지원하는 다른 AWS 서비스를 계속 인지하고 있어야 합니다. 예를 들어, AWS Well-Architected Tool에서 [워크로드 공유](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) 로 다른 AWS 계정과의 공유를 허용할 수 있습니다.
Amazon S3와 같은 서비스를 사용할 경우 [Amazon S3 버킷에 대한 ACL을 비활성화](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) 하고 IAM 정책을 사용하여 액세스 제어를 정의하는 것이 좋습니다. [Amazon S3 오리진에](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) 대한 액세스를 [Amazon CloudFront](https://aws.amazon.com/cloudfront/)에서 제한하려면 오리진 액세스 ID(OAI)에서 [AWS KMS](https://aws.amazon.com/kms/)를 통한 서버 측 암호화를 비롯한 추가 기능을 지원하는 오리진 액세스 제어(OAC)로 마이그레이션하세요.
## 리소스
**관련 문서:**
+ [버킷 소유자가 소유하지 않은 객체에 크로스 계정 권한 부여](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [IAM을 통한 신뢰 정책 사용 방법](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [AWS에 데이터 경계 구축](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [AWS 리소스에 대한 서드파티 액세스 권한을 부여할 때 외부 ID를 사용하는 방법](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
**관련 동영상:**
+ [AWS Resource Access Manager를 통한 세분화된 액세스](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [VPC 엔드포인트를 통한 데이터 경계 보호](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [AWS에 데이터 경계 설정 ](https://www.youtube.com/watch?v=SMi5OBjp1fI)
# 탐지
**Topics**
+ [
# SEC 4 보안 관련 이벤트를 어떻게 감지하나요?
](w2aac19b7b9b5.md)
# SEC 4 보안 관련 이벤트를 어떻게 감지하나요?
이벤트는 로그와 지표에서 캡처하고 분석하는 방식으로 파악할 수 있습니다. 보안 이벤트 및 잠재적 위협에 대한 조치를 취하면 워크로드를 보호할 수 있습니다.
**Topics**
+ [
# SEC04-BP01 서비스 및 애플리케이션 로깅 구성
](sec_detect_investigate_events_app_service_logging.md)
+ [
# SEC04-BP02 로그, 결과 및 지표를 중앙에서 분석
](sec_detect_investigate_events_analyze_all.md)
+ [
# SEC04-BP03 이벤트 대응 자동화
](sec_detect_investigate_events_auto_response.md)
+ [
# SEC04-BP04 조치 가능한 보안 이벤트 구현
](sec_detect_investigate_events_actionable_events.md)
# SEC04-BP01 서비스 및 애플리케이션 로깅 구성
워크로드 전반에 걸쳐 애플리케이션 로그, 리소스 로그 및 AWS 서비스 로그를 포함한 로깅을 구성합니다. 예를 들어 조직 내 모든 계정에 대해 AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty 및 AWS Security Hub CSPM가 활성화되어 있는지 확인합니다.
기초적인 방법은 계정 수준에서 탐지 메커니즘 세트를 설정하는 것입니다. 이 기본 메커니즘 세트는 계정의 모든 리소스에서 광범위한 작업을 기록하고 탐지하는 것을 목표로 합니다. 이를 통해 자동화된 수정, 기능 추가를 위한 파트너 통합 등의 옵션이 포함된 포괄적인 탐지 기능을 구축할 수 있습니다.
AWS에서 이 기본 세트를 구현할 수 있는 서비스는 다음과 같습니다.
+ [AWS CloudTrail](http://aws.amazon.com/cloudtrail) 은 AWS Management Console, AWS SDK, 명령줄 도구 및 기타 AWS 서비스를 통해 수행된 작업을 비롯하여 AWS 계정 활동의 이벤트 이력을 제공합니다.
+ [AWS Config](http://aws.amazon.com/config) 의 경우 AWS 리소스 구성을 모니터링 및 기록하며, 원하는 구성을 기준으로 자동으로 평가하고 수정할 수 있습니다.
+ [Amazon GuardDuty](http://aws.amazon.com/guardduty) 는 악성 활동 및 무단 행위를 지속적으로 모니터링하여 AWS 계정 및 워크로드를 보호하는 위협 탐지 서비스입니다.
+ [AWS Security Hub CSPM](http://aws.amazon.com/security-hub) 는 여러 AWS 서비스 및 타사 제품(선택 사항)의 보안 알림 또는 탐지 결과를 집계하고 정리하고 우선순위를 지정함으로써 보안 알림 및 규정 준수 상태를 종합적으로 파악할 수 있는 단일 장소를 제공합니다.
대다수의 주요 AWS 서비스(예: [Amazon Virtual Private Cloud Console(Amazon VPC)](http://aws.amazon.com/vpc))는 근본적으로 계정 수준을 기반으로 구축되어 서비스 수준 로깅 기능을 제공합니다. [Amazon VPC 흐름 로그](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 를 사용하면 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 정보를 캡처할 수 있습니다. 이러한 정보는 연결 기록에 대한 중요한 통찰력을 제공하고 변칙적 동작에 대한 자동화된 작업을 트리거할 수 있습니다.
Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스와 AWS 서비스에서 시작되지 않은 애플리케이션 기반 로깅의 경우, [Amazon CloudWatch Logs을 사용하여 로그를 저장하고 분석할 수 있습니다](http://aws.amazon.com/cloudwatch). 클라우드 [에이전트](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) 는 실행 중인 운영 체제 및 애플리케이션에서 로그를 수집하여 자동으로 저장합니다. CloudWatch Logs에서 로그를 사용할 수 있게 되면 [실시간으로 처리](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html)하거나 다음을 사용해 바로 분석 작업을 진행할 수 있습니다. [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html).
로그 수집과 집계 작업도 중요하지만, 복잡한 아키텍처에서 생성되는 대량의 로그 및 이벤트 데이터에서 의미 있는 분석 정보를 추출하는 기능도 중요합니다. 자세한 내용은 *모니터링* 섹션을 참조하십시오. [안정성 원칙 백서](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/monitor-workload-resources.html) 에서 추가 정보를 확인하세요. 로그 자체에 민감한 것으로 간주되는 데이터가 포함될 수 있습니다. CloudWatch Logs 에이전트가 캡처하는 로그 파일로 가는 경로를 애플리케이션 데이터가 잘못 찾은 경우 또는 로그 병합을 위해 교차 리전 로깅이 구성되어 있는데 경계를 넘어 특정 종류의 정보를 전송하는 데 대한 법률적 고려 사항이 있는 경우입니다.
한 가지 방식은 로그가 전송될 때 이벤트에서 트리거되는 AWS Lambda 함수를 사용하여 Amazon Simple Storage Service(Amazon S3) 버킷과 같은 중앙 로깅 위치로 전달하기 전에 로그 데이터를 필터링하고 교정하는 것입니다. 수정되지 않은 로그는 ‘합리적인 시간’(규정 및 법무팀에서 결정함)이 경과할 때까지 로컬 버킷에 보존될 수 있으며, 해당 시점에 도달하면 Amazon S3 수명 주기 규칙이 자동으로 로그를 삭제할 수 있습니다. 또한 Amazon S3에서 [Amazon S3 객체 잠금](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)을 사용하여 Amazon S3에서 로그를 추가적으로 보호할 수도 있는데, 이 경우 WORM(Write-Once-Read-Many) 모델을 사용해 객체를 저장할 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ AWS 서비스 로깅 사용: 요구 사항을 충족하도록 AWS 서비스 로깅을 사용합니다. 로깅 기능: Amazon VPC 흐름 로그, Elastic Load Balancing(ELB) 로그, Amazon S3 버킷 로그, CloudFront 액세스 로그, Amazon Route 53 쿼리 로그, Amazon Relational Database Service(Amazon RDS) 로그가 있습니다.
+ [AWS Answers: 기본 AWS 보안 로깅 기능 ](https://aws.amazon.com/answers/logging/aws-native-security-logging-capabilities/)
+ 의심스러운 동작을 감지하기 위해 운영 체제 및 애플리케이션별 로그의 로깅을 평가하고 활성화합니다.
+ [ CloudWatch Logs 시작하기 ](http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [ 개발자 도구 및 로그 분석 ](https://aws.amazon.com/marketplace/search/results?category=4988009011)
+ 로그에 적절한 제어 적용: 로그에는 중요한 정보가 포함되어 있을 수 있으므로 승인된 사용자만 로그에 액세스해야 합니다. Amazon S3 버킷 및 CloudWatch Logs 로그 그룹에 대한 권한 제한을 고려합니다.
+ [ Amazon CloudWatch에 대한 인증 및 액세스 제어 ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)
+ [Amazon S3에서 자격 증명 및 액세스 관리 ](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
+ 구성 [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html): GuardDuty는 악성 활동 및 무단 행위를 지속적으로 찾아 AWS 계정 및 워크로드를 보호하는 위협 탐지 서비스입니다. 실습을 사용하여 GuardDuty를 활성화하고 이메일을 통한 자동 알림을 구성합니다.
+ [CloudTrail에서 맞춤형 추적 구성](http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html): 추적을 구성하면 기본 기간보다 더 오랜 시간 로그를 저장하고 나중에 분석할 수 있습니다.
+ 지원 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html): AWS Config를 사용하면 AWS 계정의 AWS 리소스 구성을 자세히 확인할 수 있습니다. 이 보기에는 리소스가 서로 어떻게 관련되어 있고 이전에 어떻게 구성되었는지 포함되므로 시간 경과에 따른 구성 및 관계 변화를 확인할 수 있습니다.
+ 지원 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html):Security Hub CSPM는 AWS 내의 보안 상태에 대한 종합적인 보기를 제공하며 보안 업계 표준 및 모범 사례 준수 여부를 확인하도록 도와줍니다. Security Hub CSPM는 AWS 계정, 서비스, 지원되는 서드 파티 파트너 제품에서 보안 데이터를 수집하며, 보안 추세를 분석하고 가장 우선순위가 높은 보안 문제를 파악하는 데 도움이 됩니다.
## 리소스
**관련 문서:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ 시작하기: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [보안 파트너 솔루션: 로깅 및 모니터링](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**관련 동영상:**
+ [ 리소스 구성 및 규정 준수를 중앙에서 모니터링 ](https://youtu.be/kErRv4YB_T4)
+ [Amazon GuardDuty 및 AWS Security Hub CSPM 결과 수정 ](https://youtu.be/nyh4imv8zuk)
+ [ 클라우드에서 위협 관리: Amazon GuardDuty 및 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**관련 예시:**
+ [ 실습: 탐지 제어 자동 배포 ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP02 로그, 결과 및 지표를 중앙에서 분석
보안 운영팀은 로그를 수집하고 검색 도구를 사용하여 발생 가능한 관심 이벤트(무단 활동 또는 의도하지 않은 변경을 나타낼 수 있음)를 검색할 수 있습니다. 하지만 수집된 데이터를 분석하고 정보를 수동으로 처리하는 것만으로는 복잡한 아키텍처에서 유입되는 대량의 정보를 파악하기가 어렵습니다. 분석 및 보고만 수행하면 이벤트를 처리하는 데 적합한 리소스를 제때 원활하게 할당할 수 없습니다.
완성된 보안 운영팀을 구축하기 위한 모범 사례는 보안 이벤트 흐름 및 이벤트에서 확인된 정보를 알림 및 워크플로 시스템(예: 티켓팅 시스템, 버그 또는 문제 시스템 또는 기타 보안 정보 및 이벤트 관리(SIEM) 시스템)에 심층적으로 통합하는 것입니다. 이렇게 하면 이메일 및 정적 보고서가 아닌 효율적 방식으로 워크플로를 파악할 수 있으며 이벤트나 이벤트를 통해 확인된 정보를 라우팅, 에스컬레이션 및 관리할 수 있습니다. 대부분의 조직은 보안 알림도 채팅 또는 협업 및 개발자 생산성 플랫폼에 통합하고 있습니다. 자동화에 착수하는 조직의 경우, API 기반의 지연 시간이 짧은 티켓팅 시스템은 먼저 자동화할 대상을 계획할 때 상당한 유연성을 제공합니다.
이러한 모범 사례는 사용자 활동이나 네트워크 이벤트를 보여 주는 로그 메시지에서 생성된 보안 이벤트뿐 아니라 인프라 자체에서 감지된 변경 사항에도 적용됩니다. 어느 정도의 변화를 받아들일 것인지에 대한 기준이 명확하지 않기 때문에 AWS Identity and Access Management(IAM) 및 AWS Organizations 구성의 조합을 통해 변경 사항이 실행되는 것을 방지할 수 없는 경우에는 변경을 감지하고 변경 사항이 적절한지 판단한 다음 해당 정보를 올바른 수정 워크플로로 라우팅하는 능력이 보안 아키텍처를 유지 관리하고 검증하는 데 필수적입니다.
Amazon GuardDuty 및 AWS Security Hub CSPM는 다른 AWS 서비스를 통해서도 사용할 수 있는 로그 레코드에 대한 집계, 중복 제거, 분석 메커니즘을 제공합니다. GuardDuty는 AWS CloudTrail 관리 및 데이터 이벤트, VPC DNS 로그, VPC 흐름 로그와 같은 소스에서의 정보를 수집, 집계, 분석합니다. Security Hub CSPM는 GuardDuty, AWS Config, Amazon Inspector, Amazon Macie, AWS Firewall Manager 및 AWS Marketplace에서 사용할 수 있는 수많은 서드 파티 보안 제품에서의 출력은 물론 적절히 구축하는 경우 사용자 자체 코드에서의 출력을 수집, 집계, 분석할 수 있습니다. GuardDuty 및 Security Hub CSPM 모두 여러 계정의 결과와 분석 정보를 집계할 수 있는 관리자-멤버 모델을 보유하고 있으며, Security Hub CSPM는 온프레미스 SIEM을 AWS 측 로그 및 알림 프리프로세서와 어그리게이터로 사용하는 고객들이 주로 사용합니다. 이러한 고객들은 AWS Lambda 기반 프로세서와 전달자를 통해 Amazon EventBridge에 수집할 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ 로그 처리 기능 평가: 로그 처리에 사용할 수 있는 옵션을 평가합니다.
+ [Amazon OpenSearch Service를 사용하여 거의 모든 것을 로깅 및 모니터링하기 ](https://d1.awsstatic.com/whitepapers/whitepaper-use-amazon-elasticsearch-to-log-and-monitor-almost-everything.pdf)
+ [로깅 및 모니터링 솔루션 전문 파트너 찾기 ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
+ CloudTrail 로그 분석을 시작할 때 Amazon Athena를 테스트합니다.
+ [ Athena를 구성하여 CloudTrail 로그 분석 ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)
+ AWS에서 중앙 집중식 로깅 구현: 다음 AWS 예시 솔루션을 통해 여러 소스에서 로깅을 중앙 집중화하는 방법을 알아보십시오.
+ [로깅 솔루션 중앙 집중화 ](https://aws.amazon.com/solutions/centralized-logging/https://aws.amazon.com/solutions/centralized-logging/)
+ 파트너와 중앙 집중식 로깅 구현: APN 파트너는 중앙에서 로그를 분석하는 데 도움이 되는 솔루션을 보유하고 있습니다.
+ [ 로깅 및 모니터링 ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
## 리소스
**관련 문서:**
+ [AWS Answers: 중앙 집중식 로깅 ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ 시작하기: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [보안 파트너 솔루션: 로깅 및 모니터링](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**관련 동영상:**
+ [ 리소스 구성 및 규정 준수를 중앙에서 모니터링 ](https://youtu.be/kErRv4YB_T4)
+ [Amazon GuardDuty 및 AWS Security Hub CSPM 결과 수정 ](https://youtu.be/nyh4imv8zuk)
+ [ 클라우드에서 위협 관리: Amazon GuardDuty 및 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# SEC04-BP03 이벤트 대응 자동화
자동화 기능을 사용하여 이벤트를 조사하고 해결하면 수작업 부담과 인적 오류가 줄어들고 조사 역량을 확대할 수 있습니다. 정기적인 검토는 자동화 도구를 튜닝하고 지속적으로 반복하는 데 도움이 됩니다.
AWS에서는 Amazon EventBridge를 사용하여 관심 있는 이벤트와 자동화된 워크플로에 대해 예기치 않은 잠재적 변경 사항에 대한 정보를 조사할 수 있습니다. 이 서비스는 AWS CloudTrail 이벤트 등의 기본 AWS 이벤트 형식과 애플리케이션에서 생성 가능한 사용자 지정 이벤트를 중개하도록 설계된 확장 가능 규칙 엔진을 제공합니다. 또한 Amazon GuardDuty를 사용하면 인시던트 대응 시스템(AWS Step Functions)을 구축하는 워크플로 시스템 또는 중앙 보안 계정에 이벤트를 라우팅하거나, 추가 분석을 위해 버킷에 이벤트를 라우팅할 수 있습니다.
AWS Config 규칙 및 [규정 준수 팩을](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)사용하여 변경 사항을 감지하고 이 정보를 올바른 워크플로로 라우팅할 수도 있습니다. AWS Config는 범위 내 서비스의 변경 사항을 감지(EventBridge보다 지연 시간이 긺)한 다음 롤백/규정 준수 정책 적용/변경 관리 플랫폼 및 운영 티켓팅 시스템 등으로 정보 전달을 위해, AWS Config 규칙 규칙을 사용하여 구문 분석할 수 있는 이벤트를 생성합니다. 자체 Lambda 함수를 작성하여 AWS Config 이벤트에 응답하는 것은 물론 [AWS Config 규칙 개발 키트](https://github.com/awslabs/aws-config-rdk) 및 [오픈 소스](https://github.com/awslabs/aws-config-rules) AWS Config 규칙도 활용할 수 있습니다. 규정 준수 팩은 YAML 템플릿으로 작성된 단일 엔터티로 배포하는 AWS Config 규칙 및 해결 조치의 모음입니다. 샘플 [규정 준수 팩 템플릿은](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) AWS Well-Architected 보안 원칙에서 사용 가능합니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
+ GuardDuty로 자동화된 알림 구현: GuardDuty는 악성 활동 및 무단 행위를 지속적으로 모니터링하여 AWS 계정 및 워크로드를 보호하는 위협 탐지 서비스입니다. GuardDuty를 활성화하고 자동 알림을 구성합니다.
+ 조사 프로세스 자동화: 이벤트를 조사하여 관리자가 시간을 절약할 수 있도록 정보를 보고하는 자동화된 프로세스를 개발합니다.
+ [ 실습: Amazon GuardDuty 체험 ](https://hands-on-guardduty.awssecworkshops.com/)
## 리소스
**관련 문서:**
+ [AWS Answers: 중앙 집중식 로깅 ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ 시작하기: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [보안 파트너 솔루션: 로깅 및 모니터링](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
+ [ Amazon GuardDuty 설정 ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)
**관련 동영상:**
+ [ 리소스 구성 및 규정 준수를 중앙에서 모니터링 ](https://youtu.be/kErRv4YB_T4)
+ [Amazon GuardDuty 및 AWS Security Hub CSPM 결과 수정 ](https://youtu.be/nyh4imv8zuk)
+ [ 클라우드에서 위협 관리: Amazon GuardDuty 및 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**관련 예시:**
+ [실습: 탐지 제어 자동 배포 ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP04 조치 가능한 보안 이벤트 구현
팀에게 전송되고 팀에서 조치를 취할 수 있는 알림을 생성합니다. 팀에서 조치를 취하는 데 필요한 관련 정보가 알림에 포함되도록 합니다. 보유한 각 탐지 메커니즘에 대해 [런북](https://wa.aws.amazon.com/wat.concept.runbook.en.html) 또는 [플레이북](https://wa.aws.amazon.com/wat.concept.playbook.en.html)형태의 조사 프로세스도 있어야 합니다. 예를 들어 [Amazon GuardDuty](http://aws.amazon.com/guardduty)를 활성화하면 서로 다른 [결과가 생성됩니다.](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html). 각 결과 유형에 대한 런북 항목이 있어야 합니다. 예를 들어 [트로이 목마](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_trojan.html) 를 발견한 경우에는 누군가에게 조사 및 수정을 지시하는 간단한 지침이 런북 안에 있습니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
+ AWS 서비스에서 사용할 수 있는 지표 파악: 사용 중인 서비스에 대해 Amazon CloudWatch를 통해 사용할 수 있는 지표를 검색합니다.
+ [AWS 서비스 설명서](https://aws.amazon.com/documentation/)
+ [Amazon CloudWatch 지표 사용](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ Amazon CloudWatch 경보를 구성합니다.
+ [Amazon CloudWatch 경보 사용](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## 리소스
**관련 문서:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [보안 파트너 솔루션: 로깅 및 모니터링](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**관련 동영상:**
+ [ 리소스 구성 및 규정 준수를 중앙에서 모니터링 ](https://youtu.be/kErRv4YB_T4)
+ [Amazon GuardDuty 및 AWS Security Hub CSPM 결과 수정 ](https://youtu.be/nyh4imv8zuk)
+ [ 클라우드에서 위협 관리: Amazon GuardDuty 및 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# 인프라 보호
**Topics**
+ [
# SEC 5 네트워크 리소스는 어떻게 보호합니까?
](w2aac19b7c11b5.md)
+ [
# SEC 6 컴퓨팅 리소스를 어떻게 보호합니까?
](w2aac19b7c11b7.md)
# SEC 5 네트워크 리소스는 어떻게 보호합니까?
인터넷이든 프라이빗 네트워크이든 상관없이 어떤 형태든 네트워크 연결이 있는 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하기 위한 다중 방어 계층이 필요합니다.
**Topics**
+ [
# SEC05-BP01 네트워크 계층 생성
](sec_network_protection_create_layers.md)
+ [
# SEC05-BP02 모든 계층에서 트래픽 제어
](sec_network_protection_layered.md)
+ [
# SEC05-BP03 네트워크 보호 자동화
](sec_network_protection_auto_protect.md)
+ [
# SEC05-BP04 검사 및 보호 구현
](sec_network_protection_inspection.md)
# SEC05-BP01 네트워크 계층 생성
동일한 연결 요구 사항을 공유하는 구성 요소를 계층으로 그룹화합니다. 예를 들어 인터넷에 액세스할 필요가 없는 Virtual Private Cloud(VPC)의 데이터베이스 클러스터는 인터넷에 연결되는 경로가 없는 서브넷에 배치해야 합니다. VPC 없이 운영되는 서버리스 워크로드의 경우, 마이크로서비스를 사용한 유사한 계층화 및 세분화를 통해 동일한 목표를 실현할 수 있습니다.
연결성 요구 사항을 공유하는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, Amazon Relational Database Service(Amazon RDS) 데이터베이스 클러스터, AWS Lambda 함수와 같은 구성 요소를 서브넷으로 구성된 계층으로 분할할 수 있습니다. 예를 들어 인터넷에 액세스할 필요가 없는 VPC의 Amazon RDS 데이터베이스 클러스터는 인터넷에 연결되는 경로가 없는 서브넷에 배치해야 합니다. 이러한 계층적 제어 방식은 의도하지 않은 액세스를 허용할 수 있는 단일 계층 구성 오류로 인한 영향을 완화합니다. Lambda의 경우, VPC에서 함수를 실행하여 VPC 기반 제어를 활용할 수 있습니다.
수천 개의 VPC, AWS 계정, 온프레미스 네트워크를 포함할 수 있는 네트워크 연결의 경우 다음을 사용해야 합니다. [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). AWS Transit Gateway는 스포크처럼 작동하는 모든 연결된 네트워크 간에 트래픽이 라우팅되는 방식을 제어하는 허브 역할을 합니다. Amazon Virtual Private Cloud와 AWS Transit Gateway 간의 트래픽은 AWS 프라이빗 네트워크에 유지되므로 DDoS(Distributed Denial of Service) 공격과 같은 외부 위협 벡터 그리고 SQL 명령어 삽입, 교차 사이트 스크립팅, 교차 사이트 요청 위조, 손상된 인증 코드 남용과 같은 일반적인 악용을 줄입니다. AWS Transit Gateway 리전 간 피어링은 하나의 장애 지점 또는 대역폭 병목 없이 리전 간 트래픽을 암호화합니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ VPC에 서브넷 생성: 각 계층(여러 가용 영역을 포함하는 그룹)별로 서브넷을 생성하고 라우팅 테이블을 연결하여 라우팅을 제어합니다.
+ [VPC 및 서브넷 ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [라우팅 테이블 ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
## 리소스
**관련 문서:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+ [Amazon VPC 보안](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [AWS WAF 시작하기](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**관련 동영상:**
+ [AWS Transit Gateway reference architectures for many VPCs(여러 VPC를 위한 AWS Transit Gateway 참조 아키텍처) ](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield(Amazon CloudFront, AWS WAF 및 AWS Shield를 사용한 애플리케이션 가속화 및 보호)](https://youtu.be/0xlwLEccRe0)
**관련 예시:**
+ [실습: VPC 자동 배포](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP02 모든 계층에서 트래픽 제어
네트워크 토폴로지를 설계할 때 각 구성 요소의 연결 요구 사항을 조사해야 합니다. 예를 들어 구성 요소에 인터넷 액세스(인바운드 및 아웃바운드), VPC 연결, 엣지 서비스, 외부 데이터 센터가 필요한지 조사해야 합니다.
VPC를 사용하면 설정한 프라이빗 IPv4 주소 범위 또는 AWS에서 선택한 IPv6 주소 범위를 사용하여 AWS 리전 전반의 네트워크 토폴로지를 정의할 수 있습니다. 보안 그룹(상태 저장 검사 방화벽), 네트워크 ACL, 서브넷, 라우팅 테이블을 사용하는 등 인바운드 및 아웃바운드 트래픽 모두에 대해 심층적인 방어 접근 방식을 갖춘 여러 제어를 적용해야 합니다. VPC 내의 가용 영역에서 서브넷을 생성할 수 있습니다. 각 서브넷에는 서브넷 내의 트래픽이 전송되는 경로 관리를 위한 라우팅 규칙을 정의하는 연결된 경로 테이블이 있을 수 있습니다. VPC에 연결된 인터넷 또는 NAT 게이트웨이로 이동하거나 다른 VPC를 통해 이동하는 경로를 설정하면 인터넷 라우팅 가능한 서브넷을 정의할 수 있습니다.
VPC 내에서 시작되는 인스턴스, Amazon Relational Database Service(Amazon RDS) 데이터베이스 또는 기타 서비스에는 네트워크 인터페이스별로 자체 보안 그룹이 있습니다. 이 방화벽은 운영 체제 계층 외부에 있으며, 허용되는 인바운드 및 아웃바운드 트래픽용 규칙을 정의하는 데 사용할 수 있습니다. 보안 그룹 간의 관계를 정의할 수도 있습니다. 예를 들어 데이터베이스 계층 보안 그룹 내의 인스턴스는 관련 인스턴스에 적용된 보안 그룹을 참조하여 애플리케이션 계층 내의 인스턴스에서 전송하는 트래픽만 수락합니다. 비TCP 프로토콜을 사용하지 않는 한, 로드 밸런서 또는 다음 서비스 없이 인터넷에서 직접 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 액세스할 필요가 없습니다(보안 그룹에 의해 제한된 포트를 사용하는 경우에도). [CloudFront](https://aws.amazon.com/cloudfront). 이것은 운영 체제 또는 애플리케이션 문제를 통해 이루어지는 무단 침입으로부터 보호하는 데 도움이 됩니다. 서브넷은 상태 비저장 방화벽 역할을 하는 네트워크 ACL을 연결할 수도 있습니다. 계층 간에 허용되는 트래픽 범위를 좁히도록 네트워크 ACL을 구성해야 합니다. 이때 인바운드 규칙과 아웃바운드 규칙을 모두 정의해야 합니다.
일부 AWS 서비스에서는 API 호출을 위해 [AWS API 엔드포인트가](https://docs.aws.amazon.com/general/latest/gr/rande.html) 위치한 인터넷에 구성 요소가 액세스해야 합니다. 다른 AWS 서비스에서는 [VPC 엔드포인트](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) 를 Amazon VPC 내에서 사용합니다. Amazon S3 및 Amazon DynamoDB를 비롯한 여러 AWS 서비스가 VPC 엔드포인트를 지원하며, 이 기술은 다음에서 일반화되었습니다. [AWS PrivateLink](https://aws.amazon.com/privatelink/). 이 접근법을 사용하여 AWS 서비스, 서드 파티 서비스, 다른 VPC에 호스팅되는 사용자의 자체 서비스에 안전하게 액세스하는 것을 권장합니다. AWS PrivateLink의 모든 트래픽은 글로벌 AWS 백본에 유지되며 인터넷을 통해 이동하지 않습니다. 연결은 서비스의 제공업체가 아닌 서비스의 소비자만 시작할 수 있습니다. 외부 서비스 액세스에 AWS PrivateLink를 사용하면 인터넷 액세스 없이 에어 갭 VPC를 생성할 수 있으며 VPC를 외부 위협 벡터로부터 보호하는 데 도움이 됩니다. 서드 파티 서비스는 AWS PrivateLink를 사용하여 고객이 VPC에서 프라이빗 IP 주소를 통해 서비스에 연결하도록 할 수 있습니다. 인터넷에 아웃바운드 연결해야 하는 VPC 자산의 경우 AWS 관리형 NAT 게이트웨이, 아웃바운드 전용 인터넷 게이트웨이 또는 사용자가 생성하고 관리하는 웹 프록시를 통해 아웃바운드 전용(단방향)으로 연결할 수 있습니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ VPC에서 네트워크 트래픽 제어: VPC 모범 사례를 구현하여 트래픽을 제어합니다.
+ [Amazon VPC 보안](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)
+ [VPC 엔드포인트](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Amazon VPC 보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [네트워크 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ 엣지에서 트래픽 제어: Amazon CloudFront와 같은 엣지 서비스를 구현하여 추가 보호 계층과 기타 기능을 제공합니다.
+ [Amazon CloudFront 사용 사례](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html)
+ [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [AWS Web Application Firewall(AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html)
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [Amazon VPC 인그레스 라우팅](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/)
+ 프라이빗 네트워크 트래픽 제어: 워크로드에 대한 프라이빗 트래픽을 보호하는 서비스를 구현합니다.
+ [Amazon VPC 피어링](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [Amazon VPC 엔드포인트 서비스(AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html)
+ [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [AWS 클라이언트 VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html)
+ [Amazon S3 액세스 포인트](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html)
## 리소스
**관련 문서:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [AWS WAF 시작하기](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**관련 동영상:**
+ [AWS Transit Gateway reference architectures for many VPCs(여러 VPC를 위한 AWS Transit Gateway 참조 아키텍처)](https://youtu.be/9Nikqn_02Oc)
+ [Amazon CloudFront, AWS WAF, AWS Shield를 사용한 애플리케이션 가속화 및 보호 ](https://youtu.be/0xlwLEccRe0)
**관련 예시:**
+ [실습: VPC 자동 배포](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP03 네트워크 보호 자동화
위협 정보 및 이상 상태 감지 결과에 따라 자체 방어 네트워크를 제공하는 보호 메커니즘을 자동화합니다. 예를 들어 최신 위협에 적응하고 위협의 영향을 줄일 수 있는 침입 탐지 및 방지 도구가 있습니다. 웹 애플리케이션 방화벽은 네트워크 보호를 자동화할 수 있는 곳의 일례입니다. 예를 들어 AWS WAF Security Automations 솔루션([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations))을 사용하여 알려진 위협 요소와 연결된 IP 주소에서 시작되는 요청을 자동으로 차단할 수 있습니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
+ 웹 기반 트래픽에 대한 보호 자동화: AWS는 일반적인 웹 기반 공격을 필터링하도록 설계된 AWS WAF 규칙 세트를 AWS CloudFormation을 사용하여 자동으로 배포하는 솔루션을 제공합니다. 사용자는 AWS WAF 웹 액세스 제어 목록(웹 ACL)에 포함된 규칙을 정의하도록 사전 구성된 다양한 보호 기능 중에서 선택할 수 있습니다.
+ [AWS WAF 보안 자동화](https://aws.amazon.com/solutions/aws-waf-security-automations/)
+ AWS Partner 솔루션 고려: AWS 파트너는 고객 온프레미스 환경의 기존 제어 솔루션과 동등한 수준이거나, 동일하거나 통합된 업계 최고 수준의 수백 가지 제품을 제공합니다. 이러한 제품은 기존 AWS 서비스를 보완하여 클라우드 및 온프레미스 환경에 포괄적인 보안 아키텍처와 보다 원활한 환경을 배포할 수 있도록 해줍니다.
+ [인프라 보안](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## 리소스
**관련 문서:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Amazon VPC 보안](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [AWS WAF 시작하기](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**관련 동영상:**
+ [AWS Transit Gateway reference architectures for many VPCs(여러 VPC를 위한 AWS Transit Gateway 참조 아키텍처)](https://youtu.be/9Nikqn_02Oc)
+ [Amazon CloudFront, AWS WAF, AWS Shield를 사용한 애플리케이션 가속화 및 보호 ](https://youtu.be/0xlwLEccRe0)
**관련 예시:**
+ [실습: VPC 자동 배포](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP04 검사 및 보호 구현
각 계층에서 트래픽을 검사하고 필터링합니다. 사용자는 [VPC Network Access Analyzer를 사용하여 잠재적인 의도치 않은 액세스에 대해 VPC 구성을 검사할 수 있습니다](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). 네트워크 액세스 요구 사항을 지정하고 이 요구 사항을 충족하지 않는 잠재적인 네트워크 경로를 찾을 수 있습니다. HTTP 기반 프로토콜을 통해 트랜잭션되는 구성 요소의 경우, 웹 애플리케이션 방화벽이 일반 공격으로부터 보호하는 데 도움을 줄 수 있습니다. [AWS WAF](https://aws.amazon.com/waf) 는 Amazon API Gateway API, Amazon CloudFront 또는 Application Load Balancer로 전달되는 구성 가능한 규칙과 일치하는 HTTP(s) 요청을 모니터링하고 차단할 수 있는 웹 애플리케이션 방화벽입니다. AWS WAF를 시작하려면 [AWS Managed Rules](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) 를 자체 규칙과 함께 사용하거나 기존 [파트너 통합을 사용할 수 있습니다.](https://aws.amazon.com/waf/partners/).
AWS Organizations 전반에서 AWS WAF, AWS Shield Advanced 보호, Amazon VPC 보안 그룹을 관리하기 위해 AWS Firewall Manager를 사용할 수 있습니다. 그러면 여러 계정과 애플리케이션의 방화벽 규칙을 중앙에서 구성하고 관리할 수 있으므로 일반 규칙 적용을 좀 더 쉽게 확장할 수 있습니다. 공격에 신속하게 대응하기 위해 [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html)나 웹 애플리케이션에 대한 원치 않는 요청을 자동으로 차단할 수 있는 [솔루션](https://aws.amazon.com/solutions/aws-waf-security-automations/) 을 사용할 수도 있습니다. Firewall Manager는 [AWS Network Firewall과도 연동됩니다](https://aws.amazon.com/network-firewall/). AWS Network Firewall은 규칙 엔진을 사용하여 스테이트풀 및 스테이트리스 네트워크를 모두 세세하게 제어할 수 있는 관리형 서비스입니다. 이 서비스는 워크로드 보호에 도움이 되도록 규칙에 [Suricata 호환](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) 오픈 소스 침입 예방 시스템(IPS) 사양을 지원합니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
+ Amazon GuardDuty 구성: GuardDuty는 악성 활동 및 무단 행위를 지속적으로 모니터링하여 AWS 계정 및 워크로드를 보호하는 위협 탐지 서비스입니다. GuardDuty를 활성화하고 자동 알림을 구성합니다.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
+ [실습: 탐지 제어 자동 배포](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
+ Virtual Private Cloud(VPC) 흐름 로그 구성: VPC 흐름 로그는 VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 캡처하는 데 사용할 수 있는 기능입니다. 흐름 로그 데이터를 Amazon CloudWatch Logs 및 Amazon Simple Storage Service(Amazon S3)에 게시할 수 있습니다. 흐름 로그를 생성한 후에는 선택한 대상에서 해당 데이터를 검색하여 확인할 수 있습니다.
+ VPC 트래픽 미러링 고려: 트래픽 미러링은 콘텐츠 검사, 위협 모니터링 및 문제 해결을 위해 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 탄력적 네트워크 인터페이스에서 네트워크 트래픽을 복사한 다음 대역 외 보안 및 모니터링 어플라이언스로 전송하는 데 사용할 수 있는 Amazon VPC 기능입니다.
+ [VPC 트래픽 미러링](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
## 리소스
**관련 문서:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Amazon VPC 보안](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [AWS WAF 시작하기](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**관련 동영상:**
+ [여러 VPC를 위한 AWS Transit Gateway 참조 아키텍처](https://youtu.be/9Nikqn_02Oc)
+ [Amazon CloudFront, AWS WAF, AWS Shield를 사용한 애플리케이션 가속화 및 보호](https://youtu.be/0xlwLEccRe0)
**관련 예시:**
+ [실습: VPC 자동 배포](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC 6 컴퓨팅 리소스를 어떻게 보호합니까?
워크로드의 컴퓨팅 리소스는 다계층 방어를 통해 내/외부 위협으로부터 보호해야 합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다.
**Topics**
+ [
# SEC06-BP01 취약성 관리 수행
](sec_protect_compute_vulnerability_management.md)
+ [
# SEC06-BP02 공격 표면 축소
](sec_protect_compute_reduce_surface.md)
+ [
# SEC06-BP03 관리형 서비스 구현
](sec_protect_compute_implement_managed_services.md)
+ [
# SEC06-BP04 컴퓨팅 보호 자동화
](sec_protect_compute_auto_protection.md)
+ [
# SEC06-BP05 사용자가 원격으로 작업을 수행할 수 있도록 지원
](sec_protect_compute_actions_distance.md)
+ [
# SEC06-BP06 소프트웨어 무결성 검증
](sec_protect_compute_validate_software_integrity.md)
# SEC06-BP01 취약성 관리 수행
코드, 종속성 및 인프라의 취약성을 자주 스캔하고 패치하여 새로운 위협으로부터 보호합니다.
컴퓨팅 인프라 구성부터 시작해서 AWS CloudFormation를 사용하여 리소스 생성 및 업데이트를 자동화할 수 있습니다. CloudFormation에서는 AWS 예시를 사용하거나 직접 작성하여 YAML 또는 JSON으로 작성된 템플릿을 생성할 수 있습니다. 따라서 기본적으로 보안이 내재된 인프라 템플릿을 사용하여 [CloudFormation Guard로](https://aws.amazon.com/about-aws/whats-new/2020/10/aws-cloudformation-guard-an-open-source-cli-for-infrastructure-compliance-is-now-generally-available/)확인함으로써 시간을 절약하고 구성 오류의 위험을 줄일 수 있습니다. 지속적 전달을 사용하여 인프라를 구축하고 애플리케이션을 배포할 수 있습니다. 예를 들면 [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html)등을 사용하여 구축, 테스트, 릴리스를 자동화할 수 있습니다.
Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, Amazon Machine Image(AMI)와 같은 AWS 리소스 및 기타 컴퓨팅 리소스의 패치 관리에 대한 책임은 사용자에게 있습니다. Amazon EC2 인스턴스의 경우 AWS Systems Manager Patch Manager는 보안 관련 업데이트와 기타 유형의 업데이트를 모두 사용하여 관리형 인스턴스를 패치하는 프로세스를 자동화합니다. Patch Manager를 사용하여 운영 체제와 애플리케이션 모두에 패치를 적용할 수 있습니다. (Windows Server에서 애플리케이션 지원은 Microsoft 애플리케이션에 대한 업데이트로 제한됩니다.) Patch Manager를 사용하여 Windows 인스턴스에 서비스 팩을 설치하고 Linux 인스턴스에 사소한 버전 업그레이드를 수행할 수 있습니다. 운영 체제 유형에 따라 Amazon EC2 인스턴스 또는 온프레미스 서버 및 가상 머신(VM)의 플릿을 패치할 수 있습니다. 여기에는 지원되는 버전의 Windows Server, Amazon Linux, Amazon Linux 2, CentOS, Debian Server, Oracle Linux, Red Hat Enterprise Linux(RHEL), SUSE Linux Enterprise Server (SLES), Ubuntu Server가 포함됩니다. 인스턴스를 스캔하여 누락된 패치 보고서만 확인하거나, 스캔하고 모든 누락 패치를 자동 설치할 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ Amazon Inspector 구성: Amazon Inspector는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 네트워크 액세스 가능성과 해당 인스턴스에서 실행되는 애플리케이션의 보안 상태를 테스트합니다. Amazon Inspector는 애플리케이션의 노출, 취약점, 모범 사례에서의 이탈을 평가합니다.
+ [Amazon Inspector란 무엇입니까?](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html)
+ 소스 코드 스캔: 라이브러리 및 종속성을 스캔하여 취약성을 검사합니다.
+ [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [OWASP: 소스 코드 분석 도구](https://owasp.org/www-community/Source_Code_Analysis_Tools)
## 리소스
**관련 문서:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Amazon EC2 Systems Manager로 Bastion 호스트 대체](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 보안 개요](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**관련 동영상:**
+ [Amazon EKS에서 고도의 보안 워크로드 실행](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Amazon EC2 인스턴스 메타데이터 서비스에 대한 보안 모범 사례](https://youtu.be/2B5bhZzayjI)
**관련 예시:**
+ [실습: 웹 애플리케이션 방화벽 자동 배포](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP02 공격 표면 축소
운영 체제를 강화하고 사용 중인 구성 요소, 라이브러리 및 외부 사용 서비스를 최소화하여 의도치 않은 액세스에 대한 노출을 줄입니다. 운영 체제 패키지 또는 애플리케이션이나(Amazon Elastic Compute Cloud(Amazon EC2) 기반 워크로드의 경우) 코드의 외부 소프트웨어 모듈(모든 워크로드의 경우)에서 사용하지 않는 구성 요소를 줄이는 것으로 시작합니다. 일반적인 운영 체제 및 서버 소프트웨어에 대한 여러 가지 강화 및 보안 구성 가이드를 찾아볼 수 있습니다. 예를 들면 [Center for Internet Security](https://www.cisecurity.org/) 로 시작하고 반복하면 됩니다.
Amazon EC2에서는 자체적으로 패치하고 강화한 Amazon Machine Image(AMI)를 생성하여 조직의 특정 보안 요구 사항을 충족할 수 있습니다. AMI에 적용하는 패치 및 기타 보안 제어 조치는 생성 시점에 발효되며 시작한 후 AWS Systems Manager 등을 사용하여 수정하지 않는 이상 동적으로 변경되지 않습니다.
EC2 Image Builder를 사용하여 보안 AMI 구축 프로세스를 간소화할 수 있습니다. EC2 Image Builder는 자동화를 작성하고 유지 관리할 필요 없이 골든 이미지를 생성하여 유지 관리하는 데 필요한 노력을 크게 절감해 줍니다. 소프트웨어 업데이트가 가능하면 사용자가 이미지 빌드를 시작할 필요 없이 Image Builder가 자동으로 새로운 이미지를 생성합니다. EC2 Image Builder를 사용하면 이미지를 프로덕션에 사용하기 전에 AWS에서 제공하는 테스트와 사용자의 자체 테스트를 사용하여 이미지의 기능과 보안을 쉽게 검증할 수 있습니다. 또한 AWS에서 제공하는 보안 설정을 적용하여 이미지 보안을 강화함으로써 내부 보안 기준을 충족할 수 있습니다. 예를 들면 AWS에서 제공하는 템플릿을 사용하여 Security Technical Implementation Guide(STIG) 표준을 준수하는 이미지를 생성할 수 있습니다.
서드 파티 정적 코드 분석 도구를 사용하여 확인되지 않은 함수 입력 범위와 해당하는 일반 취약성 및 노출(CVE)와 같은 일반적인 보안 문제를 식별합니다. 전용 인프라에서 [Amazon CodeGuru](https://aws.amazon.com/codeguru/) 를 지원되는 언어에 대해 사용할 수 있습니다. 또한 종속성 확인 도구를 사용하여 코드가 링크된 라이브러리가 최신 버전인지, 해당 라이브러리에 CVE가 없는지, 소프트웨어 정책 요구 사항에 부합하는 라이선스 조건이 있는지를 확인할 수 있습니다.
Amazon Inspector를 사용하면 인스턴스에 대해 알려진 CVE를 확인하는 구성 평가를 수행하고, 보안 벤치마크를 기준으로 평가하고, 결함 알림을 자동화할 수 있습니다. 프로덕션 인스턴스 또는 빌드 파이프라인에서 실행되는 Amazon Inspector는 확인된 정보가 있으면 개발자와 엔지니어에게 알림을 보냅니다. 프로그래밍 방식으로 확인된 정보에 접근할 수 있으며, 팀에게 백로그 및 버그 추적 시스템에 접근 권한을 제공할 수 있습니다. [EC2 Image Builder](https://aws.amazon.com/image-builder/) 는 자동화된 패치 적용, AWS에서 제공하는 보안 정책 적용 및 기타 사용자 지정을 통해 서버 이미지(AMI)를 유지 관리하는 데 사용될 수 있습니다. 컨테이너를 사용할 때는 빌드 파이프라인에서 이미지 리포지토리에 대해 정기적으로 [ECR Image Scanning](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) 을 구현하여 컨테이너에서 CVE를 찾습니다.
Amazon Inspector 및 기타 도구는 존재하는 구성 및 CVE를 식별하는 데 효과적이지만, 애플리케이션 수준에서 워크로드를 테스트하려면 다른 방법이 필요합니다. [Fuzzing](https://owasp.org/www-community/Fuzzing) 은 자동화를 사용하여 잘못된 형식의 데이터를 입력 필드 및 애플리케이션의 기타 영역에 주입함으로써 버그를 찾는 유명한 방법입니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ 운영 체제 강화: 모범 사례에 맞춰 운영 체제를 구성합니다.
+ [Amazon Linux 보호](https://www.cisecurity.org/benchmark/amazon_linux/)
+ [Microsoft Windows Server 보호](https://www.cisecurity.org/benchmark/microsoft_windows_server/)
+ 컨테이너식 리소스 강화: 보안 모범 사례에 맞춰 컨테이너식 리소스를 구성합니다.
+ AWS Lambda 모범 사례를 구현합니다.
+ [AWS Lambda 모범 사례](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html)
## 리소스
**관련 문서:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Amazon EC2 Systems Manager로 Bastion 호스트 대체](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 보안 개요](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**관련 동영상:**
+ [Amazon EKS에서 고도의 보안 워크로드 실행](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Amazon EC2 인스턴스 메타데이터 서비스에 대한 보안 모범 사례](https://youtu.be/2B5bhZzayjI)
**관련 예시:**
+ [실습: 웹 애플리케이션 방화벽 자동 배포](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP03 관리형 서비스 구현
공유 책임 모델의 일환으로 보안 유지 관리 태스크를 줄일 수 있도록 Amazon Relational Database Service(Amazon RDS), AWS Lambda, Amazon Elastic Container Service(Amazon ECS) 등 리소스를 관리하는 서비스를 구현합니다. 예를 들어 Amazon RDS는 관계형 데이터베이스를 설정, 운영, 확장하는 데 도움을 주고 하드웨어 프로비저닝, 데이터베이스 설정, 패치 적용, 백업 등의 관리 작업을 자동화합니다. 즉, AWS Well-Architected Framework에 설명된 다른 방법으로 애플리케이션을 보호하는 데 더 많은 시간을 할애할 수 있습니다. Lambda를 사용하면 서버를 프로비저닝하거나 관리하지 않고도 코드를 실행할 수 있으므로 인프라나 운영 체제가 아니라 코드 수준의 연결, 호출, 보안에만 집중하면 됩니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
+ 사용 가능한 서비스 탐색: Amazon RDS, AWS Lambda, Amazon ECS 등 리소스를 관리하는 서비스를 탐색, 테스트 및 구현합니다.
## 리소스
**관련 문서:**
+ [AWS 웹 사이트 ](https://aws.amazon.com/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Replacing a Bastion Host with Amazon EC2 Systems Manager(Amazon EC2 Systems Manager로 Bastion 호스트 대체)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 보안 개요](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**관련 동영상:**
+ [Running high-security workloads on Amazon EKS(Amazon EKS에서 고보안 워크로드 실행)](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Security best practices for the Amazon EC2 instance metadata service(Amazon EC2 인스턴스 메타데이터 서비스에 대한 보안 모범 사례)](https://youtu.be/2B5bhZzayjI)
**관련 예시:**
+ [실습: AWS Certificate Manager 퍼블릭 인증서 요청 ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)
# SEC06-BP04 컴퓨팅 보호 자동화
취약성 관리, 공격 대상 영역 축소, 리소스 관리 등 컴퓨팅 보호 메커니즘을 자동화합니다. 자동화를 사용하면 워크로드의 다른 측면을 보호하는 데 시간을 투자하고 인적 오류의 위험을 줄일 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
+ 구성 관리 자동화: 구성 관리 서비스 또는 도구를 사용하여 보안 구성을 자동으로 적용하고 확보합니다.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [실습: VPC 자동 배포](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [실습: EC2 웹 애플리케이션 자동 배포](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
+ Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 자동 패칭: AWS Systems Manager Patch Manager는 보안 관련 업데이트와 기타 유형의 업데이트를 모두 사용하여 관리형 인스턴스를 패치하는 프로세스를 자동화합니다. Patch Manager를 사용하여 운영 체제와 애플리케이션 모두에 패치를 적용할 수 있습니다.
+ [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [AWS Systems Manager Automation으로 다중 계정 및 다중 리전 패치 작업을 중앙 집중화](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ 침입 탐지 및 차단 구현: 침입 탐지 및 차단 도구를 구현하여 인스턴스에서 악의적인 활동을 모니터링하고 중지합니다.
+ AWS Partner 솔루션 고려: AWS 파트너는 고객 온프레미스 환경의 기존 제어 솔루션과 동등한 수준이거나, 동일하거나 통합된 업계 최고 수준의 수백 가지 제품을 제공합니다. 이러한 제품은 기존 AWS 서비스를 보완하여 클라우드 및 온프레미스 환경에 포괄적인 보안 아키텍처와 보다 원활한 환경을 배포할 수 있도록 해줍니다.
+ [인프라 보안](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## 리소스
**관련 문서:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [AWS Systems Manager Automation으로 다중 계정 및 다중 리전 패치 작업을 중앙 집중화](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ [인프라 보안](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
+ [Amazon EC2 Systems Manager로 Bastion 호스트 대체](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 보안 개요](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**관련 동영상:**
+ [Amazon EKS에서 고도의 보안 워크로드 실행](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Amazon EC2 인스턴스 메타데이터 서비스에 대한 보안 모범 사례](https://youtu.be/2B5bhZzayjI)
**관련 예시:**
+ [실습: 웹 애플리케이션 방화벽 자동 배포](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
+ [실습: EC2 웹 애플리케이션 자동 배포](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
# SEC06-BP05 사용자가 원격으로 작업을 수행할 수 있도록 지원
대화형 액세스 기능을 제거하면 인적 오류의 위험과 수동 구성 또는 관리의 필요성을 줄일 수 있습니다. 예를 들어, 변경 관리 워크플로를 사용하여 코드형 인프라를 사용하는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 배포한 후 직접 액세스를 허용하는 대신 AWS Systems Manager와 같은 도구를 사용하거나 Bastion 호스트를 통해 Amazon EC2 인스턴스를 관리합니다. AWS Systems Manager는 [자동화](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [워크플로](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), [문서](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (플레이북) 및 [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)등의 기능을 사용하여 다양한 유지 관리 및 배포 작업을 자동화할 수 있습니다. AWS CloudFormation 스택은 파이프라인에서 구축되며 AWS Management Console 또는 API를 직접 사용하지 않고도 인프라 배포 및 관리 작업을 자동화할 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
+ 콘솔 액세스 대체: AWS Systems Manager Run Command로 인스턴스에 대한 콘솔 액세스(SSH 또는 RDP)를 교체하여 관리 태스크를 자동화합니다.
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
## 리소스
**관련 문서:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [Replacing a Bastion Host with Amazon EC2 Systems Manager(Amazon EC2 Systems Manager로 Bastion 호스트 대체)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [AWS Lambda 보안 개요](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**관련 동영상:**
+ [Running high-security workloads on Amazon EKS(Amazon EKS에서 고보안 워크로드 실행)](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Security best practices for the Amazon EC2 instance metadata service(Amazon EC2 인스턴스 메타데이터 서비스에 대한 보안 모범 사례)](https://youtu.be/2B5bhZzayjI)
**관련 예시:**
+ [실습: 웹 애플리케이션 방화벽 자동 배포](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP06 소프트웨어 무결성 검증
워크로드에 사용되는 소프트웨어, 코드, 라이브러리가 신뢰할 수 있는 소스에서 온 것이며 변조되지 않았는지 검증하는 메커니즘(예: 코드 서명)을 구현합니다. 예를 들어 바이너리 및 스크립트의 코드 서명 인증서를 검토하여 작성자를 확인하고 작성자가 생성한 후에 변조되지 않았는지 확인해야 합니다. [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) 는 인증서 서명과 퍼블릭 및 프라이빗 키 등의 코드 서명 수명 주기를 중앙에서 관리하여 코드의 신뢰성과 무결성을 보장하는 데 도움이 됩니다. 코드 서명에 대한 고급 패턴과 모범 사례를 사용하는 방법은 다음에서 확인할 수 있습니다. [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/). 또한 다운로드한 소프트웨어의 체크섬을 공급자의 체크섬과 비교하면 변조되지 않았는지를 확인하는 데 도움이 될 수 있습니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
+ 메커니즘 조사: 코드 서명은 소프트웨어 무결성을 검증하는 데 사용할 수 있는 메커니즘입니다.
+ [NIST: 코드 서명을 위한 보안 고려 사항](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf)
## 리소스
**관련 문서:**
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [New - Code Signing, a Trust and Integrity Control for AWS Lambda(신규 - 코드 서명, AWS Lambda의 신뢰 및 무결성 제어)](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)
# 데이터 보호
**Topics**
+ [
# SEC 7 데이터는 어떻게 분류합니까?
](w2aac19b7c13b5.md)
+ [
# SEC 8 저장된 데이터는 어떻게 보호합니까?
](w2aac19b7c13b7.md)
+ [
# SEC 9 전송 중인 데이터는 어떻게 보호합니까?
](w2aac19b7c13b9.md)
# SEC 7 데이터는 어떻게 분류합니까?
분류는 적절한 보호 및 보존 제어 수준을 결정하는 데 도움이 되도록 중요도와 민감도를 기준으로 데이터를 분류하는 방법을 제공합니다.
**Topics**
+ [
# SEC07-BP01 워크로드 안에서 데이터 식별
](sec_data_classification_identify_data.md)
+ [
# SEC07-BP02 데이터 보호 제어 정의
](sec_data_classification_define_protection.md)
+ [
# SEC07-BP03 식별 및 분류 자동화
](sec_data_classification_auto_classification.md)
+ [
# SEC07-BP04 데이터 수명 주기 관리 정의
](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 워크로드 안에서 데이터 식별
워크로드에서 처리 중인 데이터의 유형 및 분류, 관련 비즈니스 프로세스, 데이터 소유자, 적용 가능한 법률 및 규정 준수 요구 사항, 저장 위치, 적용해야 할 최종 제어를 이해해야 합니다. 여기에는 데이터가 공개적으로 사용 가능한지, 데이터가 PII(고객 개인 식별 정보)처럼 내부에서만 사용되는지, 지적 재산처럼 데이터에 대한 액세스가 더 엄격히 제한되는지, 법적으로 권한이 있는지, 민감한 데이터로 표시되는지 등을 나타내는 분류가 포함될 수 있습니다. 적절한 데이터 분류 시스템과 각 워크로드의 보호 요구 사항 수준을 철저하게 관리하면 데이터에 적합한 제어 기능과 액세스 또는 보호 수준을 적용할 수 있습니다. 예를 들어 공개 콘텐츠는 누구나 액세스할 수 있지만 중요한 콘텐츠는 암호화하여 보호된 방식(콘텐츠 암호를 해독하려면 키에 대한 액세스 권한이 부여되어야 함)으로 저장할 수 있습니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ Amazon Macie를 사용하여 데이터 발견 고려: Macie는 개인 식별 정보(PII) 또는 지적 재산과 같은 민감한 데이터를 인식합니다.
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
## 리소스
**관련 문서:**
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
+ [데이터 분류 백서](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 시작하기](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**관련 동영상:**
+ [새로운 Amazon Macie 소개](https://youtu.be/I-ewoQekdXE)
# SEC07-BP02 데이터 보호 제어 정의
분류 수준에 따라 데이터를 보호합니다. 예를 들어 관련 권장 사항을 사용하여 공개용으로 분류된 데이터를 보호하면서, 추가 제어 기능을 통해 민감한 데이터를 보호합니다.
리소스 태그, 중요도별(각 주의, 영역, 커뮤니티별로도 가능) 개별 AWS 계정, IAM 정책, AWS Organizations SCP, AWS Key Management Service(AWS KMS), AWS CloudHSM을 사용함으로써 데이터 분류 및 암호화를 통한 보호를 위한 정책을 정의하고 구현할 수 있습니다. 예를 들어 기밀 데이터를 처리하는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 또는 매우 중요한 데이터가 포함된 S3 버킷을 사용하는 프로젝트가 있는 경우 `Project=ABC` 태그를 지정할 수 있습니다. 직속 팀만이 프로젝트 코드의 의미를 알고 있으므로 속성 기반 액세스 제어를 사용하는 것이 가능합니다. 적절한 서비스만 보안 메커니즘을 통해 중요한 콘텐츠에 액세스할 수 있도록 키 정책 및 부여를 통해 AWS KMS 암호화 키 액세스 수준을 정의할 수 있습니다. 태그를 기반으로 권한 부여 결정을 내리는 경우, 태그에 대한 권한이 AWS Organizations의 태그 정책을 사용하여 적절하게 정의되었는지 확인해야 합니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ 데이터 식별 및 분류 스키마 정의: 데이터 식별 및 분류를 수행하여 저장한 데이터 유형과 잠재적 영향, 그리고 이 데이터에 액세스할 수 있는 사용자를 평가합니다.
+ [AWS 설명서](https://docs.aws.amazon.com/)
+ 사용 가능한 AWS 제어 기능 파악: 기존에 사용 중이거나 앞으로 사용하려는 AWS 서비스에 대한 보안 제어 옵션을 알아봅니다. 서비스의 설명서에 보안 섹션이 있는 경우가 많습니다.
+ [AWS 설명서](https://docs.aws.amazon.com/)
+ AWS 규정 준수 리소스 파악: AWS에서 제공하는 리소스를 파악합니다.
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## 리소스
**관련 문서:**
+ [AWS 설명서](https://docs.aws.amazon.com/)
+ [데이터 분류 백서](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 시작하기](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [누락된 텍스트](https://aws.amazon.com/compliance/)
**관련 동영상:**
+ [새로운 Amazon Macie 소개](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 식별 및 분류 자동화
데이터 식별 및 분류를 자동화하면 올바른 제어를 구현하는 데 도움이 될 수 있습니다. 사람이 직접 액세스하도록 하는 대신 자동화를 사용하면 인적 오류와 노출의 위험이 줄어듭니다. 기계 학습을 사용하여 AWS에서 민감한 데이터를 자동으로 검색, 분류 및 보호하는 [Amazon Macie](https://aws.amazon.com/macie/)와 같은 도구를 고려해 보아야 합니다. Amazon Macie는 개인 식별 정보(PII) 또는 지적 재산과 같은 민감한 데이터를 인식하고, 이러한 데이터가 어떻게 액세스되고 이동되는지 파악할 수 있는 대시보드 및 알림을 제공합니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
+ Amazon Simple Storage Service(Amazon S3) 인벤토리 사용: Amazon S3 인벤토리는 객체의 복제 및 암호화 상태를 감사하고 보고하는 데 사용할 수 있는 도구 중 하나입니다.
+ [Amazon S3 인벤토리](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Amazon Macie 고려: Amazon Macie는 기계 학습을 사용하여 Amazon S3에 저장된 데이터를 자동으로 검색하고 분류합니다.
+ [Amazon Macie](https://aws.amazon.com/macie/)
## 리소스
**관련 문서:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Amazon S3 인벤토리](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [데이터 분류 백서](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 시작하기](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**관련 동영상:**
+ [새로운 Amazon Macie 소개](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 데이터 수명 주기 관리 정의
정의된 수명 주기 전략은 중요도는 물론 법률 및 조직 요구 사항을 기반으로 해야 합니다. 데이터 보존 기간, 데이터 폐기 프로세스, 데이터 액세스 관리, 데이터 변환, 데이터 공유 등의 측면을 고려해야 합니다. 데이터 분류 방법론을 선택할 때는 사용 가능성과 액세스 권한을 적절하게 절충해야 합니다. 또한 여러 액세스 수준, 그리고 각 수준에 대해 안전하면서도 쉽게 사용할 수 있는 방식을 구현하기 위한 여러 가지 방법도 고려해야 합니다. 항상 심층 방어 방식을 사용하고 데이터 그리고 데이터 변환, 삭제 또는 복사 메커니즘에 사람이 접근하는 것을 줄입니다. 예를 들어 사용자에게 애플리케이션에 대한 강력한 인증을 요구하고, 필요한 액세스 권한을 사용자보다는 애플리케이션에 부여함으로써 ‘한 발 떨어져서 작업’을 수행하도록 합니다. 또한 사용자가 신뢰할 수 있는 네트워크 경로에서 애플리케이션에 액세스하며, 암호 해독 키 액세스 권한이 있어야 하도록 설정합니다. 사용자에게 데이터 직접 액세스 권한을 제공하기보다는 대시보드 및 자동화된 보고와 같은 도구를 사용하여 데이터의 정보를 제공하는 것이 좋습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
+ 데이터 유형 파악: 워크로드에서 저장하거나 처리하는 데이터 유형을 식별합니다. 이러한 데이터로는 텍스트, 이미지, 이진 데이터베이스 등이 있습니다.
## 리소스
**관련 문서:**
+ [데이터 분류 백서](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 시작하기](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**관련 동영상:**
+ [새로운 Amazon Macie 소개](https://youtu.be/I-ewoQekdXE)
# SEC 8 저장된 데이터는 어떻게 보호합니까?
무단 액세스 또는 취급 부주의의 위험을 줄이기 위해 여러 제어 기능을 구현하여 저장된 데이터를 보호합니다.
**Topics**
+ [
# SEC08-BP01 보안 키 관리 구현
](sec_protect_data_rest_key_mgmt.md)
+ [
# SEC08-BP02 저장 시 암호화 적용
](sec_protect_data_rest_encrypt.md)
+ [
# SEC08-BP03 저장 데이터 보호 자동화
](sec_protect_data_rest_automate_protection.md)
+ [
# SEC08-BP04 액세스 제어 적용
](sec_protect_data_rest_access_control.md)
+ [
# SEC08-BP05 사람들이 데이터에 쉽게 액세스할 수 없도록 하는 메커니즘 사용
](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 보안 키 관리 구현
키의 저장, 교체, 액세스 제어를 포함하는 암호화 방식을 정의함으로써 권한이 없는 사용자로부터 콘텐츠를 보호하고 권한이 있는 사용자에게도 불필요한 콘텐츠 노출이 발생하는 것을 방지할 수 있습니다. AWS Key Management Service(AWS KMS)를 사용하면 암호화 키를 관리하고 [다양한 AWS 서비스와 통합할 수 있습니다](https://aws.amazon.com/kms/details/#integration). 이 서비스는 AWS KMS 키에 내구성과 보안성이 뛰어난 중복 스토리지를 제공합니다. 키 별칭과 키 수준 정책을 정의할 수 있습니다. 정책을 사용하면 키 관리자와 키 사용자를 정의할 수 있습니다. 또한 AWS CloudHSM은 AWS 클라우드에서 고유한 암호화 키를 쉽게 생성하여 사용할 수 있는 클라우드 기반 하드웨어 보안 모듈(HSM)입니다. HSM을 사용하면 FIPS 140-2 수준 3 확인된 HSM을 통해 데이터 보안 관련 회사, 계약 및 규정 준수 요구 사항을 충족할 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ AWS KMS 구현: AWS KMS를 사용하면 키 생성과 관리가 쉬워지며 광범위한 AWS 서비스 및 애플리케이션 내에서 암호화 사용을 제어할 수 있습니다. AWS KMS는 키 보호를 위해 FIPS 140-2 인증 하드웨어 보안 모듈을 사용하는 안전하고 복원력이 높은 서비스입니다.
+ [시작하기: AWS Key Management Service(AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ AWS Encryption SDK 고려: 애플리케이션이 클라이언트 측 데이터를 암호화해야 하는 경우 AWS KMS가 통합된 AWS Encryption SDK를 사용합니다.
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## 리소스
**관련 문서:**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS 암호화 서비스 및 도구](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [시작하기: AWS Key Management Service(AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [암호화를 사용하여 Amazon S3 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**관련 동영상:**
+ [AWS에서 암호화가 작동하는 방식](https://youtu.be/plv7PQZICCM)
+ [AWS에서 블록 스토리지 보호](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 저장 시 암호화 적용
데이터를 저장할 때 반드시 암호화를 사용하도록 해야 합니다. AWS Key Management Service(AWS KMS)는 여러 AWS 서비스와 원활하게 통합되므로 모든 저장 데이터를 쉽게 암호화할 수 있습니다. 예를 들어 Amazon Simple Storage Service(Amazon S3)의 경우 버킷에 [기본 암호화](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) 를 설정하여 새 객체가 모두 자동으로 암호화되도록 하면 됩니다. 또한 [Amazon Elastic Compute Cloud(Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)및 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 는 기본 암호화 설정을 통해 암호화를 기본적으로 적용하도록 지원합니다. 전용 인프라에서 [AWS Config 규칙](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 를 사용하여 예를 들면 다음에 암호화를 사용하고 있는지 자동으로 검사할 수 있습니다. [Amazon Elastic Block Store(Amazon EBS) 볼륨](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [Amazon Relational Database Service(Amazon RDS) 인스턴스](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)및 [Amazon S3 버킷](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ Amazon Simple Storage Service(Amazon S3)에 저장 시 암호화 적용: Amazon S3 버킷 기본 암호화를 구현합니다.
+ [S3 버킷에 기본 암호화를 사용하려면 어떻게 해야 합니까?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ AWS Secrets Manager 사용: Secrets Manager는 보안 암호를 쉽게 관리할 수 있게 해 주는 AWS 서비스입니다. 데이터베이스 자격 증명, 암호, 타사 API 키는 물론 임의의 텍스트도 보안 정보에 해당할 수 있습니다.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ 새 EBS 볼륨에 기본 암호화 구성: AWS에서 제공하는 기본 키 또는 사용자가 생성한 키를 사용하는 옵션을 통해, 새로 생성되는 모든 EBS 볼륨이 암호화된 형식으로 생성되도록 지정합니다.
+ [EBS 볼륨의 기본 암호화](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ 암호화된 Amazon Machine Image(AMI) 구성: 암호화가 활성화된 기존 AMI를 복사하면 루트 볼륨과 스냅샷이 자동으로 암호화됩니다.
+ [암호화된 스냅샷이 있는 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ Amazon Relational Database Service(Amazon RDS) 암호화 구성: 암호화 옵션을 활성화하여 저장된 Amazon RDS 데이터베이스 클러스터 및 스냅샷에 대해 암호화를 구성합니다.
+ [Amazon RDS 리소스 암호화](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ 기타 AWS 서비스에 암호화 구성: 사용하는 AWS 서비스에서 암호화 기능을 결정합니다.
+ [AWS 설명서](https://docs.aws.amazon.com/)
## 리소스
**관련 문서:**
+ [암호화된 스냅샷이 있는 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [AWS 암호화 도구](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS 설명서](https://docs.aws.amazon.com/)
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [AWS KMS 암호화 세부 정보 백서](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [AWS 암호화 서비스 및 도구](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Amazon EBS 암호화](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [EBS 볼륨의 기본 암호화](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Amazon RDS 리소스 암호화](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [S3 버킷에 기본 암호화를 사용하려면 어떻게 해야 합니까?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [암호화를 사용하여 Amazon S3 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**관련 동영상:**
+ [AWS에서 암호화가 작동하는 방식](https://youtu.be/plv7PQZICCM)
+ [AWS에서 블록 스토리지 보호](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 저장 데이터 보호 자동화
자동화된 도구를 사용하여 저장된 데이터 제어를 지속적으로 검증하고 적용합니다. 예를 들어 암호화된 스토리지 리소스만 있는지 확인합니다. 다음을 사용하여 [모든 EBS 볼륨이 암호화되었는지 검증을 자동화](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) 할 수 있습니다. [AWS Config 규칙](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)참조. [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) 를 사용하여 보안 표준을 기준으로 자동화된 검사를 통해 몇 가지 제어의 유효성을 확인할 수도 있습니다. 또한 AWS Config 규칙는 자동으로 [규정 미준수 리소스를 수정할 수 있습니다.](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation).
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
*저장된 데이터* 란 워크로드의 어느 기간에서든지 비휘발성 스토리지에 지속되는 모든 데이터를 의미합니다. 여기에는 블록 스토리지, 객체 스토리지, 데이터베이스, 아카이브, IoT 디바이스 그리고 데이터가 지속되는 모든 기타 스토리지 미디어가 포함됩니다. 저장된 데이터를 보호하여 암호화 및 적절한 액세스 제어가 구현될 경우 무단 액세스 위험이 감소합니다.
저장 시 암호화 적용: 데이터를 저장할 때 반드시 암호화를 사용하도록 해야 합니다. AWS KMS는 여러 AWS 서비스와 원활하게 통합되므로 모든 저장 데이터를 쉽게 암호화할 수 있습니다. 예를 들어 Amazon Simple Storage Service(Amazon S3)의 경우 버킷에 [기본 암호화](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) 를 설정하여 새 객체가 모두 자동으로 암호화되도록 하면 됩니다. 또한 [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) 및 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 는 기본 암호화 설정을 통해 암호화를 기본적으로 적용하도록 지원합니다. 전용 인프라에서 [AWS Managed Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 를 사용하여 예를 들면 다음에 암호화를 사용하고 있는지 자동으로 검사할 수 있습니다. [EBS 볼륨](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [Amazon Relational Database Service(Amazon RDS) 인스턴스](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)및 [Amazon S3 버킷](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
## 리소스
**관련 문서:**
+ [AWS 암호화 도구](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**관련 동영상:**
+ [AWS에서 암호화가 작동하는 방식](https://youtu.be/plv7PQZICCM)
+ [AWS에서 블록 스토리지 보호](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 액세스 제어 적용
저장된 데이터를 보호할 수 있도록 백업, 격리, 버전 관리 등의 메커니즘과 최소 권한을 사용하여 액세스 제어를 적용합니다. 운영자가 데이터에 대한 퍼블릭 액세스 권한을 부여하지 못하게 합니다.
액세스(최소 권한 사용), 백업( [신뢰성 백서](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)참조), 격리, 버전 관리와 같은 서로 다른 제어 기능은 모두 저장 데이터 보호에 도움이 됩니다. 데이터에 대한 액세스 권한은 CloudTrail 등 본 백서의 앞부분에서 다룬 탐지 메커니즘과 Amazon Simple Storage Service(Amazon S3) 액세스 로그와 같은 서비스 수준 로그를 사용하여 감사해야 합니다. 공개적으로 액세스할 수 있는 데이터의 인벤토리를 만들고, 사용 가능한 데이터의 양을 점차 줄이는 방법을 계획해야 합니다. Amazon Glacier 저장소 잠금 및 Amazon S3 객체 잠금은 필수 액세스 제어를 제공하는 기능입니다. 규정 준수 옵션으로 저장소 정책을 잠그면 루트 사용자도 잠금이 만료되기 전까지는 변경할 수 없습니다. 이 메커니즘은 SEC, CFTC 및 FINRA의 장부 및 기록 관리 요구 사항에 부합합니다. 자세한 내용은 [이 백서](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf).
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
+ 액세스 제어 적용: 암호화 키 액세스를 포함하여 최소 권한을 사용하는 액세스 제어를 적용합니다.
+ [Amazon S3 리소스에 대한 액세스 권한 관리 소개](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ 다양한 분류 수준에 따라 데이터 분리: 데이터 분류 수준에 AWS Organizations에서 관리하는 서로 다른 AWS 계정을 사용합니다.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ AWS KMS 정책 검토: AWS KMS 정책에서 부여한 액세스 수준을 검토합니다.
+ [AWS KMS 리소스에 대한 액세스 권한 관리 개요](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ Amazon S3 버킷 및 객체 권한 검토: Amazon S3 버킷 정책에서 부여된 액세스 수준을 주기적으로 검토합니다. 공개적으로 버킷을 읽거나 버킷에 쓸 수 없도록 설정하는 것이 모범 사례입니다. 또한 AWS Config를 사용하여 공개적으로 사용 가능한 버킷을 감지하고 Amazon CloudFront를 사용하여 Amazon S3에서 콘텐츠를 제공하는 것이 좋습니다.
+ [AWS Config 규칙](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront: A Match Made in the Cloud(Amazon S3 \$1 Amazon CloudFront: 클라우드 최적의 조합)](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ Amazon S3 버전 관리 및 객체 잠금을 사용합니다.
+ [버전 관리 사용](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Amazon S3 객체 잠금을 사용한 객체 잠금](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ Amazon S3 인벤토리 사용: Amazon S3 인벤토리는 객체의 복제 및 암호화 상태를 감사하고 보고하는 데 사용할 수 있는 도구 중 하나입니다.
+ [Amazon S3 인벤토리](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Amazon EBS 및 AMI 공유 권한 검토: 권한을 공유하면 워크로드 외부의 AWS 계정과 이미지 및 볼륨을 공유할 수 있습니다.
+ [Amazon EBS 스냅샷 공유](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [공유 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
## 리소스
**관련 문서:**
+ [AWS KMS 암호화 세부 정보 백서](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**관련 동영상:**
+ [Securing Your Block Storage on AWS(AWS에서 블록 스토리지 보호)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 사람들이 데이터에 쉽게 액세스할 수 없도록 하는 메커니즘 사용
정상적인 운영 상황에서 모든 사용자가 민감한 데이터와 시스템에 직접 액세스하지 못하도록 합니다. 예를 들어 변경 관리 워크플로를 사용하여 직접 액세스를 허용하는 대신 도구나 Bastion 호스트를 사용하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 관리할 수 있습니다. 이렇게 하려면 [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)을 사용할 수 있으며, 이 서비스는 작업을 수행할 때 사용하는 단계가 포함된 [자동화 문서](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) 를 사용합니다. 이러한 문서는 소스 제어에 저장되고, 실행하기 전에 피어 검토를 받고, 철저한 테스트를 받아 셸 액세스와 비교해 위험을 최소화할 수 있습니다. 비즈니스 사용자에게는 데이터 스토어에 대한 직접적인 액세스 대신 대시보드를 제공하여 쿼리를 실행하게 할 수 있습니다. CI/CD 파이프라인이 사용되지 않는 경우, 정상적으로 비활성화된 브레이크-글라스 액세스 메커니즘을 적절하게 제공하기 위해 필요한 제어 및 프로세스를 결정합니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
+ 사람들이 데이터에 쉽게 액세스할 수 없도록 하는 메커니즘 구현: 이러한 메커니즘에는 직접 쿼리하는 대신 Quick와 같은 대시보드를 사용하여 사용자에게 데이터를 표시하는 방식이 포함됩니다.
+ [Quick](https://aws.amazon.com/quicksight/)
+ 구성 관리 자동화: 구성 관리 서비스 또는 도구를 사용하여 원격으로 작업을 수행하고 보안 구성을 자동으로 적용하고 확인합니다. 배스천 호스트를 사용하거나 EC2 인스턴스에 직접 액세스하지 않습니다.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS 기반 AWS CloudFormation 템플릿용 CI/CD 파이프라인](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## 리소스
**관련 문서:**
+ [AWS KMS 암호화 세부 정보 백서](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**관련 동영상:**
+ [How Encryption Works in AWS(AWS에서 암호화가 작동하는 방식)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS(AWS에서 블록 스토리지 보호)](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9 전송 중인 데이터는 어떻게 보호합니까?
무단 액세스 또는 손실의 위험을 줄이기 위해 여러 제어 기능을 구현하여 전송 중인 데이터를 보호합니다.
**Topics**
+ [
# SEC09-BP01 보안 키 및 인증서 관리 구현
](sec_protect_data_transit_key_cert_mgmt.md)
+ [
# SEC09-BP02 전송 중 데이터 암호화 적용
](sec_protect_data_transit_encrypt.md)
+ [
# SEC09-BP03 무단 데이터 침입 탐지 자동화
](sec_protect_data_transit_auto_unintended_access.md)
+ [
# SEC09-BP04 네트워크 통신 인증
](sec_protect_data_transit_authentication.md)
# SEC09-BP01 보안 키 및 인증서 관리 구현
암호화 키와 인증서를 안전하게 저장하고 엄격하게 액세스 제어를 통해 적절한 간격으로 교체합니다. 이를 위한 가장 좋은 방법은 [AWS Certificate Manager(ACM) 같은 관리형 서비스를 사용하는 것입니다](http://aws.amazon.com/certificate-manager). AWS 서비스 및 연결된 내부 리소스에 사용할 공인 및 사설 TLS(Transport Layer Security) 인증서를 손쉽게 프로비저닝, 관리 및 배포할 수 있습니다. TLS 인증서는 네트워크 통신을 보호하고 인터넷에서는 웹 사이트 그리고 프라이빗 네트워크에서 리소스의 ID를 설정하기 위해 사용됩니다. ACM은 Elastic Load Balancer(ELB), AWS 배포, API Gateway의 API 등 AWS 리소스와 통합되며 자동 인증서 갱신도 처리합니다. ACM을 사용하여 사설 루트 CA를 배포하는 경우 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, 컨테이너 등에서 사용할 수 있도록 인증서와 비공개 키가 제공될 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ 보안 키 및 인증서 관리 구현: 정의된 보안 키 및 인증서 관리 솔루션을 구현합니다.
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [AWS에서 전체 프라이빗 인증서 인프라를 호스팅하고 관리하는 방법 ](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ 보안 프로토콜 구현: 데이터 변조나 손실 위험을 줄일 수 있도록 전송 계층 보안(TLS) 또는 IPsec 등 인증 및 기밀성 유지 기능을 제공하는 보안 프로토콜을 사용합니다. 사용 중인 서비스와 관련한 프로토콜 및 보안은 AWS 설명서를 참조하세요.
## 리소스
**관련 문서:**
+ [AWS 설명서 ](https://docs.aws.amazon.com/)
# SEC09-BP02 전송 중 데이터 암호화 적용
조직/법률/규정 준수 요구 사항을 충족할 수 있도록 적절한 표준 및 권장 사항에 따라 정의된 암호화 요구 사항을 적용합니다. AWS 서비스는 통신에 TLS를 사용하는 HTTPS 엔드포인트를 제공함으로써 AWS API와 통신할 때 전송 중 암호화 기능을 제공합니다. HTTP와 같은 비보안 프로토콜은 보안 그룹을 사용하여 VPC에서 감사 및 차단할 수 있습니다. HTTP 요청은 [HTTPS에 자동으로 리디렉션될 수도 있습니다.](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) 즉, Amazon CloudFront 또는 다음의 HTTPS로 리디렉션될 수 있습니다. [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). 컴퓨팅 리소스를 완전하게 제어하여 서비스 간에 전송 중 암호화를 구현할 수 있습니다. 외부 네트워크로부터 특정 VPC로의 VPN 연결을 사용하여 트래픽을 쉽게 암호화할 수도 있습니다. 특별한 요구 사항이 있는 경우 AWS Marketplace에서 타사 솔루션을 사용할 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ 전송 중 암호화 적용: 정의된 암호화 요구 사항은 최신 표준 및 모범 사례를 토대로 하고 보안 프로토콜만 허용해야 합니다. 예를 들어 Application Load Balancer 또는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스로의 HTTPS 프로토콜을 허용하는 보안 그룹만 구성합니다.
+ 엣지 서비스에서 보안 프로토콜 구성: Amazon CloudFront 및 필수 암호로 HTTPS를 구성합니다.
+ [ CloudFront와 함께 HTTPS 사용 ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ 외부 연결에 VPN 사용: 데이터 프라이버시와 무결성을 모두 제공할 수 있도록 지점 간 또는 네트워크 간 연결에 IPsec 가상 프라이빗 네트워크(VPN) 사용을 고려합니다.
+ [ VPN 연결 ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+ 로드 밸런서에서 보안 프로토콜 구성: 로드 밸런서에 대한 연결을 보호하기 위해 HTTPS 리스너를 활성화합니다.
+ [ Application Load Balancer의 HTTPS 리스너 ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ 인스턴스에 대한 보안 프로토콜 구성: 인스턴스에서 HTTPS 암호화 구성을 고려합니다.
+ [ 자습서: SSL/TLS 사용을 위해 Amazon Linux 2에서 Apache 웹 서버 구성 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+ Amazon Relational Database Service(Amazon RDS)에서 보안 프로토콜 구성: 데이터베이스 인스턴스에 대한 연결을 암호화하기 위해 보안 소켓 계층(SSL) 또는 전송 계층 보안(TLS)을 사용합니다.
+ [ SSL을 사용하여 DB 인스턴스로의 연결 암호화 ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ Amazon Redshift에서 보안 프로토콜 구성: 클러스터가 보안 소켓 계층(SSL) 또는 전송 계층 보안(TLS) 연결을 요구하도록 구성합니다.
+ [ 연결을 위한 보안 옵션 구성 ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+ 기타 AWS 서비스에 보안 프로토콜 구성: 사용하는 AWS 서비스에서 전송 중 암호화 기능을 결정합니다.
## 리소스
**관련 문서:**
+ [AWS 설명서 ](https://docs.aws.amazon.com/index.html)
# SEC09-BP03 무단 데이터 침입 탐지 자동화
Amazon GuardDuty 등의 도구를 사용하여 의심스러운 활동 또는 정의된 경계 외부로 데이터를 이전하려는 시도를 자동으로 감지합니다. 예를 들어, GuardDuty는 다음을 사용하여 일반적이지 않은 Amazon Simple Storage Service(Amazon S3) 읽기 활동을 감지할 수 있습니다. [Exfiltration:S3/AnomalousBehavior 결과](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). GuardDuty 외에도 네트워크 트래픽 정보를 캡처하는 [Amazon VPC 흐름 로그](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)를 Amazon EventBridge와 함께 사용하여 비정상적 연결(성공한 연결과 거부된 연결 모두)을 탐지할 수 있습니다. [Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) 는 Amazon S3 버킷에서 누가 어떤 데이터에 액세스할 수 있는지를 평가하는 데 도움이 될 수 있습니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
+ 무단 데이터 탐지 자동화: 도구 또는 감지 메커니즘을 사용하여 정의된 경계 외부로 데이터를 이동하려는 시도를 직접 감지합니다. 예를 들어 알 수 없는 호스트로 데이터를 복사하는 데이터베이스 시스템을 감지할 수 있습니다.
+ [ VPC 흐름 로그](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ Amazon Macie 고려: Amazon Macie는 기계 학습 및 패턴 일치를 사용하여 AWS에서 민감한 데이터를 검색하고 보호하는 완전관리형 데이터 보안 및 데이터 개인 정보 보호 서비스입니다.
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## 리소스
**관련 문서:**
+ [ VPC 흐름 로그](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 네트워크 통신 인증
TLS(전송 계층 보안) 또는 IPsec과 같은 인증을 지원하는 프로토콜을 사용하여 통신의 자격 증명을 확인합니다.
인증을 지원하는 네트워크 프로토콜을 사용하여 당사자 간 신뢰를 맺을 수 있습니다. 이것이 프로토콜에서 사용되는 암호화에 추가되어 통신이 변조되거나 가로채질 위험을 줄입니다. 인증을 구현하는 일반적인 프로토콜에는 많은 AWS 서비스에서 사용되는 TLS(Transport Layer Security)와 다음에서 사용되는 IPsec가 포함됩니다. [AWS Virtual Private Network(Site-to-Site VPN)](http://aws.amazon.com/vpn).
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
+ 보안 프로토콜 구현: 데이터 변조나 손실 위험을 줄일 수 있도록 TLS 또는 IPsec 등 인증 및 기밀성 유지 기능을 제공하는 보안 프로토콜을 사용합니다. 사용하는 서비스와 관련한 프로토콜 및 보안은 [AWS 설명서](https://docs.aws.amazon.com/) 를 참조하세요.
## 리소스
**관련 문서:**
+ [AWS 설명서](https://docs.aws.amazon.com/)
# 사고 대응
**Topics**
+ [
# SEC 10 인시던트를 어떻게 예상하고 대응하며 어떻게 사후 복구합니까?
](w2aac19b7c15b5.md)
# SEC 10 인시던트를 어떻게 예상하고 대응하며 어떻게 사후 복구합니까?
조직의 업무 중단을 최소화할 수 있도록 보안 인시던트를 제때 효과적으로 조사 및 대응하고 사후 복구하려면 철저한 준비가 필요합니다.
**Topics**
+ [
# SEC10-BP01 주요 직원과 외부 리소스 파악
](sec_incident_response_identify_personnel.md)
+ [
# SEC10-BP02 인시던트 관리 계획 개발
](sec_incident_response_develop_management_plans.md)
+ [
# SEC10-BP03 포렌식 역량 확보
](sec_incident_response_prepare_forensic.md)
+ [
# SEC10-BP04 억제 기능 자동화
](sec_incident_response_auto_contain.md)
+ [
# SEC10-BP05 액세스 권한 사전 프로비저닝
](sec_incident_response_pre_provision_access.md)
+ [
# SEC10-BP06 도구 사전 배포
](sec_incident_response_pre_deploy_tools.md)
+ [
# SEC10-BP07 게임 데이 진행
](sec_incident_response_run_game_days.md)
# SEC10-BP01 주요 직원과 외부 리소스 파악
조직이 인시던트에 대응하는 데 도움이 될 수 있는 내/외부 직원, 리소스, 법적 의무를 파악합니다.
클라우드에서 인시던트 대응 방식을 다른 팀(예: 법률 자문, 리더십, 비즈니스 이해관계자, AWS Support Services 등)과 함께 정의할 때는 주요 직원, 이해관계자 및 관련 연락처를 파악해야 합니다. 종속성을 줄이고 응답 시간을 단축하려면 사용하는 서비스에 대해 팀, 전문 보안팀, 응답자를 교육하고 실습 기회를 제공해야 합니다.
외부의 전문 지식 그리고 대응 능력을 강화할 수 있는 다른 관점을 제공할 수 있는 외부 AWS 보안 파트너를 찾는 것이 좋습니다. 신뢰할 수 있는 보안 파트너는 익숙하지 않은 잠재적 위험 또는 위협을 식별하는 데 도움을 줄 수 있습니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ 조직의 주요 직원 파악: 인시던트 대응 및 인시던트 이후의 복구에 참여해야 하는 조직 내의 직원 연락처 목록을 유지 관리합니다.
+ 외부 파트너 파악: 필요한 경우 인시던트 대응 및 인시던트 이후의 복구를 지원할 수 있는 외부 파트너와 협력합니다.
## 리소스
**관련 문서:**
+ [AWS 인시던트 대응 안내서](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**관련 동영상:**
+ [AWS 환경에서 보안 인시던트 준비 및 대응 ](https://youtu.be/8uiO0Z5meCs)
**관련 예시:**
# SEC10-BP02 인시던트 관리 계획 개발
인시던트에 대응하고, 인시던트 중에 커뮤니케이션하고, 인시던트로부터 복구하는 데 도움이 되는 계획을 수립합니다. 예를 들어 워크로드와 조직에서 발생할 가능성이 가장 큰 시나리오부터 인시던트 대응 계획을 시작할 수 있습니다. 사내외에서 커뮤니케이션 및 에스컬레이션할 방법도 포함해야 합니다.
**이 모범 사례가 확립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
인시던트 관리 계획은 보안 인시던트의 잠재적 영향에 대한 대응, 완화 및 복구에 매우 중요합니다. 인시던트 관리 계획은 보안 인시던트를 적시에 파악하고 해결 및 대응하기 위한 구조화된 프로세스입니다.
클라우드에는 온프레미스 환경에서 볼 수 있는 수많은 동일한 운영 역할과 요구 사항이 있습니다. 인시던트 관리 계획을 수립할 때는 비즈니스 성과와 규정 준수 요구 사항에 가장 잘 맞는 대응 및 복구 전략을 고려하는 것이 중요합니다. 예를 들어, 미국 내 FedRAMP 규정을 준수하는 AWS에서 워크로드를 운영하는 경우 [NIST SP 800-61 Computer Security Handling Guide(컴퓨터 보안 처리 안내서)](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf)를 준수해야 합니다. 이와 유사하게, 유럽 PII(개인 식별 정보) 데이터가 있는 워크로드를 운영하는 경우, [유럽 연합 일반 데이터 보호 규정(GDPR)](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en)에 명시된 데이터 레지던스 관련 문제를 보호하고 대응할 수 있는 방법과 같은 시나리오를 고려합니다.
AWS에서 운영하는 워크로드에 대한 인시던트 관리 계획을 구축하는 경우, 인시던트 대응에 대한 심층 방어 방식을 구축하기 위해 [AWS 공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)로 시작합니다. 이 모델에서 AWS는 클라우드 자체의 보안을 관리하지만 클라우드 내에서 보안을 유지하는 것은 고객의 책임입니다. 즉, 고객은 구현을 선택하는 보안 제어에 대한 제어 권한을 보유하며 이에 대한 책임이 있습니다. 클라우드 중심 인시던트 관리 계획 구축에 대한 핵심 개념 및 기본 지침은 [AWS 보안 인시던트 대응 안내서](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 에서 자세히 설명하고 있습니다.
효과적인 인시던트 관리 계획은 클라우드 운영 목표와 함께 끊임없이 반복되고 항상 최신 상태를 유지해야 합니다. 인시던트 관리 계획을 수립 및 발전시킬 때 아래에서 자세히 설명하는 구현 계획의 사용을 고려해 볼 수 있습니다.
+ **인시던트 대응 교육 및 훈련:** 정의된 기준선에서 편차가 발생하면(예: 잘못된 배포 또는 잘못된 구성) 이에 대응하고 조사해야 할 수 있습니다. 이를 성공적으로 수행하려면 AWS 환경 내에서 보안 인시던트 대응에 사용할 수 있는 제어 및 기능은 물론, 인시던트 대응에 참여하는 클라우드 팀을 준비, 교육 및 훈련하기 위해 고려해야 하는 프로세스를 이해해야 합니다.
+ [플레이북](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_playbooks.html) 및 [런북](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_runbooks.html) 은 인시던트 대응 방법의 훈련에 일관성을 유지할 수 있는 효과적인 메커니즘입니다. 인시던트 대응 중에 자주 실행되는 절차의 초기 목록을 작성하는 것부터 시작하여, 새로운 절차를 배우거나 사용하면서 이를 계속 반복합니다.
+ 예정된 [게임 데이](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_run_game_days.html)를 통해 플레이북과 런북을 공유합니다. 게임 데이 중에는 제어된 환경에서 인시던트 대응을 시뮬레이션하여 팀이 대응 방법을 기억할 수 있도록 하고, 인시던트 대응에 관여하는 팀이 워크플로를 숙지하고 있는지 확인할 수 있습니다. 시뮬레이션 이벤트의 결과를 검토하여 개선 사항을 파악하고 추가적인 훈련이나 추가 도구의 필요 여부를 결정합니다.
+ 보안은 모두의 업무로 여겨야 합니다. 워크로드를 일반적으로 운영하는 모든 인력이 참여하여 인시던트 관리 프로세스에 대한 종합적인 지식을 쌓습니다. 여기에는 업무의 모든 측면, 즉 운영, 테스트, 개발, 보안, 비즈니스 운영, 비즈니스 리더가 포함됩니다.
+ **인시던트 관리 계획을 문서화합니다.** 활성 인시던트에 대한 기록, 조치 수행, 진행 상황 커뮤니케이션, 그리고 알림을 제공하기 위한 도구 및 프로세스를 문서화합니다. 인시던트 관리 계획의 목표는 정상 운영을 가능한 빠르게 복원하고, 비즈니스 영향을 최소화하며, 모든 관련 당사자에게 계속 정보를 제공하는 것입니다. 인시던트의 예로는 네트워크 연결의 손실 또는 저하, 응답하지 않는 프로세스 또는 API, 예약된 작업이 수행되지 않는 경우(패치 작업 실패 등), 애플리케이션 데이터 또는 서비스의 사용 불가, 보안 이벤트로 인한 계획되지 않은 서비스 가동 중지, 보안 인증 유출, 잘못된 구성으로 인한 오류가 포함되며 이에만 국한되지 않습니다.
+ 워크로드 소유자와 같이 인시던트 해결에 책임이 있는 기본 소유자를 파악합니다. 인시던트를 실행할 사람과 커뮤니케이션 처리 방법에 대한 명확한 지침을 갖춥니다. 인시던트 해결 프로세스에 참여하는 당사자가 외부 공급업체와 같이 둘 이상인 경우 *책임(RACI) 매트릭스*의 구축을 고려하여 인시던트 해결에 필요한 다양한 팀 또는 개인의 역할과 책임을 자세히 설명할 수 있습니다.
RACI 매트릭스에서는 다음 내용을 자세히 설명합니다.
+ **R:** *책임* 당사자로서 작업을 완료하는 업무를 수행합니다.
+ **A:** *담당* 주체 또는 이해 관계자로서 특정 작업을 완료하기 위한 최종 권한이 있습니다.
+ **C:** *이사회* 주체로서 일반적으로 주제 전문가이며 의견을 구하는 당사자입니다.
+ **I:** *정보 주체* 당사자로서 진행 상황에 대한 알림을 받으며, 작업 또는 결과물의 완료 시에만 해당하는 경우도 있습니다.
+ **인시던트 분류:** 심각도 및 영향 점수를 기준으로 인시던트를 정의하고 분류하면 인시던트를 분류하고 해결하기 위한 구조화된 접근 방식을 사용할 수 있습니다. 다음 권장 사항은 인시던트를 정량화하기 위한 *영향 해결 긴급 매트릭스* 를 보여줍니다. 예를 들어, 낮은 영향, 낮은 긴급 인시던트는 낮은 심각도 인시던트로 간주됩니다.
+ **높음(H):** 비즈니스에 중대한 영향을 미칩니다. AWS 리소스 관련 애플리케이션의 중요한 기능을 사용할 수 없게 됩니다. 프로덕션 시스템에 영향을 미치는 가장 중대한 이벤트에 대해 예약됩니다. 개선 조치가 시간에 민감하게 반응함에 따라 인시던트의 영향은 빠르게 증가합니다.
+ **보통(M):** AWS 리소스 관련 비즈니스 서비스 또는 애플리케이션이 어느 정도 영향을 받고 성능이 저하된 상태에서 작동합니다. 서비스 수준 목표(SLO)에 기여하는 애플리케이션이 서비스 수준 계약(SLA) 한도 내에서 영향을 받습니다. 시스템이 저하된 성능으로 작동하며 재무 및 평판에 미치는 영향은 크지 않습니다.
+ **낮음(L):** AWS 리소스 관련 비즈니스 서비스 또는 애플리케이션의 중요하지 않은 기능이 영향을 받습니다. 시스템이 저하된 성능으로 작동하며 재무 및 평판에는 최소한의 영향을 미칩니다.
+ **보안 제어 표준화:** 보안 제어 표준화의 목표는 운영 성과에 관한 일관성, 추적 기능 및 반복성을 확보하는 것입니다. 인시던트 대응에 중요한 다음과 같은 핵심 활동 전반의 표준화를 추진합니다.
+ **자격 증명 및 액세스 관리:** 데이터에 대한 액세스를 제어하고, 인적 및 시스템 자격 증명 모두에 대한 권한을 관리하는 메커니즘을 설정합니다. Single Sign-On 및 역할 기반 권한을 가진 연동 보안을 사용하여 액세스 관리를 최적화함으로써 사용자의 자격 증명 및 액세스 관리를 클라우드로 확장합니다. 액세스 관리 표준화를 위한 모범 사례 권장 사항 및 개선 계획은 보안 원칙 백서의 [자격 증명 및 액세스 관리 섹션](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-and-access-management.html) 을 참조하세요.
+ **취약성 관리:** 공격자가 시스템을 침해하고 남용하는 데 사용될 가능성이 있는 AWS 환경의 취약점을 식별하기 위한 메커니즘을 설정합니다. 보안 인시던트의 잠재적 영향에 대응하고 이를 완화하기 위한 보안 메커니즘으로서 예방 및 탐지 제어를 모두 구현해야 합니다. 인프라 구축 및 애플리케이션 제공 수명 주기의 일부로 위협 모델링과 같은 프로세스를 표준화합니다.
+ **구성 관리:** AWS 클라우드의 리소스 배포를 위한 표준 구성을 정의하고 절차를 자동화합니다. 인프라와 리소스 프로비저닝을 표준화하면 오류가 있는 배포로 인한 잘못된 구성 또는 사람의 실수로 인한 잘못된 구성의 위험을 완화하는 데 도움이 됩니다. 이러한 제어를 구현하기 위한 지침 및 개선 계획은 운영 우수성 원칙 백서의 [설계 원리 섹션](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/design-principles.html) 을 참조하세요.
+ **감사 제어 로깅 및 모니터링:** 실패, 성능 저하 및 보안 문제에 대비하여 리소스를 모니터링하기 위한 메커니즘을 구현합니다. 이러한 제어를 표준화하면 시스템에서 발생하는 활동의 감사 추적을 제공하여 문제를 적시에 분류하고 개선하는 데 도움이 됩니다. 이 제어 구현을 위한 지침은 [SEC04(보안 관련 이벤트를 어떻게 탐지하나요?)](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) 의 모범 사례를 통해 제공됩니다.
+ **자동화 사용:** 자동화를 통해 규모에 맞는 적시 인시던트 해결이 가능합니다. AWS는 인시던트 대응 전략의 컨텍스트 내에서 자동화할 수 있는 여러 서비스를 제공합니다. 자동화와 수동 개입 간 적절한 밸런스를 찾는 데 집중합니다. 플레이북과 런북의 인시던트 대응을 구축함으로써 반복 가능한 단계를 자동화할 수 있습니다. AWS Systems Manager Incident Manager와 같은 AWS 서비스를 사용하여 [IT 인시던트를 더 빠르게 해결](https://aws.amazon.com/blogs/aws/resolve-it-incidents-faster-with-incident-manager-a-new-capability-of-aws-systems-manager/)합니다. 또한 [개발자 도구](https://aws.amazon.com/devops/) 를 사용하여 인력 개입 없이도 버전을 제어하고 [Amazon Machine Images (AMI)](https://aws.amazon.com/amis/) 및 코드형 인프라(IaC) 배포를 자동화할 수 있습니다. 해당하는 경우 Amazon GuardDuty, Amazon Inspector, AWS Security Hub CSPM, AWS Config 및 Amazon Macie와 같은 관리형 서비스를 사용하여 탐지 및 규정 준수 평가를 자동화할 수 있습니다. Amazon DevOps Guru와 같은 기계 학습을 통해 탐지 기능을 최적화하여 비정상적인 운영 패턴 문제가 발생하기 전에 이를 탐지할 수 있습니다.
+ **근본 원인 분석 및 학습된 조치 수행:** 인시던트 사후 대응 검토를 통해 학습된 내용을 캡처하는 메커니즘을 구현합니다. 인시던트의 근본 원인이 더 큰 결함, 설계 결함, 잘못된 구성 또는 재발 가능성을 드러내는 경우 문제로 분류됩니다. 이러한 경우 문제를 분석하고 해결하여 정상 운영의 중단을 최소화합니다.
## 리소스
**관련 문서:**
+ [AWS 보안 인시던트 대응 안내서](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [ NIST: 컴퓨터 보안 인시던트 처리 안내서 ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
**관련 동영상:**
+ [AWS의 인시던트 대응 및 포렌식 자동화 ](https://youtu.be/f_EcwmmXkXk)
+ [ 런북, 인시던트 보고서, 인시던트 대응에 대한 DIY 가이드 ](https://www.youtube.com/watch?v=E1NaYN_fJUo)
+ [AWS 환경에서 보안 인시던트 준비 및 대응 ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**관련 예시:**
+ [실습: Jupyter를 사용한 인시던트 대응 플레이북 - AWS IAM](https://www.wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [ 실습: AWS 콘솔 및 CLI를 사용한 인시던트 대응 ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP03 포렌식 역량 확보
인스던트 대응 담당자가 대응 계획의 어느 시점에 어떻게 포렌식 조사를 실행할지 이해하는 것이 중요합니다. 조직에서는 이 프로세스에서 어떤 증거가 수집되고 어떤 도구가 사용되는지 정의해야 합니다. 외부 전문가, 도구 및 자동화를 비롯하여 적합한 포렌식 역량을 파악하고 확보합니다. 미리 결정해야 할 중요한 사항은 라이브 시스템에서의 데이터 수집 여부입니다. 휘발성 메모리 콘텐츠 또는 액티브 네트워크 연결과 같은 일부 데이터는 시스템의 전원이 꺼지거나 재부팅되면 손실됩니다.
대응 팀에서는 AWS Systems Manager, Amazon EventBridge, AWS Lambda 등의 도구를 결합하여 운영 체제 및 VPC 트래픽 미러링 내에서 자동으로 포렌식 도구를 실행하여 네트워크 패킷 캡처를 확보함으로써 비영구적인 증거를 수집할 수 있습니다. 맞춤화된 포렌식 워크스테이션과 대응 담당자가 액세스 가능한 도구를 사용할 수 있는 전담 보안 계정에서 로그 분석 또는 디스크 이미지 분석과 같은 다른 활동을 수행합니다.
높은 내구성과 무결성을 제공하는 데이터 스토어에 관련 로그를 주기적으로 전송합니다. 대응 담당자는 이런 로그에 액세스할 수 있어야 합니다. AWS는 로그 조사를 용이하게 하는 Amazon Athena, Amazon OpenSearch Service(OpenSearch Service), Amazon CloudWatch Logs Insights와 같은 도구를 제공합니다. 또한 Amazon Simple Storage Service(Amazon S3) 객체 잠금을 사용하여 증거를 안전하게 보존합니다. 이 서비스는 WORM(Write-Once-Read-Many) 모델을 따르며 일정 기간 동안 객체가 삭제되거나 덮어써지지 않도록 합니다. 포렌식 조사 기법에는 전문가 교육이 필요하므로 외부 전문가의 참여가 필요할 수도 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
+ 포렌식 기능 파악: 조직의 포렌식 조사 역량, 사용 가능한 도구 및 외부 전문가를 조사합니다.
+ [인시던트 대응 및 포렌식 자동화 ](https://youtu.be/f_EcwmmXkXk)
## 리소스
**관련 문서:**
+ [How to automate forensic disk collection in AWS(AWS에서 포렌식 디스크 수집을 자동화하는 방법)](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/)
# SEC10-BP04 억제 기능 자동화
대응 시간과 조직에 대한 영향을 줄일 수 있도록 인시던트 억제 및 복구를 자동화합니다.
플레이북에서 프로세스와 도구를 생성하고 연습한 후에는 로직을 코드 기반 솔루션으로 해체할 수 있습니다. 그리고 이것은 많은 대응 인력들이 조치를 자동화하고 대응 인력의 편차 또는 추측을 없애기 위한 도구로 사용할 수 있습니다. 이렇게 하면 대응 수명 주기를 가속화할 수 있습니다. 다음 목표는 사람 응답자에 의해서가 아니라 알림 또는 이벤트 자체에서 이 코드가 호출되도록 함으로써 완벽히 자동으로 이루어지는 이벤트 중심의 대응을 생성하는 것입니다. 이러한 프로세스는 보안 시스템에 관련 데이터를 자동으로 추가해야 합니다. 예를 들어, 원치 않는 IP 주소에서 트래픽이 발생한 인시던트의 경우 AWS WAF 차단 목록 또는 Network Firewall 규칙 그룹이 자동으로 채워져 향후 활동을 차단할 수 있습니다.
![\[AWS architecture diagram showing WAF WebACL logs processing and IP address blocking flow between accounts.\]](http://docs.aws.amazon.com/ko_kr/wellarchitected/2022-03-31/framework/images/aws-waf-automate-block.png)
*그림 3: 알려진 악성 IP 주소 차단을 자동화하는 AWS WAF*
이벤트 중심의 대응 시스템을 사용하면 탐지 메커니즘이 대응 메커니즘을 트리거하여 이벤트를 자동으로 해결합니다. 이벤트 중심의 대응 기능을 사용하여 탐지 메커니즘과 대응 메커니즘 간의 시간을 단축할 수 있습니다. 이러한 이벤트 중심의 아키텍처를 생성하기 위해 이벤트에 대한 응답으로 코드를 실행하고 기본 컴퓨팅 리소스를 자동으로 관리하는 서버리스 컴퓨팅 서비스인 AWS Lambda를 사용할 수 있습니다. 예를 들어 AWS CloudTrail 서비스가 활성화된 AWS 계정이 있다고 가정해 보겠습니다. AWS CloudTrail이 비활성화된 경우( `cloudtrail:StopLogging` API 호출을 통해 Amazon EventBridge를 사용하여 특정 `cloudtrail:StopLogging` 이벤트를 모니터링하고 AWS Lambda 함수를 호출하여 `cloudtrail:StartLogging` 을 호출함으로써 로깅을 다시 시작할 수 있습니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
억제 기능을 자동화합니다.
## 리소스
**관련 문서:**
+ [AWS 인시던트 대응 안내서](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**관련 동영상:**
+ [AWS 환경에서 보안 인시던트 준비 및 대응](https://youtu.be/8uiO0Z5meCs)
# SEC10-BP05 액세스 권한 사전 프로비저닝
인시던트 응답자에게 AWS에 사전 프로비저닝된 올바른 액세스 권한이 있는지 확인하여 조사 및 복구 시간을 단축할 수 있도록 합니다.
**일반적인 안티 패턴:**
+ 인시던트 대응을 위해 루트 계정을 사용합니다.
+ 기존 사용자 계정을 변경합니다.
+ 적시 권한 승격을 제공할 때 IAM 권한을 직접 조작합니다.
**이 모범 사례가 확립되지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
AWS는 가능한 경우 장기 보안 인증에 대한 의존도를 줄이거나 제거할 것을 권장합니다. 그 대신, 임시 보안 인증 및 *적시* 권한 승격 메커니즘을 사용하는 것이 좋습니다. 장기 보안 인증은 보안 위험에 노출되기 쉽고, 운영 오버헤드가 증가합니다. 따라서 대부분의 관리 작업에서 인시던트 대응 작업 뿐만 아니라 [아이덴티티 페더레이션](https://docs.aws.amazon.com/identity/federation/) 과 함께 [관리 액세스를 위한 임시 승격](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)을 구현하는 것을 권장합니다. 이 모델에서는 사용자가 더 높은 수준의 권한(인시던트 대응 역할 등)을 요청하고, 사용자가 권한 승격에 적합한 경우 요청이 승인자에게 전송됩니다. 요청이 승인되면 사용자는 일련의 임시 [AWS 보안 인증](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) 을 받아 자신의 작업을 완료하는 데 사용합니다. 이러한 보안 인증이 만료되면 사용자는 새로운 승격 요청을 제출해야 합니다.
대부분의 인시던트 대응 시나리오에서는 임시 권한 승격을 사용하는 것이 좋습니다. 이를 위한 올바른 방법은 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) 및 [세션 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) 을 사용하여 액세스의 범위를 지정하는 것입니다.
페더레이션형 ID를 사용할 수 없는 시나리오는 다음과 같습니다.
+ ID 제공업체(idP)의 침해로 인한 중단
+ 잘못된 구성 또는 인적 오류로 인한 페더레이션 액세스 관리 시스템의 손상
+ DDoS(분산 서비스 거부) 이벤트 배포 또는 시스템을 사용할 수 없도록 렌더링하는 등의 악의적인 활동
위와 같은 사례의 경우, 긴급 *브레이크 글라스* 액세스를 구성하여 인시던트에 대한 조사 및 적시 개선이 이루어지도록 해야 합니다. 또한 [적절한 권한이 있는 IAM 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) 를 사용하여 작업을 수행하고 AWS 리소스에 액세스하는 것이 좋습니다. 루트 보안 인증은 [루트 사용자 액세스가 필요한 작업](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)에 사용합니다. 인시던트 응답자가 AWS 및 기타 관련 시스템에 대한 올바른 수준의 액세스 권한이 있는지 확인할 수 있도록, 전용 사용자 계정을 사전 프로비저닝하는 것이 좋습니다. 사용자 계정에는 권한이 있는 액세스가 필요하며, 엄격하게 제어 및 모니터링해야 합니다. 계정은 필요한 작업을 수행하기 위한 가장 최소한의 권한만으로 구축해야 하며, 액세스의 수준은 인시던트 관리 계획의 일부로 생성된 플레이북을 기준으로 해야 합니다.
모범 사례는 목적별 전용 사용자 및 역할을 사용하는 것입니다. IAM 정책 추가를 통해 사용자나 역할 액세스 권한을 임시 승격할 경우 인시던트가 발생하는 동안 사용자의 액세스 대상이 불명확해질 뿐만 아니라 승격된 권한이 취소되지 않는 위험이 발생합니다.
최대한 많은 수의 실패 시나리오에서 액세스를 얻을 수 있는지 확인할 수 있도록 가능한 많은 종속성을 제거하는 것이 중요합니다. 이를 지원하기 위해, 인시던트 대응 담당자가 전용 보안 계정에서 AWS Identity and Access Management 사용자로 생성되었는지, 그리고 기존 페더레이션 또는 Single Sign-On(SSO) 솔루션을 통해 관리되고 있지 않은지 확인할 수 있는 플레이북을 생성합니다. 각 개별 대응 담당자는 자신만의 명명된 계정을 가지고 있어야 합니다. 계정 구성은 [강력한 암호 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) 및 다중 인증(MFA)을 적용해야 합니다. 인시던트 대응 플레이북에서 AWS Management Console에 대한 액세스 권한만 요구할 경우, 사용자는 구성된 액세스 키를 가지고 있지 않아야 하며 액세스 키 생성이 명시적으로 허용되지 않아야 합니다. 이것은 IAM 정책 또는 서비스 제어 정책(SCP)을 통해서만 구성해야 하며, AWS 보안 모범 사례( [AWS Organizations SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html))를 따를 것을 권장합니다. 사용자는 다른 계정에서 인시던트 대응 역할을 수임할 수 있는 기능 외에 다른 권한이 없어야 합니다.
인시던트 과정에서 조사, 개선 조치 또는 복구 활동을 지원하기 위해 기타 내부 또는 외부 인력에게 액세스 권한을 부여해야 할 수 있습니다. 이 경우, 이전에 언급한 플레이북 메커니즘을 사용해야 하며, 인시던트가 완료된 후 모든 추가 액세스 권한이 즉시 취소되었는지 확인할 수 있는 프로세스가 반드시 있어야 합니다.
인시던트 대응 역할의 사용이 적절히 모니터링 및 감사되고 있는지 확인할 수 있도록, 이 목적을 위해 생성된 IAM 사용자 계정이 인력 간에 공유되지 않도록 하고, AWS 계정 루트 사용자가 [특정 작업에 필요하지 않다면](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)사용되지 않습니다. 루트 사용자가 필요한 경우(예를 들어, 특정 계정에 대한 IAM 액세스를 사용할 수 없는 경우), 사용 가능한 플레이북을 통해 별도의 프로세스를 사용하여 루트 사용자 암호 및 MFA 토큰의 가용성을 확인해야 합니다.
인시던트 대응 역할을 위한 IAM 정책을 구성하기 위해 [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) 를 사용하여 AWS CloudTrail 로그를 기반으로 정책을 생성하는 것을 고려해 볼 수 있습니다. 이를 위해서는 비 프로덕션 계정에서 인시던트 대응 역할에 대한 관리자 액세스 권한을 부여하고 플레이북에 따라 실행해야 합니다. 완료되면 수행된 작업만 허용하는 정책을 생성할 수 있습니다. 그 후 이 정책은 모든 계정의 모든 인시던트 대응 역할에 적용할 수 있습니다. 더욱 쉬운 관리 및 감사를 허용할 수 있도록 각 플레이북에 대한 별도의 IAM 정책을 생성할 수 있습니다. 플레이북에 포함할 수 있는 예로는 랜섬웨어, 데이터 침해, 프로덕션 액세스의 손실 및 기타 시나리오에 대한 대응 계획이 있을 수 있습니다.
인시던트 대응 사용자 계정을 사용하여 전용 인시던트 대응 [IAM 역할(다른 AWS 계정 계정 내)을 수임합니다](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). 이러한 역할은 보안 계정의 사용자만 수임할 수 있도록 구성되어야 하며, 신뢰 관계에서는 호출하는 보안 주체가 MFA를 사용하여 인증해야 합니다. 역할은 범위가 좁은 IAM 정책을 사용하여 액세스를 제어해야 합니다. 이러한 역할에 대한 모든 `AssumeRole` 요청은 CloudTrail에 로깅되고 알림이 생성되며, 이러한 역할을 사용하여 수행된 모든 작업이 로깅되도록 합니다.
IAM 사용자 계정과 IAM 역할의 이름을 모두 명확하게 지정하여 CloudTrail 로그에서 쉽게 찾을 수 있도록 하는 것이 좋습니다. 그 예로는 IAM 계정 `-BREAK-GLASS` 및 IAM 역할 `BREAK-GLASS-ROLE`이 있습니다.
[CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 은 AWS 계정의 API 활동을 기록하는 데 사용되며 [인시던트 대응 역할의 사용에 대한 알림을 구성](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)하는 데 사용해야 합니다. 루트 키 사용 시 알림 구성에 대한 블로그 게시물을 참조하세요. 지침을 수정하여 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) 지표 필터를 필터로 구성할 수 있으며 이 경우 `AssumeRole` 이벤트에 구성되며 인시던트 대응 IAM 역할과 관련됩니다.
```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```
인시던트 대응 역할은 높은 수준의 액세스 권한을 가질 가능성이 높기 때문에, 이러한 알림은 광범위한 그룹에 전달되고 신속하게 조치되는 것이 중요합니다.
인시던트 발생 시 응답자는 IAM에 의해 직접 보호되지 않는 시스템에 대한 액세스가 필요할 수 있습니다. 여기에는 Amazon Elastic Compute Cloud 인스턴스, Amazon Relational Database Service 데이터베이스 또는 서비스형 소프트웨어(SaaS) 플랫폼이 포함됩니다. SSH 또는 RDP와 같은 기본 프로토콜을 사용하는 것보다는 [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) 를 Amazon EC2 인스턴스에 대한 모든 관리 액세스에 사용하는 것이 좋습니다. 이 액세스는 보안 및 감사 기능이 있는 IAM을 사용하여 제어할 수 있습니다. 또한 [AWS Systems Manager Run Command 문서](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)를 사용하여 플레이북의 일부를 자동화할 수 있으며, 이를 통해 사용자 오류를 줄이고 복구 시간을 개선할 수 있습니다. 데이터베이스 및 서드 파티 도구에 대한 액세스를 위해, AWS Secrets Manager에 액세스 보안 인증을 저장하고 인시던트 응답자 역할에 액세스 권한을 부여하는 것이 좋습니다.
마지막으로, 인시던트 대응 IAM 사용자 계정의 관리를 [입사, 전근 및 퇴사 프로세스](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) 에 추가하고 정기적으로 검토 및 테스트하여 대상 액세스만 허용되는지 확인해야 합니다.
## 리소스
**관련 문서:**
+ [AWS 환경에 대한 임시 승격된 액세스 관리](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
+ [AWS 보안 인시던트 대응 안내서 ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/)
+ [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html)
+ [IAM 사용자의 계정 암호 정책 설정](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [AWS에서 다중 인증(MFA) 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [ MFA를 통한 크로스 계정 액세스 구성 ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ IAM Access Analyzer를 사용하여 IAM 정책 생성 ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ 다중 계정 환경에서의 AWS Organizations 서비스 제어 정책 모범 사례 ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [AWS 계정의 루트 액세스 키가 사용될 때 알림을 받는 방법 ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ IAM 관리형 정책을 사용하여 세분화된 세션 권한 생성 ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)
**관련 동영상:**
+ [AWS의 인시던트 대응 및 포렌식 자동화 ](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+ [런북, 인시던트 보고서, 인시던트 대응에 대한 DIY 가이드](https://youtu.be/E1NaYN_fJUo)
+ [AWS 환경에서 보안 인시던트 준비 및 대응 ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**관련 예시:**
+ [ 실습: AWS 계정 설정 및 루트 사용자 ](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ 실습: AWS 콘솔 및 CLI를 사용한 인시던트 대응 ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP06 도구 사전 배포
AWS에 사전 배포된 올바른 도구를 보안 담당자에게 제공함으로써 조사부터 복구까지 걸리는 시간을 단축할 수 있도록 합니다.
보안 엔지니어링 및 운영 기능을 자동화하기 위해 AWS의 포괄적인 API 및 도구 세트를 사용할 수 있습니다. 자격 증명 관리, 네트워크 보안, 데이터 보호, 모니터링 기능을 완전히 자동화하고 이미 사용하고 있는 대중적인 소프트웨어 개발 방법을 사용하여 제공할 수 있습니다. 보안 자동화를 구축하면 직원이 보안 상태를 모니터링하면서 수동으로 이벤트에 대응하는 것이 아니라 시스템이 모니터링 및 검토하고 대응을 시작할 수 있습니다. AWS 서비스 전체에서 검색 가능하며 관련성 있는 로그 데이터를 인시던트 대응 담당자에게 자동으로 제공하는 효과적인 방법 중 하나는 다음을 사용하는 것입니다. [Amazon Detective](https://aws.amazon.com/detective/).
인시던트 대응팀은 같은 방식으로 계속 알림에 대응할 경우 알림에 대한 피로감을 느낄 위험이 있습니다. 시간이 지남에 따라 팀이 알림에 무감각한 상태가 되어 일상적인 상황을 처리하는 데 실수하거나 비정상적인 알림을 놓칠 수 있습니다. 자동화는 반복적이고 일상적인 알림을 처리하는 기능을 사용함으로써 알림에 대한 피로감을 방지하며, 중요하고 특별한 인시던트만 사람이 직접 처리하도록 합니다. Amazon GuardDuty, AWS CloudTrail Insights, Amazon CloudWatch Anomaly Detection과 같은 이상 탐지 시스템을 통합하면 일반적인 임계값 기반 알림의 부담을 줄일 수 있습니다.
프로세스의 단계를 프로그래밍 방식으로 자동화하여 수동 프로세스를 개선할 수 있습니다. 이벤트에 대한 수정 패턴을 정의한 후 해당 패턴을 실행 가능한 로직으로 분해하고 코드를 작성하여 해당 로직을 수행할 수 있습니다. 그런 다음, 응답자가 해당 코드를 실행하여 문제를 해결할 수 있습니다. 시간이 지남에 따라 점점 더 많은 단계를 자동화할 수 있으며, 궁극적으로 일반적인 인시던트의 전체 클래스를 자동으로 처리할 수 있습니다.
Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 운영 체제 내에서 실행되는 도구의 경우, Amazon EC2 인스턴스 운영 체제에 설치한 에이전트를 사용하여 원격으로 안전하게 인스턴스를 관리할 수 있도록 해주는 AWS Systems Manager Run Command를 사용하여 평가해야 합니다. 많은 Amazon Machine Image(AMI)에 기본적으로 설치된 Systems Manager Agent(SSM Agent)가 필요합니다. 하지만 일단 인스턴스가 손상되었으면 해당 인스턴스에서 실행 중인 도구 또는 에이전트의 응답은 신뢰할 수 있는 것으로 간주해서는 안 됩니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
+ 도구 사전 배포: 인시던트에 적절하게 대응할 수 있도록 보안 담당자가 적절한 도구를 AWS에 사전 배포하도록 합니다.
+ [실습: AWS Management Console 및 CLI를 사용한 인시던트 대응 ](https://wellarchitectedlabs.com/Security/300_Incident_Response_with_AWS_Console_and_CLI/README.html)
+ [ Jupyter를 사용한 인시던트 대응 플레이북 - AWS IAM ](https://wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [AWS 보안 자동화 ](https://github.com/awslabs/aws-security-automation)
+ 리소스 태깅 구현: 인시던트 발생 시 리소스를 식별할 수 있도록 조사 중인 리소스의 코드와 같은 정보로 리소스를 태깅합니다.
+ [AWS 태그 지정 전략 ](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)
## 리소스
**관련 문서:**
+ [AWS 인시던트 대응 안내서 ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**관련 동영상:**
+ [ 런북, 인시던트 보고서, 인시던트 대응에 대한 DIY 가이드 ](https://youtu.be/E1NaYN_fJUo)
# SEC10-BP07 게임 데이 진행
시뮬레이션 또는 연습이라고도 하는 게임 데이는 실제 시나리오에서 인시던트 관리 계획 및 절차를 연습할 수 있는 체계적인 기회를 제공하는 내부 이벤트입니다. 이 이벤트에서는 실제 환경을 모사하는 등 실제 상황에서 사용될 도구와 기법을 동일하게 사용하여 대응 담당자를 훈련시켜야 합니다. 게임 데이는 기본적으로 대응 능력을 준비하고 반복적으로 개선하기 위한 것입니다. 게임 데이 활동을 수행하는 것이 중요한 몇 가지 이유는 다음과 같습니다.
+ 준비 상태 검증
+ 자신감 향상 – 시뮬레이션 및 교육 담당자를 통한 학습
+ 규정 준수 또는 계약 의무 준수
+ 인증을 위한 아티팩트 생성
+ 민첩성 – 점진적 개선
+ 속도 향상 및 도구 개선
+ 커뮤니케이션 및 에스컬레이션 다듬기
+ 드문 상황이나 예기치 않은 상황에 대한 대처 능력 개발
이러한 이유로 시뮬레이션 활동에 참여하는 동안 파생된 가치는 스트레스 이벤트 발생 시 조직의 실효성을 높입니다. 현실적이고 유리한 시뮬레이션 활동을 개발하는 것은 어려운 연습이 될 수 있습니다. 제대로 파악한 이벤트를 처리하는 절차 또는 자동화를 테스트하는 것도 몇 가지 장점이 있지만, 창의적인 [보안 인시던트 대응 시뮬레이션(SIRS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/security-incident-response-simulations.html) 활동에 참여하여 예기치 않은 상황을 테스트하면서 지속해서 개선하는 경우도 그만한 가치가 있습니다.
각자의 환경, 팀, 도구에 맞춤화된 시뮬레이션을 생성합니다. 문제를 찾고 그 문제를 중심으로 시뮬레이션을 설계합니다. 예를 들면 보안 인증 정보 유출, 원치 않는 시스템과 서버의 커뮤니케이션 또는 무단 노출이 야기되는 잘못된 구성 등의 문제가 될 수 있습니다. 조직을 잘 아는 엔지니어를 찾아 시나리오를 만들도록 하고 다른 그룹을 참여시킵니다. 시나리오는 현실적이어야 하며 가치가 있을 만큼 어려워야 합니다. 로깅, 알림, 에스컬레이션, 런북 또는 자동화 실행 등을 직접 체험할 기회를 포함해야 합니다. 시뮬레이션 과정에서 대응 담당자는 기술적, 조직적 역량을 발휘하고 리더가 관여하여 인시던드 관리 역량을 쌓아야 합니다. 시뮬레이션 말미에는 팀의 노력을 인정하고 향후 시뮬레이션에서 반복하고 확대할 수 있는 부분을 찾습니다.
[AWS에서 마련한 인시던트 대응 런북 템플릿을](https://github.com/aws-samples/aws-incident-response-playbooks) 대응 전략 준비뿐만 아니라 시뮬레이션의 기반으로 사용할 수 있습니다. 계획 과정에서 시뮬레이션은 다섯 단계로 나뉠 수 있습니다.
**증거 수집: **이 단계에서 팀은 내부 티켓 시스템, 모니터링 도구에서의 알림, 익명의 제보, 대중의 뉴스 등 다양한 방법으로 알림을 받습니다. 그런 다음 인프라와 애플리케이션 로그를 검토하여 문제의 원인을 판단합니다. 이 단계에서 내부 에스컬레이션이 이루어지고 인시던트 리더십이 관여해야 합니다. 문제의 원인을 찾았으면 인시던트 억제로 넘어갑니다.
**인시던트 억제: **인시던트가 발생했음을 확인하고 문제의 원인을 찾은 상태에서 이제 인시던트를 억제하는 조치를 취합니다. 예를 들면 문제가 발생한 보안 인증 정보를 비활성화하거나 컴퓨팅 리소스를 격리하거나 역할의 권한을 취소합니다.
**인시던트 근절: **인시던트를 억제했으므로 이제 문제 발생의 원인이 된 애플리케이션 또는 인프라 구성의 취약점을 완화해야 합니다. 여기에는 워크로드에 사용되는 모든 보안 인증 정보를 교체하거나 액세스 제어 목록(ACL)을 수정하거나 네트워크 구성을 변경하는 작업이 포함될 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
+ 게임 데이 [진행](https://wa.aws.amazon.com/wat.concept.gameday.en.html): 주요 직원과 관리자가 관여된 서로 다른 위협에 대해 시뮬레이션된 [인시던트](https://wa.aws.amazon.com/wat.concept.incident.en.html) 대응 [이벤트(게임 데이)](https://wa.aws.amazon.com/wat.concept.event.en.html) 를 진행합니다.
+ 교훈 확보: [게임 데이](https://wa.aws.amazon.com/wat.concept.gameday.en.html) 를 통해 얻은 교훈을 피드백 루프에 포함하여 프로세스를 개선합니다.
## 리소스
**관련 문서:**
+ [AWS 인시던트 대응 안내서](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/cloudendure-disaster-recovery/)
**관련 동영상:**
+ [ 런북, 인시던트 보고서, 인시던트 대응에 대한 DIY 가이드 ](https://youtu.be/E1NaYN_fJUo)