기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안, ID 및 규정 준수

AWS는 애플리케이션 및 워크로드를 구축, 마이그레이션 및 관리하는 가장 안전한 글로벌 클라우드 인프라로 설계되었습니다.

각 서비스에 대한 설명은 다이어그램 다음에 제공됩니다. 필요에 가장 적합한 서비스를 결정하는 데 도움이 되도록 AWS보안, 자격 증명 및 거버넌스 서비스 선택을 참조하세요. 일반 정보는의 보안, 자격 증명 및 규정 준수를 참조하세요AWS.

AWS 서비스으로 돌아갑니다.

Amazon Cognito

Amazon Cognito를 사용하면 웹 및 모바일 앱에 사용자 가입, 로그인 및 액세스 제어 기능을 빠르고 쉽게 추가할 수 있습니다. Amazon Cognito를 사용하면 수백만 명의 사용자로 확장할 수 있으며 Apple, Facebook, Twitter 또는 Amazon과 같은 소셜 ID 공급자, SAML 2.0 ID 솔루션을 사용하거나 자체 ID 시스템을 사용하여 로그인할 수 있습니다.

뿐만 아니라 Amazon Cognito를 통해 사용자의 디바이스에 데이터를 로컬 저장할 수 있어 디바이스가 오프라인 상태일 때에도 애플리케이션이 작동하도록 할 수 있습니다. 또한 사용자의 디바이스 전반에 걸쳐 데이터를 동기화하여 앱 사용 환경이 디바이스에 상관없이 일관되도록 할 수 있습니다.

Amazon Cognito를 사용하면 사용자 관리, 인증 및 디바이스 간 동기화를 처리하는 솔루션의 구축, 보안 및 확장에 대해 걱정하는 대신 뛰어난 앱 경험을 만드는 데 집중할 수 있습니다.

Amazon Detective

Amazon Detective는 사용자가 잠재적인 보안 문제 또는 의심스러운 활동의 근본 원인을 쉽게 분석 및 조사하고 신속하게 식별할 수 있게 합니다. Amazon Detective는 AWS리소스에서 로그 데이터를 자동으로 수집하고 기계 학습, 통계 분석 및 그래프 이론을 사용하여 연결된 데이터 세트를 구축하므로 더 빠르고 효율적인 보안 조사를 쉽게 수행할 수 있습니다. Amazon Detective는 최대 1,200개의 계정에 대해를 사용하여 조직의 모든 기존 및 향후 계정에서 보안 운영 및 조사를 AWS Organizations위한 AWS계정 관리를 더욱 간소화합니다.

AWSAmazon GuardDuty, Amazon Macie 및 AWS Security Hub CSPM파트너 보안 제품과 같은 보안 서비스를 사용하여 잠재적 보안 문제 또는 조사 결과를 식별할 수 있습니다. 이러한 서비스는 AWS배포에서 무단 액세스 또는 의심스러운 동작이 발생할 수 있는 시기와 위치를 알리는 데 매우 유용합니다. 그러나 경우에 따라 근본 원인을 해결하기 위해 조사 결과를 초래한 이벤트에 대한 심층 조사를 수행하려는 보안 조사 결과가 있습니다. 보안 조사 결과의 근본 원인을 파악하는 것은 보안 분석가에게 복잡한 프로세스일 수 있으며, 많은 데이터 소스에서 로그를 수집 및 결합하고, 추출, 전환, 적재(ETL) 도구를 사용하고, 데이터를 구성하기 위한 사용자 지정 스크립팅을 사용하는 경우가 많습니다.

Amazon Detective는 보안 팀이 조사 결과의 근본 원인을 쉽게 조사하고 신속하게 파악할 수 있도록 하여 이 프로세스를 간소화합니다. Detective는 Amazon Virtual Private Cloud(VPC) 흐름 로그AWS CloudTrail, Amazon GuardDuty와 같은 여러 데이터 소스의 수조 개의 이벤트를 분석할 수 있습니다. Detective는 이러한 이벤트를 사용하여 리소스, 사용자 및 시간 경과에 따른 상호 작용에 대한 통합된 대화형 보기를 자동으로 생성합니다. 이 통합 보기를 사용하면 모든 세부 정보와 컨텍스트를 한 곳에서 시각화하여 조사 결과의 기본 원인을 식별하고, 관련 기록 활동을 자세히 살펴보고, 근본 원인을 신속하게 확인할 수 있습니다.

AWS Management 콘솔에서 몇 번의 클릭만으로 Amazon Detective를 시작할 수 있습니다. 배포할 소프트웨어나 활성화 및 유지 관리할 데이터 소스가 없습니다. 새 계정에서 사용할 수 있는 30일 무료 평가판으로 추가 비용 없이 Detective를 사용해 볼 수 있습니다.

Amazon GuardDuty

Amazon GuardDuty는 악의적인 활동 및 변칙적인 동작을 지속적으로 모니터링하여 Amazon Simple Storage Service(Amazon S3)에 저장된 AWS 계정, 워크로드, Kubernetes 클러스터 및 데이터를 보호하는 위협 탐지 서비스입니다. GuardDuty 서비스는 비정상적인 API 직접 호출, 무단 배포, 계정 정찰 또는 손상 가능성을 나타내는 유출된 자격 증명과 같은 활동을 모니터링합니다.

에서 몇 번의 클릭만으로 활성화AWS Management 콘솔되고 지원으로 조직 전체에서 쉽게 관리되는AWS Organizations Amazon GuardDuty는 무단 사용의 징후가 있는지 AWS계정 전체에서 수십억 개의 이벤트를 즉시 분석할 수 있습니다. GuardDuty는 통합 위협 인텔리전스 피드와 기계 학습 이상 탐지 기능을 통해 의심되는 공격자를 식별하고 계정 및 워크로드 활동의 이상을 탐지합니다. 잠재적 위협이 탐지되면 서비스는 GuardDuty 콘솔, Amazon CloudWatch Events, AWS Security Hub CSPM에 자세한 조사 결과를 전송합니다. 따라서 조사 결과를 실행 가능하고 쉽게 기존 이벤트 관리 및 워크플로 시스템에 통합할 수 있습니다. 조사 결과의 근본 원인을 확인하기 위한 추가 조사는 GuardDuty 콘솔에서 Amazon Detective를 직접 사용하여 쉽게 수행할 수 있습니다.

Amazon GuardDuty는 비용 효율적이고 운영하기 쉽습니다. 소프트웨어 또는 보안 인프라를 배포하고 유지 관리할 필요가 없습니다. 즉, 기존 애플리케이션 및 컨테이너 워크로드에 부정적인 영향을 미칠 위험 없이 빠르게 활성화할 수 있습니다. GuardDuty의 선결제 비용, 배포할 소프트웨어, 활성화할 위협 인텔리전스 피드는 없습니다. 또한 GuardDuty는 스마트 필터를 적용하고 위협 탐지와 관련된 로그의 하위 집합만 분석하여 비용을 최적화하며 새 Amazon GuardDuty 계정은 30일 동안 무료입니다.

Amazon Inspector –

Amazon Inspector는 소프트웨어 취약성 및 의도하지 않은 네트워크 노출이 AWS있는지 워크로드를 지속적으로 스캔하는 새로운 자동화된 취약성 관리 서비스입니다. AWS Management 콘솔및에서 몇 번의 클릭만으로 조직의 모든 계정에서AWS Organizations Amazon Inspector를 사용할 수 있습니다. Amazon Inspector는 시작된 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 및 Amazon Elastic Container Registry(Amazon ECR)에 있는 컨테이너 이미지를 모든 규모로 자동으로 검색하고 즉시 알려진 취약성 평가를 시작합니다.

Amazon Inspector는 Amazon Inspector Classic에 비해 많은 개선 사항이 있습니다. 예를 들어 새로운 Amazon Inspector는 일반적인 취약성 및 노출(CVE) 정보를 네트워크 액세스 및 악용성과 같은 요인과 상호 연관시켜 각 조사 결과에 대해 고도로 컨텍스트화된 위험 점수를 계산합니다. 이 점수는 가장 중요한 취약성의 우선순위를 지정하여 문제 해결 대응 효율성을 개선하는 데 사용됩니다. 또한 Amazon Inspector는 이제 널리 배포된 AWS Systems Manager에이전트(SSM 에이전트)를 사용하여 독립 실행형 에이전트를 배포하고 유지 관리하여 Amazon EC2 인스턴스 평가를 실행할 필요가 없습니다. 컨테이너 워크로드의 경우 Amazon Inspector가 이제 Amazon Elastic Container Registry(Amazon ECR)와 통합되어 컨테이너 이미지에 대한 지능적이고 비용 효율적이며 지속적인 취약성 평가를 지원합니다. 모든 결과는 Amazon Inspector 콘솔에서 집계되고, 로 라우팅되고AWS Security Hub CSPM, Amazon EventBridge를 통해 푸시되어 티켓팅과 같은 워크플로를 자동화합니다.

Amazon Inspector를 처음 사용하는 모든 계정은 15일 무료 평가판을 통해 서비스를 평가하고 비용을 추정할 수 있습니다. 시험 중에 Amazon ECR로 푸시된 모든 적격 Amazon EC2 인스턴스 및 컨테이너 이미지는 무료로 계속 스캔됩니다.

Amazon Macie

Amazon Macie는 인벤토리 평가, 기계 학습, 패턴 매칭을 사용하여 Amazon S3 환경에서 민감한 데이터와 접근성을 파악하는 완전 관리형 데이터 보안 및 데이터 개인 정보 보호 서비스입니다. Macie는 버킷에 대한 변경 사항을 자동으로 추적하고 시간이 지남에 따라 새 객체 또는 수정된 객체만 평가하는 확장 가능한 온디맨드 및 자동 민감한 데이터 검색 작업을 지원합니다. Macie를 사용하면 여러 국가와 지역의 민감한 데이터 유형 목록을 광범위하게 감지할 수 있습니다. 여기에는 여러 유형의 금융 데이터, 개인 건강 정보(PHI), 개인 식별 정보(PII)는 물론 사용자 지정 유형도 포함됩니다. 또한 Macie는 Amazon S3 환경을 지속적으로 평가하여 모든 계정에서 S3 리소스 요약 및 보안 평가를 제공합니다. 버킷 이름, 태그, 암호화 상태 또는 퍼블릭 액세스 가능성과 같은 보안 제어와 같은 메타데이터 변수를 기준으로 S3 버킷을 검색, 필터링 및 정렬할 수 있습니다. 암호화되지 않은 버킷, 공개적으로 액세스할 수 있는 버킷 또는에 정의한 AWS 계정외부에서와 공유된 버킷의 AWS Organizations경우 조치를 취하라는 알림을 받을 수 있습니다.

다중 계정 구성에서 단일 Macie 관리자 계정은 계정 간에 민감한 데이터 검색 작업의 생성 및 관리를 포함하여 모든 멤버 계정을 관리할 수 있습니다AWS Organizations. 보안 및 민감한 데이터 조사 결과는 Macie 관리자 계정에 집계되어 Amazon CloudWatch Events 및 AWS Security Hub CSPM로 전송됩니다. 이제 하나의 계정을 사용하여 이벤트 관리, 워크플로 및 티켓팅 시스템과 통합하거나AWS Step Functions와 Macie 조사 결과를 사용하여 문제 해결 작업을 자동화할 수 있습니다. 새 계정에서 S3 버킷 인벤토리 및 버킷 수준 평가를 위해 무료로 사용할 수 있는 30일 평가판을 사용하여 Macie를 빠르게 시작할 수 있습니다. 민감한 데이터 검색은 버킷 평가를 위한 30일 평가판에 포함되지 않습니다.

Amazon Security Lake

Amazon Security Lake는 AWS환경, SaaS 공급자, 온프레미스 및 클라우드 소스의 보안 데이터를에 저장된 특별히 구축된 데이터 레이크로 중앙 집중화합니다AWS 계정. Security Lake는 계정 및 간에 보안 데이터의 수집 및 관리를 자동화AWS 리전하므로 선호하는 분석 도구를 사용하는 동시에 보안 데이터에 대한 제어 및 소유권을 유지할 수 있습니다. Security Lake를 사용하면 워크로드, 애플리케이션 및 데이터에 대한 보호도 개선할 수 있습니다.

Security Lake는 통합 AWS 서비스 및 타사 서비스에서 보안 관련 로그 및 이벤트 데이터를 자동으로 수집합니다. 또한 사용자 지정 가능한 보존 설정을 통해 데이터 수명 주기를 관리할 수 있습니다. 데이터 레이크는 Amazon S3 버킷에 의해 지원되며, 데이터에 대한 소유권은 사용자에게 있습니다. Security Lake는 수집된 데이터를 Apache Parquet 형식과 개방형 사이버 보안 스키마 프레임워크 (OCSF) 라는 표준 오픈 소스 스키마로 변환합니다. Security Lake는 OCSF 지원을 통해 및 광범위한 엔터프라이즈 보안 데이터 소스의 보안 데이터를 정규화AWS하고 결합합니다.

다른 AWS서비스 및 타사 서비스는 인시던트 대응 및 보안 데이터 분석을 위해 Security Lake에 저장된 데이터를 구독할 수 있습니다.

Amazon Verified Permissions

Amazon Verified Permissions는 사용자가 빌드한 사용자 지정 애플리케이션을 위한 확장 가능하고 세분화된 권한 관리 및 권한 부여 서비스입니다. Verified Permissions를 사용하면 외부에서 권한을 부여하고 중앙에서 정책을 관리하고 운영하여 개발자가 안전한 애플리케이션을 더 빠르게 빌드할 수 있습니다.

Verified Permissions는 Cedar 오픈 소스 정책 언어 및 SDK를 사용하여 애플리케이션 사용자에 대한 세분화된 권한을 정의합니다. 권한 부여 모델은 위탁자 유형, 리소스 유형 및 유효한 작업을 사용해 정의되어 주어진 애플리케이션 컨텍스트에서 어떤 리소스에 대해 어떤 작업을 수행할 수 있는지 제어합니다. 정책 변경 사항이 감사되므로 누가 언제 변경했는지 확인할 수 있습니다.

AWS Artifact

AWS Artifact는 중요한 규정 준수 관련 정보에 대한 필수 중앙 리소스입니다. AWS 보안 및 규정 준수 보고서에 대한 온디맨드 액세스를 제공하고 온라인 계약을 선택합니다. 에서 사용할 수 있는 보고서에AWS Artifact는 SOC(Service Organization Control) 보고서, PCI(Payment Card Industry) 보고서, AWS보안 제어의 구현 및 운영 효과를 검증하는 여러 지역 및 규정 준수 수직 부문의 인증 기관의 인증이 포함됩니다. 에서 사용할 수 있는 계약에는 BAA(Business Associate Addendum) 및 NDA(Nondisclosure Agreement)가 AWS Artifact포함됩니다.

AWS Audit Manager

AWS Audit Manager를 사용하면 AWS사용량을 지속적으로 감사하여 위험과 규정 및 업계 표준 준수를 평가하는 방법을 간소화할 수 있습니다. Audit Manager는 증거 수집을 자동화하여 감사에서 자주 발생하는 ‘전 직원 총동원’ 식의 수동 작업을 줄이고, 비즈니스가 성장함에 따라 클라우드에서 감사 기능을 확장할 수 있도록 합니다. Audit Manager를 사용하면 제어라고도 하는 정책, 절차 및 활동이 효과적으로 작동하는지 쉽게 평가할 수 있습니다. 감사 시기에 AWS Audit Manager는 수동 작업을 줄여주어 통제에 대한 이해 관계자 검토를 관리하고 감사 준비 보고서를 작성하는 데 도움을 줍니다.

AWS Audit Manager사전 구축된 프레임워크는 AWS리소스를 CIS AWS Foundations Benchmark, 일반 데이터 보호 규정(GDPR) 및 Payment Card Industry Data Security Standard(PCI DSS)와 같은 업계 표준 또는 규정의 요구 사항에 매핑하여 클라우드 서비스의 증거를 감사자 친화적인 보고서로 변환하는 데 도움이 됩니다. 또한 고유한 비즈니스 요구 사항에 맞게 프레임워크와 해당 제어를 완전히 사용자 지정할 수 있습니다. 선택한 프레임워크에 따라 Audit Manager는 AWS계정 및 리소스에서 리소스 구성 스냅샷, 사용자 활동 및 규정 준수 검사 결과와 같은 관련 증거를 지속적으로 수집하고 구성하는 평가를 시작합니다.

에서 빠르게 시작할 수 있습니다AWS Management 콘솔. 사전 구축된 프레임워크를 선택하여 평가를 시작하고 증거 자동 수집 및 구성을 시작하면 됩니다.

AWS Certificate Manager

AWS Certificate Manager는 서비스 및 내부 연결 리소스와 함께 사용할 보안 소켓 계층/전송 계층 보안(SSL/TLS) 인증서를 쉽게 프로비저닝, 관리 및 배포할 수 있는 AWS서비스입니다. SSL/TLS 인증서는 네트워크 통신을 보호하고 인터넷을 통한 웹 사이트 및 프라이빗 네트워크의 리소스의 ID를 설정하는 데 사용됩니다. SSL/TLS 인증서를 구매, 업로드 및 갱신하는 데 시간이 많이 걸리는 수동 프로세스를 AWS Certificate Manager제거합니다.

를 사용하면 인증서를 빠르게 요청하고, ELB, Amazon CloudFront 배포 및 APIs Gateway의 API와 같은 ACM 통합AWS 리소스에 배포하고,가 인증서 갱신을 처리하도록AWS Certificate ManagerAWS Certificate Manager 할 수 있습니다. 또한 내부 리소스에 대한 프라이빗 인증서를 생성하고 인증서 수명 주기를 중앙에서 관리할 수 있도록 합니다. ACM 통합 서비스와 함께 사용할 AWS Certificate Manager수 있도록를 통해 프로비저닝된 퍼블릭 및 프라이빗 인증서는 무료입니다. 애플리케이션을 실행하기 위해 생성하는 AWS 리소스에 대한 비용만 지불합니다.

AWS Private Certificate Authority를 사용하면 사설 인증 기관(CA) 운영 및 발급한 사설 인증서에 대해 매월 비용을 지불합니다. 자체 사설 CA 운영에 대한 선결제 투자 및 지속적인 유지 관리 비용 없이 가용성이 높은 사설 CA 서비스를 이용할 수 있습니다.

AWS CloudHSM

AWS CloudHSM은 AWS 클라우드에서 자체 암호화 키를 쉽게 생성하고 사용할 수 있는 클라우드 기반 하드웨어 보안 모듈(HSM)입니다. AWS CloudHSM를 사용하면 전용 FIPS 140-2 레벨 3 검증 HSMs 사용하여 자체 암호화 키를 관리할 수 있습니다.는 PKCS#11, Java Cryptography Extensions(JCE) 및 Microsoft CryptoNG(CNG) 라이브러리와 같은 업계 표준 APIs를 사용하여 애플리케이션과 통합할 수 있는 유연성을 AWS CloudHSM제공합니다.

AWS CloudHSM는 표준을 준수하며 구성에 따라 모든 키를 상용 HSMs으로 내보낼 수 있습니다. 하드웨어 프로비저닝, 소프트웨어 패치, 고가용성 및 백업과 같이 시간이 많이 걸리는 관리 작업을 자동화하는 완전관리형 서비스입니다. AWS CloudHSM또한 선결제 비용 없이 온디맨드 방식으로 HSM 용량을 추가 및 제거하여 빠르게 확장할 수 있습니다.

AWS Directory Service

AWS Directory Service 라고도 하는 for Microsoft Active Directory를 AWS Managed Microsoft AD사용하면 디렉터리 인식 워크로드와 AWS 리소스가에서 관리형 Active Directory를 사용할 수 있습니다AWS 클라우드. AWS Managed Microsoft AD는 실제 Microsoft Active Directory를 기반으로 구축되었으며 기존 Active Directory에서 클라우드로 데이터를 동기화하거나 복제할 필요가 없습니다. 표준 Active Directory 관리 도구를 사용하고 그룹 정책 및 Single Sign-On(SSO)과 같은 기본 Active Directory 기능을 활용할 수 있습니다. 를 사용하면 Amazon EC2andAmazon RDS for SQL Server인스턴스를 도메인에 쉽게 조인하고Amazon WorkSpaces와 같은 AWS Enterprise IT 애플리케이션을 Active Directory 사용자 및 그룹과 함께 사용할 AWS Managed Microsoft AD수 있습니다.

AWS Firewall Manager

AWS Firewall Manager는 AWS Organizations의 계정과 애플리케이션 전체에 대한 방화벽 규칙을 중앙에서 구성 및 관리할 수 있는 보안 관리 서비스입니다. 새 애플리케이션이 생성되면 Firewall Manager는 공통 보안 규칙 세트를 적용하여 새 애플리케이션과 리소스를 쉽게 규정 준수 상태로 만들 수 있습니다. 이제 중앙 관리자 계정에서 방화벽 규칙을 구축하고, 보안 정책을 생성하고, 전체 인프라에 걸쳐 일관되고 계층적인 방식으로 적용할 수 있는 단일 서비스가 제공됩니다.

AWS Identity and Access Management

AWS Identity and Access Management (IAM)를 사용하면 AWS사용자, 그룹 및 역할에 대한 AWS서비스 및 리소스에 대한 액세스를 안전하게 제어할 수 있습니다. IAM을 사용하면 권한을 사용하여 세분화된 액세스 제어를 생성 및 관리하고, 어떤 서비스 및 리소스에 어떤 사용자가 어떤 조건에서 액세스할 수 있는지 지정할 수 있습니다. IAM을 통해 다음을 수행할 수 있습니다.

AWS Key Management Service

AWS Key Management Service (AWS KMS)를 사용하면 암호화 키를 쉽게 생성 및 관리하고 다양한 AWS서비스 및 애플리케이션에서의 사용을 제어할 수 있습니다.는 하드웨어 보안 모듈(HSM)을 AWS KMS사용하여 FIPS 140-2 암호화 모듈 검증 프로그램에 따라 AWS KMS키를 보호하고 검증합니다. AWS KMS는와AWS CloudTrail 통합되어 규제 및 규정 준수 요구 사항을 충족하는 데 도움이 되는 모든 키 사용에 대한 로그를 제공합니다.

AWS Network Firewall

AWS Network Firewall은(는) 모든 Amazon Virtual Private Cloud(VPC)에 필수 네트워크 보호 기능을 손쉽게 배포할 수 있도록 해주는 관리형 서비스입니다. 네트워크 트래픽에 따라 몇 번의 클릭만으로 서비스를 설정할 수 있으므로 인프라 배포 및 관리에 대해 걱정할 필요가 없습니다. AWS Network Firewall 유연한 규칙 엔진을 사용하면 아웃바운드 서버 메시지 블록(SMB) 요청을 차단하여 악의적인 활동의 확산을 방지하는 등 네트워크 트래픽을 세밀하게 제어할 수 있는 방화벽 규칙을 정의할 수 있습니다. 또한 공통 오픈 소스 규칙 형식으로 이미 작성한 규칙을 가져오고 AWSPartners.AWS Network Firewallworks에서 제공하는 관리형 인텔리전스 피드와의 통합을와 함께 활성화AWS Firewall Manager하여 AWS Network Firewall규칙을 기반으로 정책을 빌드한 다음 VPCs 및 계정에 해당 정책을 중앙에서 적용할 수 있습니다.

AWS Network Firewall에는 일반적인 네트워크 위협으로부터 보호하는 기능이 포함되어 있습니다. AWS Network Firewall 상태 저장 방화벽은 연결 추적 및 프로토콜 식별과 같은 트래픽 흐름의 컨텍스트를 통합하여 VPC 승인되지 않은 프로토콜을 사용하여 도메인에 액세스하는 것을 방지하는 등의 정책을 적용할 수 있습니다. AWS Network Firewall침입 방지 시스템(IPS)은 서명 기반 탐지를 사용하여 취약성 악용을 식별하고 차단할 수 있도록 활성 트래픽 흐름 검사를 제공합니다. AWS Network Firewall또한는 알려진 잘못된 URLs하고 정규화된 도메인 이름을 모니터링할 수 있는 웹 필터링을 제공합니다.

Amazon VPC 콘솔을 방문하여 방화벽 규칙을 생성 또는 가져오고, 정책으로 그룹화하고, 보호하려는 VPCs에 적용AWS Network Firewall하면를 쉽게 시작할 수 있습니다. AWS Network Firewall요금은 배포된 방화벽 수와 검사된 트래픽 양을 기반으로 합니다. 선결제 약정이 없으며 사용한 만큼만 비용을 지불하면 됩니다.

AWS Resource Access Manager

AWS Resource Access Manager(AWS RAM)을 사용하면 AWS Organizations 내의 조직 또는 조직 단위(OU) 내에서 AWS 계정 간에 리소스를 안전하게 공유할 수 있으며, 지원되는 리소스 유형에 대한 IAM 역할 및 IAM 사용자와도 리소스를 안전하게 공유할 수 있습니다. AWS RAM를 사용하여 전송 게이트웨이, 서브넷, AWS License Manager라이선스 구성, Amazon Route 53 Resolver 규칙 등을 공유할 수 있습니다.

많은 조직에서 여러 계정을 사용하여 관리 또는 결제 격리를 생성하고 오류의 영향을 제한합니다. 를 AWS RAM사용하면 여러 AWS계정에 중복 리소스를 생성할 필요가 없습니다. 이렇게 하면 소유한 모든 계정에서 리소스를 관리하는 데 드는 운영 오버헤드가 줄어듭니다. 대신 다중 계정 환경에서 리소스를 한 번 생성하고 AWS RAM를 사용하여 리소스 공유를 생성하여 계정 간에 해당 리소스를 공유할 수 있습니다. 리소스 공유를 생성할 때 공유할 리소스를 선택하고, 리소스 유형별로 AWS RAM관리형 권한을 선택하고, 리소스에 액세스할 사용자를 지정합니다. AWS RAM는 추가 비용 없이 사용할 수 있습니다.

AWS Secrets Manager

AWS Secrets Manager는 애플리케이션, 서비스, IT 리소스에 액세스하는 데 필요한 보안 암호를 보호하도록 도와줍니다. 서비스를 사용하면 수명 주기 동안 데이터베이스 자격 증명, API 키 및 기타 보안 암호를 쉽게 교체, 관리 및 검색할 수 있습니다. 사용자와 애플리케이션은 Secrets Manager API를 직접적으로 호출하여 보안 암호를 검색하므로 일반 텍스트로 민감한 정보를 하드코딩할 필요가 없습니다. Secrets Manager는 Amazon RDS, Amazon Redshift 및 Amazon DocumentDB에 대한 통합 기능이 내장된 보안 로테이션을 제공합니다. 이 서비스는 또한 API 키 및 OAuth 토큰을 비롯한 다른 유형의 보안 암호로 확장할 수 있습니다. 또한 Secrets Manager를 사용하면 세분화된 권한을 사용하여 보안 암호에 대한 액세스를 제어하고 AWS 클라우드, 타사 서비스 및 온프레미스의 리소스에 대해 중앙에서 시크릿 로테이션을 감사할 수 있습니다.

AWS Security Hub CSPM

AWS Security Hub CSPM는 AWS 리소스에 대해 자동화된 지속적 보안 모범 사례 검사를 수행하는 클라우드 보안 태세 관리 서비스입니다. Security Hub CSPM은 다양한AWS 서비스 및 파트너 제품의 보안 알림(예: 조사 결과)을 표준화된 형식으로 집계하므로 더 쉽게 조치를 취할 수 있습니다. 에서 보안 태세를 완벽하게 파악하려면 Amazon GuardDuty의 위협 탐지AWS, Amazon Inspector의 취약성, Amazon Macie의 민감한 데이터 분류,의 리소스 구성 문제AWS Config, AWS Partner Network제품 등 여러 도구와 서비스를 통합해야 합니다. Security Hub CSPM은 AWS Config규칙으로 구동되는 자동화된 보안 모범 사례 검사와 수십 개의 AWS서비스 및 파트너 제품과의 자동화된 통합을 통해 보안 태세를 이해하고 개선하는 방법을 간소화합니다.

Security Hub CSPM을 사용하면 모든 AWS계정의 통합 보안 점수를 통해 전반적인 보안 태세를 이해할 수 있으며,는 AWS기본 보안 모범 사례(FSBP) 표준 및 기타 규정 준수 프레임워크를 통해 계정 리소스의AWS 보안을 자동으로 평가합니다. 또한 보안 AWS조사 결과 형식(ASFF)을 통해 수십 개의 AWS보안 서비스 및 APN 제품의 모든 보안 조사 결과를 한 장소 및 형식으로 집계하고 자동 응답 및 문제 해결 지원을 통해 MTTR(평균 문제 해결 시간)을 줄입니다. Security Hub CSPM은 티켓팅, 채팅, 보안 정보 및 이벤트 관리(SIEM), 보안 오케스트레이션 자동화 및 대응(SOAR), 위협 조사, 거버넌스 위험 및 규정 준수(GRC) 및 인시던트 관리 도구와 out-of-the-box 통합되어 사용자에게 완전한 보안 운영 워크플로를 제공합니다.

Security Hub CSPM을 시작하려면에서 몇 번만 클릭하면 30일 무료 평가판AWS Management 콘솔을 사용하여 조사 결과를 집계하고 보안 검사를 수행할 수 있습니다. Security Hub CSPMAWS Organizations을와 통합하여 조직의 모든 계정에서 서비스를 자동으로 활성화할 수 있습니다.

AWS Shield

AWS Shield는에서 실행되는 웹 애플리케이션을 보호하는 관리형 분산 서비스 거부(DDoS) 보호 서비스입니다AWS.는 애플리케이션 가동 중지 시간과 지연 시간을 최소화하는 자동 인라인 완화 및 상시 가동 감지 기능을 AWS Shield제공하므로 DDoS 보호의 이점을 활용지원하기 위해 참여할 필요가 없습니다. AWS Shield표준과 고급이라는 두 가지 티어가 있습니다.

모든 AWS고객은 추가 비용 없이 AWS ShieldStandard의 자동 보호를 이용할 수 있습니다.는 웹 사이트 또는 애플리케이션을 대상으로 하는 가장 일반적이고 자주 발생하는 네트워크 및 전송 계층 DDoS 공격으로부터 AWS Shield Standard보호합니다. Amazon CloudFront 및 Amazon Route 53과 함께 AWS Shield Standard를 사용하면 알려진 모든 인프라(계층 3 및 4) 공격에 대한 포괄적인 가용성 보호를 받을 수 있습니다.

Amazon Elastic Compute Cloud(Amazon EC2), ELB(ELB), Amazon CloudFront 및 Amazon Route 53 리소스에서 실행되는 애플리케이션을 대상으로 하는 공격에 대해 더 높은 수준의 보호를 받으려면를 구독하면 됩니다AWS Shield Advanced. Standard와 함께 제공되는 네트워크 및 전송 계층 보호 외에도 AWS ShieldAdvanced는 대규모의 정교한 DDoS 공격에 대한 추가 탐지 및 완화, 공격에 대한 실시간 가시성, 웹 애플리케이션 방화벽과의 통합AWS WAF을 제공합니다.AWS Shield Advanced 또한는 Amazon Elastic Compute Cloud(Amazon EC2), ELB(ELB), Amazon CloudFront 및 Amazon Route 53 요금의 DDoS 관련 스파이크에 대한 보호 및 AWS DDoS 대응 팀(DRT)에 대한 연중무휴 액세스를 제공합니다.

AWS ShieldAdvanced는 모든 Amazon CloudFront 및 Amazon Route 53 엣지 로케이션에서 전 세계적으로 사용할 수 있습니다. 애플리케이션 앞에 Amazon CloudFront를 배포하여 전 세계 어디서나 호스팅되는 웹 애플리케이션을 보호할 수 있습니다. 오리진 서버는 Amazon S3, Amazon Elastic Compute Cloud(Amazon EC2), ELB(ELB) 또는 외부의 사용자 지정 서버일 수 있습니다AWS. 버지니아 북부, 오하이오, 오레곤, 캘리포니아 북부, 몬트리올, 상파울루, 아일랜드, AWS 리전프랑크푸르트, 런던, 파리, 스톡홀름, 싱가포르, 도쿄, 시드니, 서울, 뭄바이, 밀라노, 케이프타운의 탄력적 IP 또는 ELB(ELB)에서 직접 AWS ShieldAdvanced를 활성화할 수도 있습니다.

AWS IAM Identity Center

AWS IAM Identity Center (SSO)는 여러 AWS계정 및 비즈니스 애플리케이션에 대한 SSO 액세스를 중앙에서 쉽게 관리할 수 있는 클라우드 SSO 서비스입니다. 단 몇 번의 클릭만으로 자체 SSO 인프라 운영에 대한 선결제 투자 및 지속적인 유지 관리 비용 없이 고가용성 SSO 서비스를 활성화할 수 있습니다. IAM Identity Center를 사용하면 AWS Organizations의 모든 계정에 대한 SSO 액세스 및 사용자 권한을 중앙에서 쉽게 관리할 수 있습니다. IAM Identity Center에는 Salesforce, Box 및 Microsoft Office 365와 같은 많은 비즈니스 애플리케이션에 대한 기본 제공 SAML 통합 또한 포함되어 있습니다. 또한 IAM Identity Center 애플리케이션 구성 마법사를 사용하여 Security Assertion Markup Language(SAML) 2.0 통합을 생성하고 SAML 지원 애플리케이션에 대한 SSO 액세스를 확장할 수 있습니다. 사용자는 자신이 IAM Identity Center에서 구성한 자격 증명으로 사용자 포털에 로그인하거나 기존 기업 자격 증명을 사용하여 할당된 모든 계정 및 애플리케이션에 한 곳에서 액세스할 수 있습니다.

AWS WAF

AWS WAF는 가용성에 영향을 미치거나, 보안을 손상시키거나, 과도한 리소스를 소비할 수 있는 일반적인 웹 악용 및 봇으로부터 웹 애플리케이션 또는 APIs를 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. AWS WAF는 봇 트래픽을 제어하고 SQL 삽입 또는 교차 사이트 스크립팅과 같은 일반적인 공격 패턴을 차단하는 보안 규칙을 생성할 수 있도록 하여 트래픽이 애플리케이션에 도달하는 방식을 제어합니다. 특정 트래픽 패턴을 필터링하는 규칙을 사용자 지정할 수도 있습니다. AWS또는 AWS Marketplace판매자가 관리하는 사전 구성된 규칙 세트AWS WAF인 관리형 규칙을 사용하여 OWASP 상위 10개 보안 위험 및 과도한 리소스를 소비하거나 지표를 왜곡하거나 가동 중지를 일으킬 수 있는 자동화된 봇과 같은 문제를 신속하게 시작할 수 있습니다. 이러한 규칙은 새로운 문제가 발생하면 정기적으로 업데이트됩니다. 에는 보안 규칙의 생성, 배포 및 유지 관리를 자동화하는 데 사용할 수 있는 모든 기능을 갖춘 API가 AWS WAF포함되어 있습니다.

AWS WAF캡차

AWS WAF Captcha는 웹 요청이 AWS WAF보호된 리소스에 도달하도록 허용되기 전에 사용자가 문제를 성공적으로 완료하도록 요구하여 원치 않는 봇 트래픽을 차단하는 데 도움이 됩니다. 로그인, 검색, 양식 제출과 같이 봇이 자주 대상으로 하는 특정 리소스에 대해 WAF Captcha 문제를 해결하도록 AWS WAF규칙을 구성할 수 있습니다. 또한 AWS WAFBot Control 또는 Amazon IP 평판 목록AWS Managed Rules과 같이에서 생성된 속도, 속성 또는 레이블을 기반으로 의심스러운 요청에 대해 WAF Captcha 챌린지를 요구할 수 있습니다. WAF Captcha 챌린지는 봇에 대한 효과를 유지하면서 사람이 쉽게 풀 수 있습니다. WAF Captcha에는 오디오 버전이 포함되어 있으며 웹 콘텐츠 접근성 지침(WCAG) 접근성 요구 사항을 충족하도록 설계되었습니다.

AWS 서비스으로 돌아갑니다.