AWS 계정 보안 설정

이 가이드에서는 리소스가 손상되었을 때 알림을 AWS 계정 수신하고 특정 AWS 계정 사용자가 액세스할 수 있도록를 설정하는 방법을 보여줍니다. 를 보호하고 리소스를 AWS 계정 추적하려면 다음 단계를 완료하세요.

계정의 액세스 키를 삭제합니다.

AWS Command Line Interface (AWS CLI) 또는 API를 사용하여 AWS 리소스에 대한 프로그래밍 방식 액세스를 허용할 수 있습니다. AWS APIs 그러나는 프로그래밍 방식 액세스를 위해 루트 계정과 연결된 액세스 키를 생성하거나 사용하지 않도록 AWS 권장합니다.

액세스 키가 여전히 있는 경우, 해당 액세스 키를 삭제하고 사용자를 생성하는 것이 좋습니다. 그런 다음 호출하려는 API에 필요한 권한만 해당 사용자에게 부여하세요. 해당 사용자를 사용하여 액세스 키를 발급할 수 있습니다.

자세한 내용은 AWS 일반 참조 안내서의 AWS 계정의 액세스 키 관리를 참조하세요.

다중 인증 활성화

다중 인증(MFA)은 사용자 이름과 암호에 더해 인증 계층을 제공하는 보안 기능입니다.

MFA의 원리는 다음과 같습니다. 사용자 이름과 암호로 로그인한 후에 본인만 물리적으로 액세스할 수 있는 추가 정보도 제공해야 합니다. 이 정보는 전용 MFA 하드웨어 디바이스 또는 휴대 전화의 앱에서 가져올 수 있습니다.

지원되는 MFA 디바이스 목록에서 사용하려는 MFA 디바이스 유형을 선택해야 합니다. 하드웨어 디바이스의 경우 MFA 디바이스를 안전한 위치에 보관하세요.

가상 MFA 디바이스(예: 휴대 전화 앱)를 사용한다면 휴대 전화가 분실되거나 손상되는 경우 어떻게 할지 생각해 둬야 합니다. 한 가지 방법은 사용하는 가상 MFA 디바이스를 안전한 장소에 보관하는 것입니다. 또 다른 옵션은 두 개 이상의 디바이스를 동시에 활성화하거나 디바이스 키 복구에 가상 MFA 옵션을 사용하는 것입니다.

MFA에 대한 자세한 내용은 가상 다중 인증(MFA) 디바이스 활성화를 참조하세요.

관련 리소스

• 다중 인증 시작하기

• MFA를 AWS 사용하여에 대한 액세스 보호

모든에서 CloudTrail 활성화 AWS 리전

를 사용하여 AWS 리소스의 모든 활동을 추적할 수 있습니다AWS CloudTrail. 지금 CloudTrail을 켜는 것을 권장합니다. 이렇게 하면 지원 와 AWS 솔루션 아키텍트가 나중에 보안 또는 구성 문제를 해결하는 데 도움이 될 수 있습니다.

모든에서 CloudTrail 로깅을 활성화하려면 업데이트 - 모든 리전에서 켜기 및 여러 추적 사용을 AWS 리전참조하세요. AWS CloudTrail

CloudTrail에 대한 자세한 내용은 에서 CloudTrail 켜기: API 활동 로깅을 참조하세요 AWS 계정. CloudTrail이 Nimble Studio를 모니터링하는 방법을 알아보려면 를 사용하여 Nimble Studio 호출 로깅 AWS CloudTrail을 참조하세요.

Amazon GuardDuty 및 알림 설정

Amazon GuardDuty는 다음을 분석하고 처리하는 지속적 보안 모니터링 서비스입니다.

• 데이터 소스

• Amazon VPC 흐름 로그

• AWS CloudTrail 관리 이벤트 로그

• CloudTrail S3 데이터 이벤트 로그

• DNS 로그

Amazon GuardDuty는 사용자 AWS 환경 내에서 예기치 않고 잠재적으로 승인되지 않은 악의적인 활동을 식별합니다. 악의적 활동에는 권한 에스컬레이션, 노출된 보안 인증 정보 사용 또는 악의적인 IP 주소나 도메인과의 통신 같은 문제가 포함될 수 있습니다. GuardDuty는 이러한 활동을 식별하기 위해 악성 IP 주소 및 도메인 목록 같은 위협 인텔리전스 피드와 기계 학습을 사용합니다. 예를 들어 GuardDuty는 맬웨어에 서비스를 제공하거나 비트코인을 채굴하는 손상된 Amazon EC2 인스턴스를 탐지할 수 있습니다.

또한 GuardDuty는 AWS 계정 액세스 동작에서 손상 징후를 모니터링합니다. 여기에는 사용된 적이 없는에 배포 AWS 리전 된 인스턴스와 같은 무단 인프라 배포가 포함됩니다. 또한 암호 강도를 줄이기 위한 암호 정책 변경과 같은 특이한 API 직접 호출도 포함됩니다.

GuardDuty는 보안 조사 결과를 생성하여 AWS 환경의 상태를 알려줍니다. 이러한 조사 결과는 GuardDuty 콘솔이나 Amazon CloudWatch 이벤트를 통해 볼 수 있습니다.

Amazon SNS 주제 및 엔드포인트 설정

Amazon SNS 설정 주제 및 엔드포인트 설정 자습서의 지침을 따르세요.

GuardDuty 조사 결과를 위한 EventBridge 이벤트 설정

GuardDuty가 생성하는 모든 조사 결과를 위한 이벤트를 전송하는 EventBridge 규칙을 생성하세요.

GuardDuty 조사 결과를 위한 EventBridge 이벤트를 생성하려면

1. Amazon EventBridge 콘솔(https://console.aws.amazon.com/events/)에 로그인합니다.

2. 탐색 창에서 규칙을 선택합니다. 그런 다음 규칙 생성을 선택합니다.

3. 새 규칙의 이름과 설명을 입력합니다. 그런 다음 다음을 선택합니다.

4. 이벤트 소스에서 AWS 이벤트 또는 EventBridge 파트너 이벤트가 선택된 상태로 둡니다.

5. 이벤트 패턴에서 이벤트 소스로 AWS 서비스를 선택합니다. 그런 다음 AWS 서비스에서 GuardDuty를 선택하고, 이벤트 유형에서 GuardDuty 결과를 선택합니다. 이것은 Amazon SNS 주제 및 엔드포인트 설정에서 생성한 주제입니다.

6. Next(다음)를 선택합니다.

7. 대상 1에서 AWS 서비스를 선택합니다. 대상 선택 드롭다운에서 SNS 주제를 선택합니다. 그런 다음 GuardDuty_to_Email 주제를 선택합니다.

8. 추가 설정 섹션에서 대상 입력 구성 드롭다운을 사용하여 입력 변환기를 선택합니다. 입력 변환기 구성을 선택합니다.

9. 대상 입력 변환기 섹션의 입력 경로 필드에 다음 코드를 입력합니다.

   {
       "severity": "$.detail.severity",
       "Account_ID": "$.detail.accountId",
       "Finding_ID": "$.detail.id",
       "Finding_Type": "$.detail.type",
       "region": "$.region",
       "Finding_description": "$.detail.description"
   }

10. 이메일의 형식을 지정하려면 템플릿 필드에 다음 코드를 입력합니다.

    "AWS <Account_ID> has a severity <severity> GuardDuty finding type <Finding_Type> in the <region> region."
    "Finding Description:"
    "<Finding_description>. "
    "For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id=<Finding_ID>"

11. 생성(Create)을 선택합니다. 그런 다음 다음을 선택합니다.

12. (선택 사항) 태그를 사용하여 AWS 리소스를 추적하는 경우 태그를 추가합니다.

13. Next(다음)를 선택합니다.

14. 규칙을 검토합니다. 그런 다음 규칙 생성을 선택합니다.

이제 AWS 계정 보안을 설정했으므로 특정 사용자에게 액세스 권한을 부여하고 리소스가 손상되면 알림을 받을 수 있습니다.