워크로드 예제: Amazon EC2의 COTS 소프트웨어 - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

워크로드 예제: Amazon EC2의 COTS 소프트웨어

이 워크로드는의 예입니다테마 3: 자동화를 통한 변경 가능한 인프라 관리.

Amazon EC2에서 실행되는 워크로드는를 사용하여 수동으로 생성되었습니다 AWS Management Console. 개발자는 EC2 인스턴스에 로그인하고 소프트웨어를 업데이트하여 시스템을 수동으로 업데이트합니다.

이 워크로드의 경우 클라우드 및 애플리케이션 팀은 Essential Eight 전략을 해결하기 위해 다음 작업을 수행합니다.

애플리케이션 제어

  • 클라우드 팀은 중앙 집중식 AMI 파이프라인을 구성하여 AWS Systems Manager 에이전트(SSM 에이전트), CloudWatch 에이전트 및 SELinux를 설치하고 구성합니다. 조직의 모든 계정에서 결과 AMI를 공유합니다.

  • 클라우드 팀은 AWS Config 규칙을 사용하여 실행 중인 모든 EC2 인스턴스가 Systems Manager에서 관리되고 SSM 에이전트, CloudWatch 에이전트 및 SELinux가 설치되어 있는지 확인합니다.

  • 클라우드 팀은 Amazon CloudWatch Logs 출력을 Amazon OpenSearch Service에서 실행되는 중앙 집중식 보안 정보 및 이벤트 관리(SIEM) 솔루션으로 전송합니다.

  • 애플리케이션 팀은 메커니즘을 구현하여 AWS Config GuardDuty 및 Amazon Inspector의 결과를 검사하고 관리합니다. 클라우드 팀은 자체 메커니즘을 구현하여 애플리케이션 팀이 놓친 모든 결과를 포착합니다. 조사 결과를 해결하기 위한 취약성 관리 프로그램 생성에 대한 자세한 지침은 에서 확장 가능한 취약성 관리 프로그램 구축을 AWS참조하세요.

패치 애플리케이션

  • 애플리케이션 팀은 Amazon Inspector 조사 결과를 기반으로 인스턴스를 패치합니다.

  • 클라우드 팀은 기본 AMI를 패치하고 애플리케이션 팀은 AMI가 변경될 때 알림을 받습니다.

  • 애플리케이션 팀은 워크로드에 필요한 포트에서만 트래픽을 허용하도록 보안 그룹 규칙을 구성하여 EC2 인스턴스에 대한 직접 액세스를 제한합니다.

  • 애플리케이션 팀은 패치 관리자를 사용하여 개별 인스턴스에 로그인하는 대신 인스턴스에 패치를 적용합니다.

  • EC2 인스턴스 그룹에서 임의 명령을 실행하기 위해 애플리케이션 팀은 Run Command를 사용합니다.

  • 드물게 애플리케이션 팀이 인스턴스에 직접 액세스해야 하는 경우 세션 관리자를 사용합니다. 이 액세스 접근 방식은 페더레이션 자격 증명을 사용하고 감사 목적으로 모든 세션 활동을 기록합니다.

관리 권한 제한

  • 애플리케이션 팀은 워크로드에 필요한 포트에서만 트래픽을 허용하도록 보안 그룹 규칙을 구성합니다. 이렇게 하면 Amazon EC2 인스턴스에 대한 직접 액세스가 제한되며 사용자가 Session Manager를 통해 EC2 인스턴스에 액세스해야 합니다.

  • 애플리케이션 팀은 보안 인증 정보 교체 및 중앙 집중식 로깅을 위해 중앙 집중식 클라우드 팀의 자격 증명 페더레이션에 의존합니다.

  • 애플리케이션 팀은 CloudTrail 추적 및 CloudWatch 필터를 생성합니다.

  • 애플리케이션 팀은 CodePipeline 배포 및 CloudFormation 스택 삭제에 대한 Amazon SNS 알림을 설정합니다.

패치 운영 체제

  • 클라우드 팀은 기본 AMI를 패치하고 애플리케이션 팀은 AMI가 변경될 때 알림을 받습니다. 애플리케이션 팀은이 AMI를 사용하여 새 인스턴스를 배포한 다음 Systems Manager의 기능인 State Manager를 사용하여 필요한 소프트웨어를 설치합니다.

  • 애플리케이션 팀은 패치 관리자를 사용하여 개별 인스턴스에 로그인하는 인스턴스인 인스턴스를 패치합니다.

  • EC2 인스턴스 그룹에서 임의 명령을 실행하기 위해 애플리케이션 팀은 Run Command를 사용합니다.

  • 드물게 애플리케이션 팀에 직접 액세스가 필요한 경우 세션 관리자를 사용합니다.

멀티 팩터 인증

  • 애플리케이션 팀은 코어 아키텍처 섹션에 설명된 중앙 집중식 자격 증명 페더레이션 솔루션을 사용합니다. 이 솔루션은 의심스러운 MFA 이벤트에 대해 MFA를 적용하고 인증 및 알림을 로깅하거나 자동으로 응답합니다.

정기 백업

  • 애플리케이션 팀은 EC2 인스턴스 및 Amazon Elastic Block Store(Amazon EBS) 볼륨에 대한 AWS Backup 계획을 생성합니다.

  • 애플리케이션 팀은 매월 백업 복원을 수동으로 수행하는 메커니즘을 구현합니다.