기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
시나리오 및 아키텍처 개요
정부 기관에는 AWS 클라우드에 세 가지 워크로드가 있습니다.
-
Amazon Simple Storage Service(Amazon S3)를 스토리지 및 AWS Lambda 추출, 변환 및 로드(ETL) 작업에 사용하는 서버리스 데이터 레이크
-
Amazon Elastic Container Service(Amazon ECS)에서 실행되고 Amazon Relational Database Service(Amazon RDS)의 데이터베이스를 사용하는 컨테이너화된 웹 서비스 Amazon Relational Database Service
-
Amazon EC2에서 실행되는 상용 off-the-shelf(COTS) 소프트웨어
클라우드 팀은 조직을 위한 중앙 집중식 플랫폼을 제공하여 AWS 환경에 대한 핵심 서비스를 실행합니다. 클라우드 팀은 AWS 환경에 대한 핵심 서비스를 제공합니다. 각 워크로드는 개발자 팀 또는 제공 팀이라고도 하는 고유한 애플리케이션 팀이 소유합니다.
코어 아키텍처
클라우드 팀은 이미에서 다음 기능을 설정했습니다. AWS 클라우드
-
ID 페더레이션은 Microsoft Entra ID(이전 Azure Active Directory) 인스턴스 AWS IAM Identity Center 에 연결됩니다. 페더레이션은 MFA, 사용자 계정의 자동 만료, AWS Identity and Access Management (IAM) 역할을 통한 수명이 짧은 보안 인증 정보 사용을 적용합니다.
-
중앙 집중식 AMI 파이프라인은 EC2 Image BuilderOSs 및 코어 애플리케이션을 패치하는 데 사용됩니다.
-
Amazon Inspector는 취약성을 식별할 수 있으며, 모든 보안 결과는 중앙 집중식 관리를 위해 Amazon GuardDuty로 전송됩니다.
-
확립된 메커니즘은 애플리케이션 제어 규칙을 업데이트하고, 사이버 보안 이벤트에 대응하고, 규정 준수 격차를 검토하는 데 사용됩니다.
-
AWS CloudTrail 는 로깅 및 모니터링에 사용됩니다.
-
루트 사용자의 로그인과 같은 보안 이벤트는 알림을 시작합니다.
-
SCPs 및 VPC 엔드포인트 정책은 환경에 대한 데이터 경계를 AWS 설정합니다.
-
SCPs 애플리케이션 팀이 CloudTrail 및와 같은 보안 및 로깅 서비스를 비활성화하지 못하도록 합니다 AWS Config.
-
AWS Config 조사 결과는 보안을 AWS 계정 위해 AWS 조직 전체에서 단일 로 집계됩니다.
-
AWS Config ACSC Essential 8 적합성 팩은 조직의 모든 AWS 계정 에서 활성화됩니다.
