테마 4: 자격 증명 관리

8가지 필수 전략 포함

관리 권한 제한, 다중 인증

ID 및 권한의 강력한 관리는 클라우드에서 보안을 관리하는 데 중요한 요소입니다. 강력한 자격 증명 관행은 필요한 액세스와 최소 권한의 균형을 유지합니다. 이를 통해 개발 팀은 보안을 손상시키지 않고 빠르게 이동할 수 있습니다.

자격 증명 페더레이션을 사용하여 자격 증명 관리를 중앙 집중화합니다. 따라서 단일 위치에서 액세스를 관리하므로 여러 애플리케이션 및 서비스에서 액세스를 더 쉽게 관리할 수 있습니다. 또한 임시 권한 및 다중 인증(MFA)을 구현하는 데 도움이 됩니다.

사용자에게 작업을 수행하는 데 필요한 권한만 부여합니다.는 정책을 검증하고 퍼블릭 및 크로스 계정 액세스를 확인할 AWS Identity and Access Management Access Analyzer 수 있습니다. AWS Organizations 서비스 제어 정책(SCPs), IAM 정책 조건, IAM 권한 경계 및 AWS IAM Identity Center 권한 세트와 같은 기능은 세분화된 액세스 제어(FGAC)를 구성하는 데 도움이 될 수 있습니다.

모든 유형의 인증을 수행할 때는 임시 자격 증명을 사용하여 실수로 공개, 공유 또는 도난되는 자격 증명과 같은 위험을 줄이거나 제거하는 것이 가장 좋습니다. IAM 사용자 대신 IAM 역할을 사용합니다.

MFA와 같은 강력한 로그인 메커니즘을 사용하여 로그인 자격 증명이 실수로 공개되거나 쉽게 추측되는 위험을 완화합니다. 루트 사용자에게 MFA가 필요하며 페더레이션 수준에서도 MFA가 필요할 수 있습니다. IAM 사용자 사용이 불가피한 경우 MFA를 적용합니다.

규정 준수를 모니터링하고 보고하려면 지속적으로 권한을 줄이고, IAM Access Analyzer의 결과를 모니터링하고, 미사용 IAM 리소스를 제거해야 합니다. AWS Config 규칙을 사용하여 강력한 로그인 메커니즘이 적용되고, 자격 증명이 수명이 짧으며, IAM 리소스가 사용 중인지 확인합니다.

AWS Well-Architected 프레임워크의 관련 모범 사례

• SEC02-BP01 강력한 로그인 메커니즘 사용

• SEC02-BP02 임시 자격 증명 사용

• SEC02-BP03 안전하게 보안 암호 저장 및 사용

• SEC02-BP04 중앙 집중식 ID 공급업체 사용

• SEC02-BP05 정기적으로 자격 증명 감사 및 교체

• SEC02-BP06 사용자 그룹 및 속성 사용

• SEC03-BP01 액세스 요구 사항 정의

• SEC03-BP02 최소 권한 액세스 부여

• SEC03-BP03 긴급 액세스 프로세스 설정

• SEC03-BP04 지속적으로 권한 축소

• SEC03-BP05 조직에 대한 권한 가드레일 정의

• SEC03-BP06 수명 주기에 따라 액세스 관리

• SEC03-BP07 퍼블릭 및 크로스 계정 액세스 분석

• SEC03-BP08 안전하게 조직과 리소스 공유

이 테마 구현

자격 증명 페더레이션 구현

• 인간 사용자가 자격 증명을 AWS 사용하여 액세스하기 위해 자격 증명 공급자와 연동하도록 요구

• 환경에 대한 AWS 임시 승격 액세스 구현

최소 권한 적용

• 루트 사용자 자격 증명을 보호하고 일상적인 작업에 사용하지 마세요.

• IAM Access Analyzer를 사용하여 액세스 활동을 기반으로 최소 권한 정책 생성

• IAM Access Analyzer를 사용하여 리소스에 대한 퍼블릭 및 크로스 계정 액세스 확인

• IAM Access Analyzer를 사용하여 안전하고 기능적인 권한에 대한 IAM 정책 검증

• 여러 계정에서 권한 가드레일 설정

• 권한 경계를 사용하여 자격 증명 기반 정책이 부여할 수 있는 최대 권한 설정

• IAM 정책의 조건을 사용하여 액세스 추가 제한

• 사용하지 않는 사용자, 역할, 권한, 정책 및 자격 증명을 정기적으로 검토하고 제거합니다.

• AWS 관리형 정책 시작하기 및 최소 권한으로 이동

• IAM Identity Center에서 권한 세트 기능 사용

자격 증명 교체

• 워크로드가 IAM 역할을 사용하여에 액세스하도록 요구 AWS

• 미사용 IAM 역할의 삭제 자동화

• 장기 보안 인증이 필요한 사용 사례에 대해 액세스 키를 정기적으로 교체

MFA 적용

• 루트 사용자에게 MFA 필요

• IAM Identity Center를 통해 MFA 필요

• 서비스별 API 작업에 MFA 요구 고려

이 테마 모니터링

최소 권한 액세스 모니터링

• 로 IAM Access Analyzer 조사 결과 전송 AWS Security Hub

• 중요한 IAM Identity Center 결과에 대한 알림 설정 고려

• 에 대한 자격 증명 보고서를 정기적으로 검토 AWS 계정

다음 AWS Config 규칙 구현

• ACCESS_KEYS_ROTATED

• IAM_ROOT_ACCESS_KEY_CHECK

• IAM_USER_MFA_ENABLED

• IAM_USER_UNUSED_CREDENTIALS_CHECK

• IAM_PASSWORD_POLICY

• ROOT_ACCOUNT_HARDWARE_MFA_ENABLED