기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
보안 OU - 보안 도구 계정
귀하의 의견을 듣고 싶습니다. 간단한 설문 |
Security Tooling 계정은 보안 및 개인 정보 보호 기본 서비스를 운영하고, 보안 AWS 계정및 개인 정보 보호 알림 및 응답을 모니터링하고 자동화하는 데 전용입니다. 이 계정에 대한 자세한 내용은 AWS 보안 참조 아키텍처(AWS SRA)를 참조하세요. 다음 다이어그램은 AWS Security Tooling 계정에 구성된 보안 및 개인 정보 보호 서비스를 보여줍니다.
이 섹션에서는이 계정의 다음 항목에 대한 자세한 정보를 제공합니다.
AWS CloudTrail
AWS CloudTrail는의 전체 API 활동을 감사하는 데 도움이 됩니다 AWS 계정. 개인 데이터를 저장, 처리 또는 전송하는 모든 AWS 계정 및에서 CloudTrail을 활성화하면이 데이터의 사용 및 공개를 추적 AWS 리전 하는 데 도움이 될 수 있습니다. AWS 보안 참조 아키텍처는 조직의 모든 계정에 대한 모든 이벤트를 로깅하는 단일 추적인 조직 추적을 활성화하는 것을 권장합니다. 그러나이 조직 추적을 활성화하면 다중 리전 로그 데이터가 로그 아카이브 계정의 단일 Amazon Simple Storage Service(Amazon S3) 버킷으로 집계됩니다. 개인 데이터를 처리하는 계정의 경우 이로 인해 몇 가지 추가 설계 고려 사항이 발생할 수 있습니다. 로그 레코드에는 개인 데이터에 대한 일부 참조가 포함될 수 있습니다. 데이터 레지던시 및 데이터 전송 요구 사항을 충족하려면 교차 리전 로그 데이터를 S3 버킷이 위치한 단일 리전으로 집계하는 것을 재고해야 할 수 있습니다. 조직은 조직 추적에서 포함하거나 제외해야 하는 리전별 워크로드를 고려할 수 있습니다. 조직 추적에서 제외하기로 결정한 워크로드의 경우 개인 데이터를 마스킹하는 리전별 추적을 구성하는 것을 고려할 수 있습니다. 개인 데이터 마스킹에 대한 자세한 내용은이 가이드의 Amazon Data Firehose 섹션을 참조하세요. 궁극적으로 조직은 중앙 집중식 로그 아카이브 계정으로 집계되는 조직 추적과 리전 추적을 조합할 수 있습니다.
단일 리전 추적 구성에 대한 자세한 내용은 AWS Command Line Interface (AWS CLI) 또는 콘솔 사용 지침을 참조하세요. 조직 추적을 생성할 때에서 옵트인 설정을 사용하거나 CloudTrail 콘솔에서 직접 추적을 생성할 AWS Control Tower수 있습니다.
전반적인 접근 방식과 로그 및 데이터 전송 요구 사항의 중앙 집중화를 관리하는 방법에 대한 자세한 내용은이 가이드의 중앙 집중식 로그 스토리지 섹션을 참조하세요. 어떤 구성을 선택하든 AWS SRA에 따라 Security Tooling 계정의 추적 관리를 로그 아카이브 계정의 로그 스토리지와 분리할 수 있습니다. 이 설계는 로그를 관리해야 하는 사용자와 로그 데이터를 사용해야 하는 사용자를 위한 최소 권한 액세스 정책을 생성하는 데 도움이 됩니다.
AWS Config
AWS Config는의 리소스 AWS 계정 와 리소스 구성 방법에 대한 세부 보기를 제공합니다. 리소스가 서로 어떻게 관련되어 있는지, 그리고 시간이 지남에 따라 구성이 어떻게 변경되었는지 식별하는 데 도움이 됩니다. 이 서비스가 보안 컨텍스트에서 사용되는 방법에 대한 자세한 내용은 AWS 보안 참조 아키텍처를 참조하세요.
에서 AWS Config 규칙 및 문제 해결 작업 세트인 적합성 팩 AWS Config을 배포할 수 있습니다. 적합성 팩은 관리형 또는 사용자 지정 AWS Config 규칙을 사용하여 개인 정보 보호, 보안, 운영 및 비용 최적화 거버넌스 검사를 지원하도록 설계된 범용 프레임워크를 제공합니다. 이 도구를 더 큰 자동화 도구 세트의 일부로 사용하여 AWS 리소스 구성이 자체 제어 프레임워크 요구 사항을 준수하는지 여부를 추적할 수 있습니다.
NIST 프라이버시 프레임워크 v1.0 적합성 팩의 운영 모범 사례는 NIST 프라이버시 프레임워크의 여러 프라이버시 관련 제어와 일치합니다. 각 AWS Config 규칙은 특정 AWS 리소스 유형에 적용되며 하나 이상의 NIST 프라이버시 프레임워크 제어와 관련이 있습니다. 이 적합성 팩을 사용하여 계정의 리소스 전반에서 개인 정보 보호 관련 지속적 규정 준수를 추적할 수 있습니다. 다음은이 적합성 팩에 포함된 몇 가지 규칙입니다.
-
no-unrestricted-route-to-igw-이 규칙은 VPC 라우팅 테이블에서 인터넷 게이트웨이로의 기본0.0.0.0/0또는::/0외부 경로를 지속적으로 모니터링하여 데이터 영역에서 데이터 유출을 방지하는 데 도움이 됩니다. 이렇게 하면 특히 악성으로 알려진 CIDR 범위가 있는 경우 인터넷 바운드 트래픽이 전송될 수 있는 위치를 제한할 수 있습니다. -
encrypted-volumes-이 규칙은 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 연결된 Amazon Elastic Block Store(Amazon EBS) 볼륨이 암호화되었는지 확인합니다. 조직에 개인 데이터 보호를 위한 AWS Key Management Service (AWS KMS) 키 사용과 관련된 특정 제어 요구 사항이 있는 경우 규칙의 일부로 특정 키 IDs를 지정하여 볼륨이 특정 AWS KMS 키로 암호화되었는지 확인할 수 있습니다. -
restricted-common-ports-이 규칙은 Amazon EC2 보안 그룹이 지정된 포트에 대한 무제한 TCP 트래픽을 허용하는지 확인합니다. 보안 그룹은 AWS 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 저장 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움이 될 수 있습니다. 리소스에서 TCP 3389 및 TCP 21과 같은 공통 포트0.0.0.0/0로의 수신 트래픽을 차단하면 원격 액세스를 제한하는 데 도움이 됩니다.
AWS Config 는 리소스의 사전 및 사후 규정 준수 검사에 모두 사용할 수 있습니다 AWS . 적합성 팩에 있는 규칙을 고려하는 것 외에도 이러한 규칙을 탐지 및 사전 평가 모드 모두에 통합할 수 있습니다. 이렇게 하면 애플리케이션 개발자가 배포 전 검사를 통합하기 시작할 수 있으므로 소프트웨어 개발 수명 주기 초기에 개인 정보 보호를 확인하는 데 도움이 됩니다. 예를 들어 사전 예방적 모드가 활성화된 모든 개인 정보 보호 관련 AWS Config 규칙과 비교하여 AWS CloudFormation 템플릿의 선언된 리소스를 확인하는 후크를 템플릿에 포함할 수 있습니다. 자세한 내용은 AWS Config 이제 사전 예방적 규정 준수 지원 규칙
Amazon GuardDuty
AWS 는 Amazon S3, Amazon Relational Database Service(Amazon RDS) 또는 Kubernetes를 사용하는 Amazon EC2와 같이 개인 데이터를 저장하거나 처리하는 데 사용할 수 있는 여러 서비스를 제공합니다. Amazon GuardDuty는 지능형 가시성과 지속적인 모니터링을 결합하여 의도하지 않은 개인 데이터 공개와 관련이 있을 수 있는 지표를 탐지합니다. 이 서비스가 보안 컨텍스트에서 사용되는 방법에 대한 자세한 내용은 AWS 보안 참조 아키텍처를 참조하세요.
GuardDuty를 사용하면 공격 수명 주기 전반에 걸쳐 잠재적으로 악의적인 개인 정보 보호 관련 활동을 식별할 수 있습니다. 예를 들어 GuardDuty는 블랙리스트에 등록된 사이트 연결, 비정상적인 네트워크 포트 트래픽 또는 트래픽 볼륨, DNS 유출, 예상치 못한 EC2 인스턴스 시작 및 비정상적인 ISP 호출자에 대해 알림을 보낼 수 있습니다. 또한 신뢰할 수 있는 자체 IP 목록에서 신뢰할 수 있는 IP 주소에 대한 알림을 중지하고 자체 위협 목록에서 알려진 악성 IP 주소에 대한 알림을 보내도록 GuardDuty를 구성할 수 있습니다.
AWS SRA에서 권장하는 대로 조직의 모든 AWS 계정 에 대해 GuardDuty를 활성화하고 Security Tooling 계정을 GuardDuty 위임된 관리자로 구성할 수 있습니다. GuardDuty 는 조직 전체의 결과를이 단일 계정으로 집계합니다. 자세한 내용은 를 사용하여 GuardDuty 계정 관리를 AWS Organizations 참조하세요. 또한 탐지 및 분석부터 격리 및 제거에 이르기까지 인시던트 대응 프로세스에서 모든 개인 정보 보호 관련 이해관계자를 식별하고 데이터 유출과 관련될 수 있는 모든 인시던트에 참여하는 것을 고려할 수 있습니다.
IAM Access Analyzer
많은 고객은 개인 데이터가 사전 승인되고 의도된 타사 프로세서와 적절하게 공유되고 다른 엔터티는 공유되지 않도록 지속적으로 보장하기를 원합니다. 데이터 경계
AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)를 사용하면 조직은 신뢰 AWS 계정 영역을 정의하고 해당 신뢰 영역에 대한 위반에 대한 알림을 구성할 수 있습니다. IAM Access Analyzer는 IAM 정책을 분석하여 잠재적으로 민감한 리소스에 대한 의도하지 않은 퍼블릭 또는 크로스 계정 액세스를 식별하고 해결하는 데 도움이 됩니다. IAM Access Analyzer는 수학 로직과 추론을 사용하여 외부에서 액세스할 수 있는 리소스에 대한 포괄적인 결과를 생성합니다 AWS 계정. 마지막으로, 과도하게 허용적인 IAM 정책에 응답하고 이를 해결하기 위해 IAM Access Analyzer를 사용하여 IAM 모범 사례를 기준으로 기존 정책을 검증하고 제안을 제공할 수 있습니다. IAM Access Analyzer는 IAM 보안 주체의 이전 액세스 활동을 기반으로 하는 최소 권한 IAM 정책을 생성할 수 있습니다. CloudTrail 로그를 분석하고 해당 작업을 계속 수행하는 데 필요한 권한만 부여하는 정책을 생성합니다.
보안 컨텍스트에서 IAM Access Analyzer를 사용하는 방법에 대한 자세한 내용은 AWS 보안 참조 아키텍처를 참조하세요.
Amazon Macie
Amazon Macie는 기계 학습 및 패턴 매칭을 사용하여 민감한 데이터를 검색하고, 데이터 보안 위험에 대한 가시성을 제공하고, 이러한 위험에 대한 보호를 자동화하는 데 도움이 되는 서비스입니다. Macie는 Amazon S3 버킷의 보안 또는 개인 정보 보호와 관련된 잠재적 정책 위반 또는 문제를 감지하면 조사 결과를 생성합니다. Macie는 조직이 규정 준수 노력을 지원하기 위해 자동화를 구현하는 데 사용할 수 있는 또 다른 도구입니다. 이 서비스가 보안 컨텍스트에서 사용되는 방법에 대한 자세한 내용은 AWS 보안 참조 아키텍처를 참조하세요.
Macie는 이름, 주소 및 기타 식별 가능한 속성과 같은 개인 식별 정보(PII)를 포함하여 점점 증가하는 대규모 민감한 데이터 유형 목록을 감지할 수 있습니다. 사용자 지정 데이터 식별자를 생성하여 조직의 개인 데이터 정의를 반영하는 탐지 기준을 정의할 수도 있습니다.
조직에서 개인 데이터가 포함된 Amazon S3 버킷에 대한 예방 제어를 정의하면 Macie를 검증 메커니즘으로 사용하여 개인 데이터의 거주지와 보호 방법을 지속적으로 다시 확인할 수 있습니다. 시작하려면 Macie를 활성화하고 민감한 데이터 자동 검색을 구성합니다. Macie는 계정 및 간에 모든 S3 버킷의 객체를 지속적으로 분석합니다 AWS 리전. Macie는 개인 데이터가 상주하는 위치를 보여주는 대화형 히트맵을 생성하고 유지합니다. 민감한 데이터 자동 검색 기능은 비용을 절감하고 검색 작업을 수동으로 구성할 필요성을 최소화하도록 설계되었습니다. 민감한 데이터 자동 검색 기능을 기반으로를 구축하고 Macie를 사용하여 새 버킷 또는 기존 버킷의 새 데이터를 자동으로 감지한 다음 할당된 데이터 분류 태그와 비교하여 데이터를 검증할 수 있습니다. 이 아키텍처를 구성하여 적절한 개발 및 개인 정보 보호 팀에 잘못 분류되거나 분류되지 않은 버킷에 대해 적시에 알립니다.
를 사용하여 조직의 모든 계정에 대해 Macie를 활성화할 수 있습니다 AWS Organizations. 자세한 내용은 Amazon Macie에서 조직 통합 및 구성을 참조하세요.
