인프라 보호를 위한 보안 제어 권장 사항 - AWS 권장 가이드
CloudFront 기본 루트 객체애플리케이션 코드 스캔네트워크 계층 생성승인된 포트만 사용Systems Manager 문서에 대한 퍼블릭 액세스Lambda 함수에 대한 퍼블릭 액세스기본 보안 그룹 업데이트취약성 및 네트워크 노출 검사설정 AWS WAFDDoS 공격에 대한 고급 보호네트워크 트래픽 제어

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인프라 보호를 위한 보안 제어 권장 사항

인프라 보호는 모든 보안 프로그램의 핵심 부분입니다. 여기에는 네트워크와 컴퓨팅 리소스를 보호하는 데 도움이 되는 제어 방법론이 포함되어 있습니다. 인프라 보호의 예로는 신뢰 경계, defense-in-depth 접근 방식, 보안 강화, 패치 관리, 운영 체제 인증 및 권한 부여 등이 있습니다. 자세한 내용은 AWS Well-Architected Framework의 인프라 보호를 참조하세요. 이 섹션의 보안 제어는 인프라 보호를 위한 모범 사례를 구현하는 데 도움이 될 수 있습니다.

CloudFront 배포에 대한 기본 루트 객체 지정

Amazon CloudFront는 전 세계 데이터 센터 네트워크를 통해 웹 콘텐츠를 전송함으로써 웹 콘텐츠 배포 속도를 높여 지연 시간을 줄이고 성능을 개선합니다. 기본 루트 객체를 정의하지 않은 경우, 배포의 루트에 대한 요청은 오리진 서버로 전달됩니다. Amazon Simple Storage Service(Amazon S3) 오리진을 사용하는 경우 요청은 S3 버킷의 콘텐츠 목록 또는 오리진의 프라이빗 콘텐츠 목록을 반환할 수 있습니다. 기본 루트 객체를 지정하면 배포의 내용이 노출되는 것을 방지할 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.

애플리케이션 코드를 스캔하여 일반적인 보안 문제 식별

AWS Well-Architected Framework에서는 라이브러리 및 종속성에서 문제 및 결함을 스캔할 것을 권장합니다. 소스 코드를 스캔하는 데 사용할 수 있는 소스 코드 분석 도구가 많이 있습니다. 예를 들어 Amazon CodeGuru는 Java 또는 Python 애플리케이션에서 일반적인 보안 문제를 스캔하고 문제 해결을 위한 권장 사항을 제공할 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.

전용 VPCs 및 서브넷을 사용하여 네트워크 계층 생성

AWS Well-Architected Framework에서는 민감도 요구 사항을 공유하는 구성 요소를 계층으로 그룹화할 것을 권장합니다. 이렇게 하면 무단 액세스의 잠재적 영향 범위를 최소화할 수 있습니다. 예를 들어 인터넷 액세스가 필요하지 않은 데이터베이스 클러스터는 인터넷을 오가는 경로가 없도록 VPC의 프라이빗 서브넷에 배치해야 합니다.

AWS 는 퍼블릭 연결성을 테스트하고 식별하는 데 도움이 되는 다양한 서비스를 제공합니다. 예를 들어 Reachability Analyzer는 VPCs. 또한 Network Access Analyzer는 리소스에 대한 의도하지 않은 네트워크 액세스를 식별하는 데 도움이 될 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.

수신 트래픽을 승인된 포트로만 제한

0.0.0.0/0 소스 IP 주소의 트래픽과 같은 무제한 액세스는 해킹, denial-of-service(DoS) 공격, 데이터 손실과 같은 악의적인 활동의 위험을 높입니다. 보안 그룹은 AWS 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 저장 필터링을 제공합니다. 보안 그룹은 SSH 및 Windows 원격 데스크톱 프로토콜(RDP)과 같은 잘 알려진 포트에 대한 무제한 수신 액세스를 허용해서는 안 됩니다. 인바운드 트래픽의 경우 보안 그룹에서 승인된 포트에서 TCP 또는 UDP 연결만 허용합니다. Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 연결하려면 직접 SSH 또는 RDP 액세스 대신 세션 관리자 또는 실행 명령을 사용합니다.

자세한 정보는 다음 자료를 참조하세요.

Systems Manager 문서에 대한 퍼블릭 액세스 차단

사용 사례에서 퍼블릭 공유를 활성화해야 하는 경우가 아니면 Systems Manager 문서에 대한 퍼블릭 공유를 차단하는 것이 AWS Systems Manager 좋습니다. 퍼블릭 공유는 문서에 의도하지 않은 액세스를 제공할 수 있습니다. 퍼블릭 Systems Manager 문서는 계정, 리소스 및 내부 프로세스에 대한 중요하고 민감한 정보를 노출할 수 있습니다.

 자세한 정보는 다음 자료를 참조하세요.

Lambda 함수에 대한 퍼블릭 액세스 차단

AWS Lambda는 서버를 프로비저닝하거나 관리할 필요 없이 코드를 실행하는 데 도움이 되는 컴퓨팅 서비스입니다. Lambda 함수는 함수 코드에 대한 의도하지 않은 액세스를 허용할 수 있으므로 공개적으로 액세스할 수 없어야 합니다.

Lambda 함수가 계정 외부에서 액세스를 거부하도록 리소스 기반 정책을 구성하는 것이 좋습니다. 권한을 제거하거나 액세스를 허용하는 명령문에 AWS:SourceAccount 조건을 추가하여 이를 달성할 수 있습니다. Lambda API 또는 AWS Command Line Interface ()를 통해 Lambda 함수에 대한 리소스 기반 정책을 업데이트할 수 있습니다AWS CLI.

또한 [Lambda.1] Lambda 함수 정책이 퍼블릭 액세스 제어를 금지하도록 활성화하는 것이 좋습니다 AWS Security Hub. 이 제어는 Lambda 함수에 대한 리소스 기반 정책이 퍼블릭 액세스를 금지하는지 검증합니다.

자세한 정보는 다음 자료를 참조하세요.

기본 보안 그룹의 인바운드 및 아웃바운드 트래픽 제한

AWS 리소스를 프로비저닝할 때 사용자 지정 보안 그룹을 연결하지 않으면 리소스가 VPC의 기본 보안 그룹과 연결됩니다. 이 보안 그룹의 기본 규칙은이 보안 그룹에 할당된 모든 리소스의 모든 인바운드 트래픽을 허용하고 모든 아웃바운드 IPv4 및 IPv6 트래픽을 허용합니다. 이렇게 하면 리소스에 대한 의도하지 않은 트래픽이 허용될 수 있습니다.

AWS 에서는 기본 보안 그룹을 사용하지 않을 것을 권장합니다. 대신 특정 리소스 또는 리소스 그룹에 대한 사용자 지정 보안 그룹을 생성합니다.

기본 보안 그룹은 삭제할 수 없으므로 기본 보안 그룹 규칙을 변경하여 인바운드 및 아웃바운드 트래픽을 제한하는 것이 좋습니다. 보안 그룹 규칙을 구성할 때는 최소 권한 원칙을 따르세요.

또한 Security Hub에서 [EC2.2] VPC 기본 보안 그룹이 인바운드 또는 아웃바운드 트래픽 제어를 허용하지 않도록 활성화하는 것이 좋습니다. 이 제어는 VPC의 기본 보안 그룹이 인바운드 및 아웃바운드 트래픽을 거부하는지 확인합니다.

자세한 정보는 다음 자료를 참조하세요.

소프트웨어 취약성 및 의도하지 않은 네트워크 노출 검사

모든 계정에서 Amazon Inspector를 활성화하는 것이 좋습니다. Amazon Inspector는 Amazon EC2 인스턴스, Amazon Elastic Container Registry(Amazon ECR) 컨테이너 이미지 및 Lambda 함수에서 소프트웨어 취약성 및 의도하지 않은 네트워크 노출을 지속적으로 스캔하는 취약성 관리 서비스입니다. 또한 Amazon EC2 인스턴스에 대한 심층 검사를 지원합니다. Amazon Inspector가 취약성 또는 열린 네트워크 경로를 식별하면 조사할 수 있는 결과가 생성됩니다. Amazon Inspector와 Security Hub가 모두 계정에 설정된 경우 Amazon Inspector는 중앙 집중식 관리를 위해 보안 조사 결과를 Security Hub에 자동으로 전송합니다.

자세한 정보는 다음 자료를 참조하세요.

설정 AWS WAF

AWS WAF는 Amazon API Gateway API, Amazon CloudFront 배포 또는 Application Load Balancer와 같이 보호된 웹 애플리케이션 리소스로 전달되는 HTTP 또는 HTTPS 요청을 모니터링하고 차단하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. APIs 지정한 기준에 따라 서비스는 요청된 콘텐츠, HTTP 403 상태 코드(금지됨) 또는 사용자 지정 응답으로 요청에 응답합니다. AWS WAF 는 가용성에 영향을 미치거나 보안을 손상시키거나 과도한 리소스를 소비할 수 있는 일반적인 웹 악용으로부터 웹 애플리케이션 또는 APIs를 보호하는 데 도움이 될 수 있습니다. AWS WAF 에서 AWS 계정 를 설정하고 AWS 관리형 규칙, 사용자 지정 규칙 및 파트너 통합의 조합을 사용하여 애플리케이션 계층(계층 7) 공격으로부터 애플리케이션을 보호하는 것이 좋습니다.

자세한 정보는 다음 자료를 참조하세요.

DDoS 공격에 대한 고급 보호 구성

AWS Shield는 네트워크 및 전송 계층(계층 3 및 4)과 애플리케이션 계층(계층 7)의 AWS 리소스에 대한 분산 서비스 거부(DDoS) 공격으로부터 보호합니다. 이 서비스는 AWS Shield Standard 및 두 가지 옵션으로 제공됩니다 AWS Shield Advanced. Shield Standard는 추가 비용 없이 지원되는 AWS 리소스를 자동으로 보호합니다.

보호된 리소스에 대한 확장된 DDoS 공격 보호를 제공하는 Shield Advanced를 구독하는 것이 좋습니다. Shield Advanced에서 받는 보호는 아키텍처 및 구성 선택에 따라 달라집니다. 다음 중 하나가 필요한 애플리케이션에는 Shield Advanced 보호를 구현하는 것을 고려해 보십시오.

  • 애플리케이션 사용자의 가용성이 보장됩니다.

  • 애플리케이션이 DDoS 공격의 영향을 받는 경우 DDoS 방어 전문가에게 신속하게 액세스할 수 있습니다.

  • 애플리케이션이 DDoS 공격의 영향을 받을 수 있다는 AWS의 인식과 AWS의 공격 알림 및 보안 또는 운영 팀에 대한 에스컬레이션.

  • DDoS 공격이 사용에 영향을 미치는 경우를 포함하여 클라우드 비용의 예측 가능성 AWS 서비스.

자세한 정보는 다음 자료를 참조하세요.

defense-in-depth 접근 방식을 사용하여 네트워크 트래픽 제어

AWS Network Firewall 는의 Virtual Private Cloud(VPCs)에 대한 상태 저장 관리형 네트워크 방화벽 및 침입 탐지 및 방지 서비스입니다 AWS 클라우드. VPC 경계에 필수 네트워크 보호를 배포하는 데 도움이 됩니다. 여기에는 인터넷 게이트웨이, NAT 게이트웨이 또는 VPN 또는를 통해 송수신되는 트래픽 필터링이 포함됩니다 AWS Direct Connect. Network Firewall에는 일반적인 네트워크 위협으로부터 보호하는 데 도움이 되는 기능이 포함되어 있습니다. Network Firewall의 상태 저장 방화벽은 연결 및 프로토콜과 같은 트래픽 흐름의 컨텍스트를 통합하여 정책을 적용할 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.