AWS SRA 모범 사례 체크리스트 - AWS 권장 가이드
AWS OrganizationsAWS CloudTrailAWS Security Hub CSPMAWS ConfigAmazon GuardDutyIAMIAM Access AnalyzerAmazon DetectiveAWS Firewall ManagerAmazon Inspector – Amazon MacieAmazon Security LakeAWS WAFAWS Shield AdvancedAWS 보안 인시던트 대응AWS Audit Manager

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS SRA 모범 사례 체크리스트

간단한 설문 조사에 참여하여 AWS 보안 참조 아키텍처(AWS SRA)의 미래에 영향을 미칩니다.

이 섹션에서는이 가이드 전체에 자세히 설명된 AWS SRA 모범 사례를 보안 아키텍처 버전을 빌드할 때 따를 수 있는 체크리스트로 추출합니다 AWS. 이 목록을 가이드 검토를 대체하는 것이 아니라 참조 지점으로 사용합니다. 체크리스트는 별로 그룹화됩니다 AWS 서비스. AWS SRA 모범 사례 체크리스트를 기준으로 기존 AWS 환경을 프로그래밍 방식으로 검증하려면 SRA Verify를 사용할 수 있습니다.

SRA Verify는 여러 AWS 계정 및 리전에서 조직의 AWS SRA 조정을 평가하는 데 도움이 되는 보안 평가 도구입니다. AWS SRA 지침에 따라 구현을 검증하는 자동 검사를 제공하여 AWS SRA 권장 사항에 직접 매핑됩니다. 이 도구를 사용하면 보안 서비스가 참조 아키텍처에 따라 올바르게 구성되었는지 확인할 수 있습니다.이 도구는 AWS 환경이 보안 모범 사례를 따르도록 세부 조사 결과와 실행 가능한 수정 단계를 제공합니다. SRA Verify는 조직 감사(보안 도구) 계정 AWS CodeBuild 에서 실행되도록 설계되었습니다. SRA Verify 라이브러리를 사용하여 로컬에서 실행하거나 확장할 수도 있습니다.

참고

SRA Verify에는 여러 서비스에 대한 검사가 포함되어 있지만 AWS SRA의 모든 고려 사항에 대한 검사가 포함되어 있지 않을 수 있습니다. 자세한 내용은 AWS SRA 라이브러리의 가이드를 참조하세요.

AWS Organizations

  • AWS Organizations 는 모든 기능에서 활성화됩니다.

  • 서비스 제어 정책(SCPs)은 IAM 보안 주체에 대한 액세스 제어 지침을 정의하는 데 사용됩니다.

  • 리소스 제어 정책(RCPs)은 AWS 리소스에 대한 액세스 제어 지침을 정의하는 데 사용됩니다.

  • 선언적 정책은 조직 전체에서 지정된에 대해 원하는 구성을 중앙 AWS 서비스 에서 선언하고 적용하는 데 사용됩니다.

  • 파운데이션 서비스를 제공하는 멤버 계정을 그룹화하기 위해 세 가지 기본 OUs(보안, 인프라 및 워크로드)가 생성됩니다.

  • 보안 도구 계정은 보안 OU 아래에 생성됩니다. 이 계정은 AWS 보안 서비스 및 기타 타사 보안 도구에 대한 중앙 집중식 관리를 제공합니다.

  • 로그 아카이브 계정은 보안 OU 아래에 생성됩니다. 이 계정은 AWS 서비스 및 애플리케이션 로그의 엄격하게 제어되는 중앙 로그 리포지토리를 제공합니다.

  • 네트워크 계정은 인프라 OU에서 생성됩니다. 이 계정은 애플리케이션과 더 광범위한 인터넷 간의 게이트웨이를 관리합니다. 개별 애플리케이션 워크로드, 보안 및 기타 인프라에서 네트워킹 서비스, 구성 및 작업을 격리합니다.

  • 공유 서비스 계정은 인프라 OU에서 생성됩니다. 이 계정은 여러 애플리케이션과 팀이 결과를 제공하는 데 사용하는 서비스를 지원합니다.

  • 애플리케이션 계정은 워크로드 OU에서 생성됩니다. 이 계정은 엔터프라이즈 애플리케이션을 실행하고 유지하기 위해 기본 인프라와 서비스를 호스팅합니다. 이 가이드는 표현을 제공하지만 실제로는 애플리케이션, 개발 환경 및 기타 보안 고려 사항으로 구분된 여러 OUs 및 멤버 계정이 있습니다.

  • 모든 멤버 계정의 결제, 운영 및 보안에 대한 대체 연락처 정보가 구성됩니다.

AWS CloudTrail

  • 조직 추적은 관리 계정 및 조직의 모든 멤버 계정에서 CloudTrail 관리 이벤트를 제공할 수 AWS 있도록 구성됩니다.

  • 조직 추적은 다중 리전 추적으로 구성됩니다.

  • 조직 추적은 글로벌 리소스에서 이벤트를 캡처하도록 구성됩니다.

  • 특정 데이터 이벤트를 캡처하기 위한 추가 추적은 민감한 AWS 리소스 활동을 모니터링하기 위해 필요에 따라 구성됩니다.

  • Security Tooling 계정은 조직 추적의 위임된 관리자로 설정됩니다.

  • 조직 추적은 모든 새 멤버 계정에 대해 자동으로 활성화되도록 구성됩니다.

  • 조직 추적은 로그 아카이브 계정에서 호스팅되는 중앙 집중식 S3 버킷에 로그를 게시하도록 구성됩니다.

  • 조직 추적에는 로그 파일의 무결성을 확인하기 위한 로그 파일 검증이 활성화되어 있습니다.

  • 조직 추적은 로그 보존을 위해 CloudWatch Logs와 통합됩니다.

  • 조직 추적은 고객 관리형 키를 사용하여 암호화됩니다.

  • Log Archive 계정의 로그 리포지토리에 사용되는 중앙 S3 버킷은 고객 관리형 키로 암호화됩니다.

  • Log Archive 계정의 로그 리포지토리에 사용되는 중앙 S3 버킷은 변경 불가능을 위해 S3 객체 잠금으로 구성됩니다.

  • Log Archive 계정의 로그 리포지토리에 사용되는 중앙 S3 버킷에 대해 버전 관리가 활성화됩니다.

  • Log Archive 계정의 로그 리포지토리에 사용되는 중앙 S3 버킷에는 리소스 Amazon 리소스 이름(ARN)을 통한 조직 추적에 의해서만 객체 업로드를 제한하는 리소스 정책이 정의되어 있습니다.

AWS Security Hub CSPM

  • Security Hub CSPM은 모든 멤버 계정과 관리 계정에 대해 활성화됩니다.

  • AWS Config 는 Security Hub CSPM의 사전 조건으로 모든 멤버 계정에 대해 활성화됩니다.

  • Security Tooling 계정은 Security Hub CSPM의 위임된 관리자로 설정됩니다.

  • Amazon GuardDuty 및 Amazon Detective에는 원활한 서비스 통합을 위해 Security Hub CSPM과 동일한 위임된 관리자 계정이 있습니다.

  • 중앙 구성은 여러 AWS 계정 및에서 Security Hub CSPM을 설정하고 관리하는 데 사용됩니다 AWS 리전.

  • 모든 OU 및 멤버 계정은 Security Hub CSPM의 위임된 관리자가 중앙에서 관리하는 것으로 지정됩니다.

  • Security Hub CSPM은 모든 새 멤버 계정에 대해 자동으로 활성화됩니다.

  • Security Hub CSPM은 새 표준 구성에 대해 자동으로 활성화됩니다.

  • 모든 리전의 Security Hub CSPM 조사 결과는 단일 홈 리전으로 집계됩니다.

  • 모든 멤버 계정의 Security Hub CSPM 조사 결과는 Security Tooling 계정 내에서 집계됩니다.

  • Security Hub CSPM의 AWS 기본 모범 사례(FSBP) 표준은 모든 멤버 계정에 대해 활성화됩니다.

  • Security Hub CSPM의 CIS AWS 파운데이션 벤치마크 표준은 모든 멤버 계정에 대해 활성화됩니다.

  • 기타 Security Hub CSPM 표준은 해당하는 경우 활성화됩니다.

  • Security Hub CSPM 자동화 규칙은 리소스 컨텍스트로 조사 결과를 보강하는 데 사용됩니다.

  • Security Hub CSPM 자동 응답 및 문제 해결 기능은 특정 결과에 대해 자동 작업을 수행하는 사용자 지정 EventBridge 규칙을 생성하는 데 사용됩니다.

AWS Config

  • AWS Config 레코더는 모든 멤버 계정과 관리 계정에 대해 활성화됩니다.

  • AWS Config 레코더는 모든 리전에서 활성화됩니다.

  • AWS Config 전송 채널 S3 버킷은 로그 아카이브 계정에서 중앙 집중화됩니다.

  • AWS Config 위임된 관리자 계정은 보안 도구 계정으로 설정됩니다.

  • AWS Config 에는 조직 집계자가 설정되어 있습니다. 애그리게이터에는 모든 리전이 포함됩니다.

  • AWS Config 적합성 팩은 위임된 관리자 계정의 모든 멤버 계정에 균일하게 배포됩니다.

  • AWS Config 규칙 결과는 Security Hub CSPM으로 자동 전송됩니다.

Amazon GuardDuty

  • GuardDuty 감지기는 모든 멤버 계정과 관리 계정에 대해 활성화됩니다.

  • GuardDuty 감지기는 모든 리전에서 활성화됩니다.

  • GuardDuty 감지기는 모든 새 멤버 계정에 대해 자동으로 활성화됩니다.

  • GuardDuty 위임된 관리는 보안 도구 계정으로 설정됩니다.

  • CloudTrail 관리 이벤트, VPC 흐름 로그 및 Route 53 Resolver DNS 쿼리 로그와 같은 GuardDuty 기본 데이터 소스가 활성화됩니다.

  • GuardDuty S3 보호가 활성화되었습니다.

  • EBS 볼륨에 대한 GuardDuty 맬웨어 보호가 활성화되어 있습니다.

  • S3용 GuardDuty 맬웨어 보호가 활성화되었습니다.

  • GuardDuty RDS 보호가 활성화되었습니다.

  • GuardDuty Lambda 보호가 활성화되었습니다.

  • GuardDuty EKS 보호가 활성화되었습니다.

  • GuardDuty EKS 런타임 모니터링이 활성화되어 있습니다.

  • GuardDuty 확장 위협 탐지가 활성화되었습니다.

  • GuardDuty 결과는 보존을 위해 로그 아카이브 계정의 중앙 S3 버킷으로 내보내집니다.

IAM

  • IAM 사용자는 사용되지 않습니다.

  • 멤버 계정에 대한 루트 액세스의 중앙 집중식 관리가 적용됩니다.

  • 관리 계정에 대한 중앙 집중식 권한 루트 사용자 작업은 위임된 관리자로부터 적용됩니다.

  • 중앙 집중식 루트 액세스 관리는 보안 도구 계정에 위임됩니다.

  • 모든 멤버 계정 루트 자격 증명이 제거됩니다.

  • 모든 멤버 및 관리 AWS 계정 암호 정책은 조직의 보안 표준에 따라 설정됩니다. 

  • IAM 액세스 어드바이저는 IAM 그룹, 사용자, 역할 및 정책에 대해 마지막으로 사용된 정보를 검토하는 데 사용됩니다.

  • 권한 경계는 IAM 역할에 대해 가능한 최대 권한을 제한하는 데 사용됩니다.

IAM Access Analyzer

  • IAM Access Analyzer는 모든 멤버 계정과 관리 계정에 대해 활성화됩니다.

  • IAM Access Analyzer 위임된 관리자는 보안 도구 계정으로 설정됩니다.

  • IAM Access Analyzer 외부 액세스 분석기는 모든 리전에서 신뢰하는 조직 영역으로 구성됩니다.

  • IAM Access Analyzer 외부 액세스 분석기는 모든 리전에서 계정 신뢰 영역으로 구성됩니다.

  • IAM Access Analyzer 내부 액세스 분석기는 모든 리전에서 신뢰하는 조직 영역으로 구성됩니다.

  • IAM Access Analyzer 내부 액세스 분석기는 모든 리전에서 계정 신뢰 영역으로 구성됩니다.

  • 현재 계정에 대한 IAM Access Analyzer 미사용 액세스 분석기가 생성됩니다.

  • 현재 조직에 대한 IAM Access Analyzer 미사용 액세스 분석기가 생성됩니다.

Amazon Detective

  • Detective는 모든 멤버 계정에 대해 활성화됩니다.

  • Detective는 모든 새 멤버 계정에 대해 자동으로 활성화됩니다.

  • Detective는 모든 리전에서 활성화됩니다.

  • Detective 위임된 관리자는 보안 도구 계정으로 설정됩니다.

  • Detective, GuardDuty 및 Security Hub CSPM 위임 관리자는 동일한 보안 도구 계정으로 설정됩니다.

  • Detective는 원시 로그의 저장 및 분석을 위해 Security Lake와 통합됩니다.

  • Detective는 결과를 수집하기 위해 GuardDuty와 통합됩니다.

  • Detective는 분석을 위해 Amazon EKS 감사 로그를 수집하고 있습니다.

  • Detective는 분석을 위해 Security Hub CSPM 로그를 수집하고 있습니다.

AWS Firewall Manager

  • Firewall Manager 보안 정책이 설정되어 있습니다.

  • Firewall Manager 위임된 관리자는 보안 도구 계정으로 설정됩니다.

  • AWS Config 는 사전 조건으로 활성화됩니다.

  • OU, 계정 및 리전별로 범위가 제한된 여러 Firewall Manager 관리자가 설정됩니다.

  • Firewall Manager AWS WAF 보안 정책이 정의됩니다.

  • Firewall Manager AWS WAF 중앙 집중식 로깅 정책이 정의됩니다.

  • Firewall Manager Shield Advanced 보안 정책이 정의됩니다.

  • Firewall Manager 보안 그룹 보안 정책이 정의됩니다.

Amazon Inspector –

  • Amazon Inspector는 모든 멤버 계정에 대해 활성화됩니다.

  • Amazon Inspector는 모든 새 멤버 계정에 대해 자동으로 활성화됩니다.

  • Amazon Inspector 위임된 관리자는 보안 도구 계정으로 설정됩니다.

  • Amazon Inspector EC2 취약성 스캔이 활성화되었습니다.

  • Amazon Inspector ECR 이미지 취약성 스캔이 활성화되어 있습니다.

  • Amazon Inspector Lambda 함수 및 계층 취약성 스캔이 활성화됩니다.

  • Amazon Inspector Lambda 코드 스캔이 활성화되었습니다.

  • Amazon Inspector 코드 보안 스캔이 활성화되어 있습니다.

Amazon Macie

  • Macie는 해당 멤버 계정에 대해 활성화됩니다.

  • Macie는 적용 가능한 새 멤버 계정에 대해 자동으로 활성화됩니다.

  • Macie 위임 관리자는 보안 도구 계정으로 설정됩니다.

  • Macie 조사 결과는 로그 아카이브 계정의 중앙 S3 버킷으로 내보내집니다.

  • Macie 조사 결과를 저장하는 S3 버킷은 고객 관리형 키로 암호화됩니다.

  • Macie 정책 및 분류 정책은 Security Hub CSPM에 게시됩니다.

Amazon Security Lake

  • Security Lake 조직 구성이 활성화되어 있습니다.

  • Security Lake 위임된 관리자는 보안 도구 계정으로 설정됩니다.

  • 새 멤버 계정에 대해 Security Lake 조직 구성이 활성화됩니다.

  • Security Tooling 계정은 로그 분석을 수행하기 위한 데이터 액세스 구독자로 설정됩니다.

  • Security Tooling 계정은 로그 분석을 수행하기 위한 데이터 쿼리 구독자로 설정됩니다.

  • 모든 또는 지정된 활성 멤버 계정에서 Security Lake에 대해 CloudTrail 관리 로그 소스가 활성화됩니다.

  • 모든 또는 지정된 활성 멤버 계정에서 Security Lake에 대해 VPC 흐름 로그 소스가 활성화됩니다.

  • 모든 또는 지정된 활성 멤버 계정에서 Security Lake에 대해 Route 53 로그 소스가 활성화됩니다.

  • S3 로그 소스에 대한 CloudTrail 데이터 이벤트는 모든 또는 지정된 활성 멤버 계정의 Security Lake에 대해 활성화됩니다.

  • Lambda 실행 로그 소스는 모든 또는 지정된 활성 멤버 계정의 Security Lake에 대해 활성화됩니다.

  • 모든 또는 지정된 활성 멤버 계정에서 Security Lake에 대해 Amazon EKS 감사 로그 소스가 활성화됩니다.

  • Security Hub 결과 로그 소스는 모든 또는 지정된 활성 멤버 계정의 Security Lake에 대해 활성화됩니다.

  • 모든 또는 지정된 활성 멤버 계정에서 Security Lake에 대해 AWS WAF 로그 소스가 활성화됩니다.

  • 위임된 관리자 계정의 Security Lake SQS 대기열은 고객 관리형 키로 암호화됩니다.

  • 위임된 관리자 계정의 Security Lake SQS 배달 못한 편지 대기열은 고객 관리형 키로 암호화됩니다.

  • Security Lake S3 버킷은 고객 관리형 키로 암호화됩니다.

  • Security Lake S3 버킷에는 Security Lake에 의한 직접 액세스만 제한하는 리소스 정책이 있습니다.

AWS WAF

  • 모든 CloudFront 배포가 연결됩니다 AWS WAF.

  • 모든 Amazon API Gateway REST APIs 연결됩니다 AWS WAF.

  • 모든 Application Load Balancer가 연결되어 있습니다 AWS WAF.

  • All AWS AppSync GraphQL APIs와 연결됩니다 AWS WAF.

  • 모든 Amazon Cognito 사용자 풀이 연결되어 있습니다 AWS WAF.

  • 모든 AWS App Runner 서비스가와 연결되어 있습니다 AWS WAF.

  • 모든 AWS Verified Access 인스턴스가와 연결되어 있습니다 AWS WAF.

  • 모든 AWS Amplify 애플리케이션이와 연결됩니다 AWS WAF.

  • AWS WAF 로깅이 활성화되었습니다.

  • AWS WAF 로그는 로그 아카이브 계정의 S3 버킷에 중앙 집중화됩니다.

AWS Shield Advanced

  • Shield Advanced 구독이 활성화되고 퍼블릭 리소스가 있는 모든 애플리케이션 계정에 대해 자동 갱신으로 설정됩니다.

  • Shield Advanced는 모든 CloudFront 배포에 대해 구성됩니다.

  • Shield Advanced는 모든 Application Load Balancer에 대해 구성됩니다.

  • Shield Advanced는 모든 Network Load Balancer에 대해 구성됩니다.

  • Shield Advanced는 모든 Route 53 호스팅 영역에 대해 구성됩니다.

  • Shield Advanced는 모든 탄력적 IP 주소에 대해 구성됩니다.

  • Shield Advanced는 모든 Global Accelerator에 대해 구성됩니다.

  • CloudWatch 경보는 Shield Advanced로 보호되는 CloudFront 및 Route 53 리소스에 대해 구성됩니다.

  • Shield 대응 팀(SRT) 액세스가 구성되어 있습니다.

  • Shield Advanced 사전 대응이 활성화되어 있습니다.

  • Shield Advanced 선제적 참여 고객 응대가 구성되어 있습니다.

  • Shield Advanced 보호 리소스에는 사용자 지정 AWS WAF 규칙이 구성되어 있습니다.

  • Shield Advanced 보호 리소스에는 자동 애플리케이션 계층 DDoS 완화가 활성화되어 있습니다.

AWS 보안 인시던트 대응

  • AWS 보안 인시던트 대응은 전체 AWS 조직에 대해 활성화됩니다.

  • AWS 보안 인시던트 대응 위임된 관리자가 보안 도구 계정으로 설정됩니다.

  • 사전 대응 및 알림 분류 워크플로가 활성화됩니다.

  • AWS 고객 인시던트 대응 팀(CIRT) 격리 작업이 승인됩니다.

AWS Audit Manager

  • Audit Manager는 모든 멤버 계정에 대해 활성화됩니다.

  • 새 멤버 계정에 대해 Audit Manager가 자동으로 활성화됩니다.

  • Audit Manager 위임된 관리자는 보안 도구 계정으로 설정됩니다.

  • AWS Config 는 Audit Manager의 사전 조건으로 활성화됩니다.

  • 고객 관리형 키는 Audit Manager에 저장된 데이터에 사용됩니다.

  • 기본 평가 보고서 대상이 구성됩니다.