기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS SRA 예제의 코드 리포지토리
간단한 설문조사를 |
AWS SRA에서 지침을 구축하고 구현하기 시작하는 데 도움이 되도록 https://github.com/aws-samples/aws-security-reference-architecture-examples
AWS SRA 코드 리포지토리는 AWS CloudFormation 및 Terraform 배포 옵션이 모두 포함된 코드 샘플을 제공합니다. 솔루션 패턴은 두 가지 환경을 지원합니다. 하나는 AWS Control Tower가 필요하고 다른 하나는 AWS Control Tower가 없는 AWS Organizations를 사용합니다. AWS 컨트롤 타워가 필요한 이 리포지토리의 솔루션은 AWS와 AWS 컨트롤 타워 사용자 지정 (cFCT) 을 사용하여 AWS 컨트롤 타워
다음은 AWS SRA 리포지토리의
-
CloudTrail 조직
솔루션은 Org Management 계정 내에 조직 내역을 생성하고 감사 또는 보안 도구 계정과 같은 구성원 계정에 관리를 위임합니다. 이 트레일은 보안 도구 계정에서 생성된 고객 관리 키로 암호화되고 로그를 Log Archive 계정의 S3 버킷으로 전달합니다. 선택적으로 Amazon S3 및 AWS Lambda 함수에 대해 데이터 이벤트를 활성화할 수 있습니다. 조직 트레일은 회원 계정이 구성을 수정하지 못하도록 하면서 AWS 조직의 모든 AWS 계정에 대한 이벤트를 기록합니다. -
GuardDuty 조직
솔루션은 보안 도구 계정에 관리를 GuardDuty 위임하여 Amazon을 지원합니다. 보안 도구 계정 GuardDuty 내에서 기존 및 미래의 모든 AWS 조직 계정을 구성합니다. 또한 GuardDuty 결과는 KMS 키로 암호화되어 로그 아카이브 계정의 S3 버킷으로 전송됩니다. -
보안 허브 조직
솔루션은 보안 도구 계정에 관리를 위임하여 AWS Security Hub를 구성합니다. 보안 도구 계정 내에 모든 기존 및 미래의 AWS 조직 계정에 대한 Security Hub를 구성합니다. 이 솔루션은 또한 모든 계정 및 지역에서 활성화된 보안 표준을 동기화하고 보안 도구 계정 내에 지역 애그리게이터를 구성하기 위한 파라미터를 제공합니다. Security Tools 계정 내에서 Security Hub를 중앙 집중화하면 보안 표준 규정 준수와 AWS 서비스 및 타사 AWS 파트너 통합의 결과를 계정 간에 볼 수 있습니다. -
Inspector 솔루션은 AWS
조직의 모든 계정 및 관리 지역에 대해 위임된 관리자 (보안 도구) 계정 내에 Amazon Inspector를 구성합니다. -
Firewall Manager
솔루션은 보안 도구 계정에 관리를 위임하고 보안 그룹 정책 및 여러 AWS WAF 정책으로 Firewall Manager를 구성하여 AWS Firewall Manager 보안 정책을 구성합니다. 보안 그룹 정책에는 솔루션에서 배포한 VPC (기존 또는 솔루션에서 생성) 내에 허용되는 최대 보안 그룹이 필요합니다. -
Macie Organization
솔루션은 보안 도구 계정에 관리를 위임하여 Amazon Macie를 지원합니다. 보안 도구 계정 내에서 Macie를 모든 기존 및 미래의 AWS 조직 계정에 맞게 구성합니다. Macie는 KMS 키로 암호화된 중앙 S3 버킷으로 검색 결과를 전송하도록 추가로 구성되어 있습니다. -
AWS Config
-
Config Aggregator
솔루션은 보안 도구 계정에 관리를 위임하여 AWS Config 애그리게이터를 구성합니다. 그런 다음 솔루션은 AWS 조직의 모든 기존 및 향후 계정에 대해 보안 도구 계정 내에 AWS Config 애그리게이터를 구성합니다. -
규정 준수 팩 조직 규칙
솔루션은 보안 도구 계정에 관리를 위임하여 AWS Config 규칙을 배포합니다. 그런 다음 AWS 조직의 모든 기존 및 향후 계정에 대해 위임된 관리자 계정 내에 조직 적합성 팩을 생성합니다. 솔루션은 암호화 및 키 관리에 대한 운영 모범 사례 규정 준수 팩 샘플 템플릿을 배포하도록 구성되어 있습니다. -
AWS Config 컨트롤 타워 관리 계정 솔루션은 AWS 컨트롤 타워 관리 계정에서
AWS Config를 활성화하고 그에 따라 보안 도구 계정 내의 AWS Config 애그리게이터를 업데이트합니다. 이 솔루션에서는 AWS Config를 참조로 사용하여 AWS Config를 참조로 사용하여 AWS 조직 내 다른 계정과의 일관성을 보장합니다. CloudFormation
-
-
IAM
-
액세스 분석기
솔루션은 보안 도구 계정에 관리를 위임하여 AWS IAM 액세스 분석기를 지원합니다. 그런 다음 Security Tools 계정 내에 AWS 조직의 모든 기존 계정 및 향후 계정에 대해 조직 수준의 액세스 분석기를 구성합니다. 또한 이 솔루션은 Access Analyzer를 모든 회원 계정 및 지역에 배포하여 계정 수준 권한 분석을 지원합니다. -
IAM 암호 정책
솔루션은 AWS 조직의 모든 계정 내 AWS 계정 암호 정책을 업데이트합니다. 이 솔루션은 업계 규정 준수 표준을 준수하는 데 도움이 되도록 암호 정책 설정을 구성하기 위한 파라미터를 제공합니다.
-
-
EC2 기본 EBS 암호화
솔루션은 각 AWS 계정 및 AWS 조직의 AWS 지역 내에서 계정 수준의 기본 Amazon EBS 암호화를 지원합니다. 새로 생성한 EBS 볼륨과 스냅샷의 암호화를 적용합니다. 예를 들어 Amazon EBS는 인스턴스를 시작할 때 생성되는 EBS 볼륨과 암호화되지 않은 스냅샷에서 복사한 스냅샷을 암호화합니다. -
S3 블록 계정 공개 액세스
솔루션을 사용하면 AWS 조직의 각 AWS 계정 내에서 Amazon S3 계정 수준 설정을 사용할 수 있습니다. Amazon S3 퍼블릭 액세스 차단 기능은 액세스 포인트, 버킷 및 계정에 대한 설정을 제공하여 Amazon S3 리소스에 대한 퍼블릭 액세스를 관리하는 데 도움을 줍니다. 기본적으로 새 버킷, 액세스 포인트 및 객체는 퍼블릭 액세스를 허용하지 않습니다. 그러나 사용자는 퍼블릭 액세스를 허용하도록 버킷 정책, 액세스 포인트 정책 또는 객체 권한을 수정할 수 있습니다. Amazon S3 Block Public Access 설정은 이러한 정책 및 권한을 무시하므로 이러한 리소스에 대한 퍼블릭 액세스를 제한할 수 있습니다. -
Detective Organization
솔루션은 특정 계정 (예: 감사 또는 보안 도구 계정) 에 관리를 위임하고 모든 기존 및 미래의 AWS 조직 계정에 대해 Detective를 구성함으로써 Amazon Detective를 자동으로 활성화합니다. -
Shield 어드밴스드
솔루션은 AWS Shield Advanced의 배포를 자동화하여 AWS 기반 애플리케이션에 대한 향상된 DDoS 보호를 제공합니다. -
AMI Bakery Organization
솔루션은 표준적이고 강화된 Amazon 머신 이미지 (AMI) 이미지를 구축하고 관리하는 프로세스를 자동화하는 데 도움이 됩니다. 이를 통해 AWS 인스턴스 전반의 일관성과 보안이 보장되고 배포 및 유지 관리 작업이 간소화됩니다.