아키텍처 다이어그램 문서화 및 중앙 집중화 - AWS 보안 인시던트 대응 사용 설명서

아키텍처 다이어그램 문서화 및 중앙 집중화

보안 이벤트에 빠르고 정확하게 대응하려면 시스템과 네트워크가 어떻게 설계되는지 이해해야 합니다. 이러한 내부 패턴을 이해하는 것은 인시던트 대응뿐만 아니라 모범 사례에 따라 패턴이 설계된 애플리케이션 전반의 일관성을 확인하는 데에도 중요합니다. 또한 이 설명서가 최신 상태이고 새 아키텍처 패턴에 따라 정기적으로 업데이트되는지 확인해야 합니다. 다음과 같은 항목을 자세히 설명하는 설명서와 내부 리포지토리를 개발해야 합니다.

  • AWS 계정 구조 - 다음을 알아야 합니다.

    • AWS 계정이 몇 개 있나요?

    • 이러한 AWS 계정은 어떻게 구성되나요?

    • AWS 계정의 비즈니스 소유자는 누구인가요?

    • 서비스 제어 정책(SCP)을 사용하시나요? 그렇다면 SCP를 사용하여 구현되는 조직 가드레일은 무엇인가요?

    • 사용할 수 있는 리전과 서비스를 제한하나요?

    • 사업부와 환경(개발/테스트/프로덕션) 간에는 어떤 차이가 있나요?

  • AWS 서비스 패턴

    • 어떤 AWS 서비스를 사용하나요?

    • 가장 널리 사용되는 AWS 서비스는 무엇인가요?

  • 아키텍처 패턴

    • 어떤 클라우드 아키텍처를 사용하나요?

  • AWS 인증 패턴

    • 개발자는 일반적으로 AWS에 어떻게 인증하나요?

    • IAM 역할, 사용자 또는 둘 다 사용하나요? AWS에 대한 인증이 ID 제공업체(idP)에 연결되어 있나요?

    • IAM 역할 또는 사용자를 직원 또는 시스템에 어떻게 매핑하나요?

    • 더 이상 권한이 없는 경우 어떻게 액세스 권한이 취소되나요?

  • AWS 권한 부여 패턴

    • 개발자는 어떤 IAM 정책을 사용하나요?

    • 리소스 기반 정책을 사용하시나요?

  • 로깅 및 모니터링

    • 어떤 로깅 소스를 사용하며 어디에 저장되나요?

    • AWS CloudTrail 로그를 집계하나요? 그렇다면 어디에 저장되나요?

    • CloudTrail 로그를 쿼리하려면 어떻게 해야 하나요?

    • Amazon GuardDuty를 활성화했나요?

    • GuardDuty 조사 결과(예: 콘솔, 티켓팅 시스템, SIEM)에 액세스하려면 어떻게 해야 하나요?

    • 조사 결과 또는 이벤트가 SIEM에서 집계되나요?

    • 티켓이 자동으로 생성되나요?

    • 조사를 위해 로그를 분석하기 위한 도구에는 어떤 것이 있나요?

  • 네트워크 토폴로지

    • 네트워크의 디바이스, 엔드포인트 및 연결은 물리적 또는 논리적으로 어떻게 배열되나요?

    • 네트워크는 AWS와 어떻게 연결되나요?

    • 환경 간에 네트워크 트래픽은 어떻게 필터링되나요?

  • 외부 인프라

    • 외부용 애플리케이션은 어떻게 배포되나요?

    • 공개적으로 액세스할 수 있는 AWS 리소스에는 어떤 것이 있나요?

    • 외부로 향하는 인프라가 포함된 AWS 계정에는 어떤 것이 있나요?

    • 어떤 DDoS 또는 외부 필터링이 있나요?

내부 기술 다이어그램과 프로세스를 문서화하면 인시던트 대응 분석가의 작업이 쉬워지므로 보안 이벤트에 대응할 수 있는 제도적 지식을 빠르게 얻을 수 있습니다. 내부 기술 프로세스를 철저히 문서화하면 보안 조사가 간소화될 뿐만 아니라 프로세스의 합리화 및 평가에도 도움이 됩니다.