보안

AWS 인프라에 시스템을 구축하면 사용자와 AWS 간에 보안 책임이 공유됩니다. 이 공동 책임 모델은 AWS가 호스트 운영 체제, 가상화 계층, 서비스가 운영되는 시설의 물리적 보안을 포함한 구성 요소를 운영, 관리 및 제어하기 때문에 운영 부담을 줄입니다. AWS 보안에 대한 자세한 내용은 AWS Cloud Security를 참조하십시오.

IAM 역할

AWS Identity and Access Management(IAM) 역할을 통해 고객은 AWS 클라우드의 서비스 및 사용자에게 세분화된 액세스 정책 및 권한을 할당할 수 있습니다. 이 솔루션은 솔루션의 AWS Lambda 함수에 리전 리소스를 생성할 수 있는 액세스 권한을 부여하는 IAM 역할을 생성합니다.

Amazon CloudFront

이 솔루션은 Amazon CloudFront에서 배포하는 Amazon S3 버킷에 호스팅된 웹 UI를 배포합니다. Amazon CloudFront 지연 시간을 줄이고 보안을 강화하기 위해이 솔루션에는 솔루션 웹 사이트의 버킷 콘텐츠에 대한 퍼블릭 액세스를 제공하는 CloudFront 사용자인 오리진 액세스 ID가 있는 CloudFront 배포가 포함됩니다. 기본적으로 CloudFront 배포는 TLS 1.2를 사용하여 최고 수준의 보안 프로토콜을 적용합니다. 자세한 내용은 Amazon CloudFront 개발자 안내서의 Amazon S3 오리진에 대한 액세스 제한을 참조하세요. Amazon CloudFront

CloudFront는 추가 보안 완화 기능을 활성화하여 각 최종 사용자 응답에 HTTP 보안 헤더를 추가합니다. 자세한 내용은 CloudFront 응답에서 HTTP 헤더 추가 또는 제거를 참조하세요.

이 솔루션은 TLS v1.0의 최소 지원 보안 프로토콜이 있는 기본 CloudFront 인증서를 사용합니다. TLS v1.2 또는 TLS v1.3 사용을 적용하려면 기본 CloudFront 인증서 대신 사용자 지정 SSL 인증서를 사용해야 합니다. 자세한 내용은 SSL/TLS 인증서를 사용하도록 CloudFront 배포를 구성하려면 어떻게 해야 하나요?를 참조하세요.

AWS Fargate 보안 그룹

기본적으로이 솔루션은 AWS Fargate 보안 그룹의 아웃바운드 규칙을 퍼블릭으로 엽니다. AWS Fargate가 어디서나 트래픽을 전송하지 못하도록 차단하려면 아웃바운드 규칙을 특정 Classless Inter-Domain Routing(CIDR)으로 변경합니다.

또한이 보안 그룹에는 포트 50,000의 로컬 트래픽을 동일한 보안 그룹에 속하는 모든 소스로 허용하는 인바운드 규칙이 포함되어 있습니다. 이는 컨테이너가 서로 통신할 수 있도록 하는 데 사용됩니다.

네트워크 스트레스 테스트

네트워크 스트레스 테스트 정책에 따라이 솔루션을 사용할 책임은 사용자에게 있습니다. 이 정책은 Amazon EC2 인스턴스에서 다른 Amazon EC2 인스턴스Amazon EC2, AWS 속성/서비스 또는 외부 엔드포인트와 같은 다른 위치로 직접 대용량 네트워크 테스트를 실행하려는 경우와 같은 상황을 다룹니다. 이러한 테스트를 스트레스 테스트, 로드 테스트 또는 게임데이 테스트라고도 합니다. 대부분의 고객 테스트는이 정책에 해당되지 않습니다. 그러나 1분 이상, 1Gbps(초당 10억 비트) 또는 1Gpps(초당 10억 패킷)를 초과하는 트래픽을 총 1분 이상 지속할 것으로 생각되면이 정책을 참조하세요.

퍼블릭 사용자 인터페이스에 대한 액세스 제한

IAM 및 Amazon Cognito에서 제공하는 인증 및 권한 부여 메커니즘을 넘어 퍼블릭 사용자 인터페이스에 대한 액세스를 제한하려면 AWS WAF(웹 애플리케이션 방화벽) 보안 자동화 솔루션을 사용합니다.

이 솔루션은 일반적인 웹 기반 공격을 필터링하는 AWS WAF 규칙 세트를 자동으로 배포합니다. 사용자는 AWS WAF 웹 액세스 제어 목록(웹 ACL)에 포함된 규칙을 정의하는 사전 구성된 보호 기능 중에서 선택할 수 있습니다.