SEC03-BP07 퍼블릭 및 크로스 계정 액세스 분석

퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 이 유형의 액세스가 필요한 리소스만 허용하도록 퍼블릭 액세스 및 크로스 계정 액세스를 줄입니다.

원하는 결과: 공유되는 AWS 리소스와 공유 대상을 파악합니다. 공유 리소스를 지속적으로 모니터링하고 감사하여 권한이 부여된 보안 주체와만 공유되는지 확인합니다.

일반적인 안티 패턴:

• 공유 리소스의 인벤토리를 유지하지 않습니다.

• 크로스 계정 또는 리소스에 대한 퍼블릭 액세스를 승인하는 프로세스를 따르지 않습니다.

이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 낮음

구현 가이드

계정이 에 있는 경우 전체 조직 AWS Organizations, 특정 조직 단위 또는 개별 계정에 리소스에 대한 액세스 권한을 부여할 수 있습니다. 계정이 조직의 구성원이 아닌 경우 개별 계정과 리소스를 공유할 수 있습니다. Amazon Simple Storage Service(Amazon S3) 버킷 정책과 같은 리소스 기반 정책을 사용하거나 다른 계정의 보안 주체가 계정의 IAM 역할을 맡도록 허용하여 계정 간 직접 액세스 권한을 부여할 수 있습니다. 리소스 정책을 사용할 때 권한이 부여된 보안 주체에게만 액세스 권한이 부여되는지 확인합니다. 공개적으로 사용 가능해야 하는 모든 리소스를 승인하는 프로세스를 정의합니다.

AWS Identity and Access Management Access Analyzer에서는 증명 가능한 보안을 사용하여 계정 외부의 리소스에 대한 모든 액세스 경로를 식별합니다. 리소스 정책을 지속적으로 검토하고, 퍼블릭 또는 크로스 계정 액세스의 조사 결과를 보고하여 잠재적으로 광범위한 액세스를 간단하게 분석할 수 있습니다. 모든 계정에 대한 가시성이 있는지 확인하기 AWS Organizations 위해 로 IAM Access Analyzer를 구성하는 것이 좋습니다. IAM 또한 Access Analyzer를 사용하면 리소스 권한을 배포하기 전에 조사 결과를 미리 볼 수 있습니다. 따라서 정책 변경 사항이 리소스에 대해 의도한 퍼블릭 및 크로스 계정 액세스만 부여하는지 확인할 수 있습니다. 다중 계정 액세스를 설계할 때는 신뢰 정책을 사용하여 역할을 수임할 수 있는 사례를 제어할 수 있습니다. 예를 들어 PrincipalOrgId 조건 키를 사용하여 AWS Organizations외부에서 역할을 수임하려는 시도를 거부할 수 있습니다.

는 잘못 구성된 AWS Config 리소스를 보고할 수 있으며 정책 AWS Config 확인을 통해 퍼블릭 액세스가 구성된 리소스를 감지할 수 있습니다. AWS Control Tower 및 와 같은 서비스는 에 탐지 제어 및 가드레일을 배포하는 것을 AWS Security Hub 단순화 AWS Organizations 하여 공개적으로 노출된 리소스를 식별하고 수정합니다. 예를 들어 AWS Control Tower 에는 에서 복원할 수 있는 Amazon EBS 스냅샷이 있는지 여부를 감지할 수 있는 관리형 가드레일이 있습니다 AWS 계정.

구현 단계

• AWS Config for AWS Organizations:를 사용하면 AWS Config 의 여러 계정에서 얻은 결과를 위임된 관리자 계정으로 집계 AWS Organizations 할 수 있습니다. 이렇게 하면 포괄적인 보기를 제공하고 계정 AWS Config 규칙 간에 배포하여 공개적으로 액세스할 수 있는 리소스를 감지할 수 있습니다.

• IAM Access Analyzer 구성 AWS Identity and Access Management Access Analyzer은 Amazon S3 버킷 또는 외부 엔터티 와 공유되는 IAM 역할과 같은 조직 및 계정의 리소스를 식별하는 데 도움이 됩니다.

• 에서 자동 수정 AWS Config 을 사용하여 Amazon S3 버킷의 퍼블릭 액세스 구성 변경에 응답합니다. Amazon S3 버킷에 대한 퍼블릭 액세스 차단 설정을 자동으로 켤 수 있습니다.

• 모니터링 및 알림을 구현하여 Amazon S3 버킷이 공개되었는지 확인: Amazon S3 퍼블릭 액세스 차단이 비활성화된 시점과 Amazon S3 버킷이 공개되었는지 확인하기 위해 모니터링 및 알림 설정을 구현해야 합니다. 또한 를 사용하는 경우 Amazon S3 퍼블릭 액세스 정책 변경을 방지하는 서비스 제어 정책을 생성할 AWS Organizations수 있습니다. 는 열린 액세스 권한이 있는 Amazon S3 버킷을 AWS Trusted Advisor 확인합니다. 모든 사용자에게 업로드 또는 삭제 액세스 권한을 부여하는 버킷 권한은 모든 사용자가 버킷 항목을 추가하거나, 수정하거나, 제거할 수 있도록 허용하여 잠재적 보안 문제가 발생하는 원인이 됩니다. Trusted Advisor 검사는 버킷 권한을 재정의할 수 있는 명시적 버킷 권한 및 관련 버킷 정책을 검사합니다. AWS Config 를 사용하여 Amazon S3 버킷의 퍼블릭 액세스를 모니터링할 수도 있습니다. 자세한 내용은 를 사용하여 퍼블릭 액세스를 허용하는 Amazon S3 버킷을 AWS Config 모니터링하고 응답하는 방법을 참조하세요. 액세스를 검토할 때는 Amazon S3 버킷에 어떤 유형의 데이터가 포함되어 있는지 고려하는 것이 중요합니다. Amazon Macie는 , 및 보안 인증 정보와 같은 민감한 데이터를 검색PIIPHI하고 보호하는 데 도움이 됩니다 AWS .

리소스

관련 문서:

• AWS Identity and Access Management Access Analyzer사용

• AWS Control Tower 제어 라이브러리

• AWS 기본 보안 모범 사례 표준

• AWS Config 관리형 규칙

• AWS Trusted Advisor check reference

• Amazon을 사용하여 AWS Trusted Advisor 검사 결과 모니터링 EventBridge

• 조직의 모든 계정에서 AWS Config 규칙 관리

• AWS Config 그리고 AWS Organizations

• Amazon에서 AMI 공개적으로 사용할 수 있도록 하기 EC2

관련 비디오:

• Best Practices for securing your multi-account environment

• IAM Access Analyzer 심층 분석