SEC08-BP03 저장 데이터 보호 자동화 - 보안 원칙
구현 가이드 리소스

SEC08-BP03 저장 데이터 보호 자동화

자동화를 사용하여 저장된 데이터 제어를 검증하고 적용하세요.  자동 스캐닝을 사용하여 데이터 스토리지 솔루션의 잘못된 구성을 탐지하고, 가능하다면 자동화된 프로그래밍 방식 응답을 통해 교정을 수행합니다.  CI/CD 프로세스에 자동화를 통합하여 프로덕션 환경에 배포하기 전에 데이터 스토리지 구성 오류를 감지할 수 있습니다.

원하는 결과: 자동화된 시스템이 데이터 스토리지 위치를 스캔하고 모니터링하여 제어 기능의 잘못된 구성, 무단 액세스 및 예상치 못한 사용이 있는지 확인합니다.  잘못 구성된 스토리지 위치를 탐지하면 자동 교정이 시작됩니다.  자동화된 프로세스는 데이터 백업을 생성하고 원본 환경 외부에 변경 불가능한 사본을 저장합니다.

일반적인 안티 패턴:

  • 지원되는 경우에 기본 설정으로 암호화를 활성화하는 옵션을 고려하고 있지 않습니다.

  • 자동 백업 및 복구 전략을 수립할 때 운영 이벤트 외에 보안 이벤트는 고려하지 않습니다.

  • 스토리지 서비스에 대한 공개 액세스 설정을 적용하지 않습니다.

  • 저장 데이터를 보호하기 위한 제어 기능을 모니터링하고 감사하지 않습니다.

이 모범 사례 확립의 이점: 자동화는 데이터 스토리지 위치를 잘못 구성할 위험을 방지하는 데 도움이 됩니다. 프로덕션 환경에 잘못된 구성이 유입되는 것을 방지하는 데 도움이 됩니다. 이 모범 사례는 잘못된 구성이 발생할 경우 이를 탐지하고 수정하는 데도 도움이 됩니다. 

이 모범 사례를 따르지 않을 경우 노출 위험도: 중간

구현 가이드 

자동화는 저장 데이터를 보호하기 위한 관행 전반에 적용되는 주제입니다. SEC01-BP06 Automate deployment of standard security controls에서는 AWS CloudFormation과 같이 코드형 인프라(IaC) 템플릿을 사용하여 리소스 구성을 캡처하는 방법을 설명합니다.  이러한 템플릿은 버전 제어 시스템에 적용되며 CI/CD 파이프라인을 통해 AWS에 리소스를 배포하는 데 사용됩니다.  이러한 기술은 Amazon S3 버킷의 암호화 설정과 같은 데이터 스토리지 솔루션의 구성을 자동화하는 데도 동일하게 적용됩니다.  

AWS CloudFormation Guard의 규칙을 사용하여 IaC 템플릿에서 정의한 설정에 CI/CD 파이프라인의 잘못된 구성이 있는지 확인할 수 있습니다.  CloudFormation 또는 기타 IaC 도구에서 아직 사용할 수 없는 설정을 모니터링하여 AWS Config로 잘못 구성할 수 있습니다.  SEC04-BP04 Initiate remediation for non-compliant resources에 나와 있는 대로, 잘못된 구성에 대해 Config에서 생성하는 알림은 자동으로 교정될 수 있습니다.

권한 관리 전략의 일부로 자동화를 사용하는 것도 자동화된 데이터 보호의 필수 구성 요소입니다. SEC03-BP02 최소 권한 액세스 부여SEC03-BP04 지속적으로 권한 축소에서는 최소 권한 액세스 정책을 구성하는 방법을 설명합니다. AWS Identity and Access Management Access Analyzer는 이를 지속적으로 모니터링하여 권한을 줄일 수 있는 시기를 파악할 수 있습니다.  권한 모니터링에 대한 자동화 외에도 EBS 볼륨(EC2 인스턴스를 통해), S3 버킷 및 지원되는 Amazon Relational Database Service 데이터베이스에 대한 비정상적인 데이터 액세스 동작을 감시하도록 Amazon GuardDuty를 구성할 수 있습니다.

자동화는 민감한 데이터가 승인되지 않은 위치에 저장되는 시점을 탐지하는 역할도 합니다. SEC07-BP03 식별 및 분류 자동화에서는 Amazon Macie가 S3 버킷에서 예기치 못한 민감한 데이터를 모니터링하고 자동화된 응답을 시작할 수 있는 알림을 생성하는 방법에 대해 설명합니다.

REL09 데이터 백업의 관행에 따라 자동화된 데이터 백업 및 복구 전략을 개발하세요. 데이터 백업 및 복구는 운영 이벤트와 마찬가지로 보안 이벤트 복구에도 중요합니다.

구현 단계

  1. IaC 템플릿에서 데이터 스토리지 구성을 캡처합니다.  CI/CD 파이프라인의 자동 검사를 사용하여 구성 오류를 감지합니다.

    1. <ulink type="marketing" url="cloudformation">&CFN;</ulink>를 IaC 템플릿에, CloudFormation Guard를 잘못된 구성이 있는지 템플릿 확인에 사용할 수 있습니다.

    2. 사전 평가 모드에서 규칙을 실행하는 데 AWS Config를 사용합니다. 이 설정을 사용하면 리소스를 생성하기 전에 CI/CD 파이프라인의 한 단계로 리소스의 규정 준수를 확인할 수 있습니다.

  2. 리소스에서 데이터 스토리지 구성 오류를 모니터링합니다.

    1. AWS Config를 설정하여 데이터 스토리지 리소스의 제어 구성 변경을 모니터링하고 잘못된 구성을 탐지하면 교정 작업을 간접 호출하는 알림을 생성합니다.

    2. 자동 교정에 대한 자세한 지침은 SEC04-BP04 Initiate remediation for non-compliant resources를 참조하세요.

  3. 자동화를 통해 데이터 액세스 권한을 지속적으로 모니터링하고 줄입니다.

    1. 권한을 잠재적으로 줄일 수 있는 경우 알림을 생성하기 위해 IAM Access Analyzer를 지속적으로 실행할 수 있습니다.

  4. 비정상적인 데이터 액세스 동작을 모니터링하고 알림을 보냅니다.

    1. GuardDuty는 EBS 볼륨, S3 버킷, RDS 데이터베이스와 같은 데이터 스토리지 리소스에 대한 알려진 위협 서명과 기준 액세스 동작의 편차를 모두 감시합니다.

  5. 예상치 못한 위치에 저장되는 민감한 데이터를 모니터링하고 알림을 보냅니다.

    1. S3 버킷에서 민감한 데이터를 지속적으로 스캔하는 데 Amazon Macie를 사용합니다.

  6. 안전하고 암호화된 데이터 백업을 자동화합니다.

    1. AWS Backup은 AWS에 있는 다양한 데이터 소스의 암호화되고 안전한 백업을 생성하는 관리형 서비스입니다.  Elastic Disaster Recovery를 사용하면 몇 초 만에 측정되는 Recovery Point Objective(RPO)를 통해 전체 서버 워크로드를 복사하고 지속적으로 데이터를 보호할 수 있습니다.  두 서비스가 함께 작동하도록 구성하여 데이터 백업 생성 및 장애 조치 위치에 복사하는 작업을 자동화할 수 있습니다.  이렇게 하면 운영 또는 보안 이벤트의 영향을 받는 경우에도 데이터를 계속 사용할 수 있습니다.

리소스

관련 모범 사례:

관련 문서:

관련 예시:

관련 도구: