SEC08-BP03 저장 데이터 보호 자동화
자동화를 사용하여 저장된 데이터 제어를 검증하고 적용하세요. 자동 스캐닝을 사용하여 데이터 스토리지 솔루션의 잘못된 구성을 탐지하고, 가능하다면 자동화된 프로그래밍 방식 응답을 통해 교정을 수행합니다. CI/CD 프로세스에 자동화를 통합하여 프로덕션 환경에 배포하기 전에 데이터 스토리지 구성 오류를 감지할 수 있습니다.
원하는 결과: 자동화된 시스템이 데이터 스토리지 위치를 스캔하고 모니터링하여 제어 기능의 잘못된 구성, 무단 액세스 및 예상치 못한 사용이 있는지 확인합니다. 잘못 구성된 스토리지 위치를 탐지하면 자동 교정이 시작됩니다. 자동화된 프로세스는 데이터 백업을 생성하고 원본 환경 외부에 변경 불가능한 사본을 저장합니다.
일반적인 안티 패턴:
-
지원되는 경우에 기본 설정으로 암호화를 활성화하는 옵션을 고려하고 있지 않습니다.
-
자동 백업 및 복구 전략을 수립할 때 운영 이벤트 외에 보안 이벤트는 고려하지 않습니다.
-
스토리지 서비스에 대한 공개 액세스 설정을 적용하지 않습니다.
-
저장 데이터를 보호하기 위한 제어 기능을 모니터링하고 감사하지 않습니다.
이 모범 사례 확립의 이점: 자동화는 데이터 스토리지 위치를 잘못 구성할 위험을 방지하는 데 도움이 됩니다. 프로덕션 환경에 잘못된 구성이 유입되는 것을 방지하는 데 도움이 됩니다. 이 모범 사례는 잘못된 구성이 발생할 경우 이를 탐지하고 수정하는 데도 도움이 됩니다.
이 모범 사례를 따르지 않을 경우 노출 위험도: 중간
구현 가이드
자동화는 저장 데이터를 보호하기 위한 관행 전반에 적용되는 주제입니다. SEC01-BP06 Automate deployment of standard security controls에서는 AWS CloudFormation
AWS CloudFormation Guard의 규칙을 사용하여 IaC 템플릿에서 정의한 설정에 CI/CD 파이프라인의 잘못된 구성이 있는지 확인할 수 있습니다. CloudFormation 또는 기타 IaC 도구에서 아직 사용할 수 없는 설정을 모니터링하여 AWS Config
권한 관리 전략의 일부로 자동화를 사용하는 것도 자동화된 데이터 보호의 필수 구성 요소입니다. SEC03-BP02 최소 권한 액세스 부여 및 SEC03-BP04 지속적으로 권한 축소에서는 최소 권한 액세스 정책을 구성하는 방법을 설명합니다. AWS Identity and Access Management Access Analyzer
자동화는 민감한 데이터가 승인되지 않은 위치에 저장되는 시점을 탐지하는 역할도 합니다. SEC07-BP03 식별 및 분류 자동화에서는 Amazon Macie
REL09 데이터 백업의 관행에 따라 자동화된 데이터 백업 및 복구 전략을 개발하세요. 데이터 백업 및 복구는 운영 이벤트와 마찬가지로 보안 이벤트 복구에도 중요합니다.
구현 단계
-
IaC 템플릿에서 데이터 스토리지 구성을 캡처합니다. CI/CD 파이프라인의 자동 검사를 사용하여 구성 오류를 감지합니다.
-
<ulink type="marketing" url="cloudformation">&CFN;</ulink>를 IaC 템플릿에, CloudFormation Guard를 잘못된 구성이 있는지 템플릿 확인에 사용할 수 있습니다.
-
사전 평가 모드에서 규칙을 실행하는 데 AWS Config
를 사용합니다. 이 설정을 사용하면 리소스를 생성하기 전에 CI/CD 파이프라인의 한 단계로 리소스의 규정 준수를 확인할 수 있습니다.
-
-
리소스에서 데이터 스토리지 구성 오류를 모니터링합니다.
-
AWS Config
를 설정하여 데이터 스토리지 리소스의 제어 구성 변경을 모니터링하고 잘못된 구성을 탐지하면 교정 작업을 간접 호출하는 알림을 생성합니다. -
자동 교정에 대한 자세한 지침은 SEC04-BP04 Initiate remediation for non-compliant resources를 참조하세요.
-
-
자동화를 통해 데이터 액세스 권한을 지속적으로 모니터링하고 줄입니다.
-
권한을 잠재적으로 줄일 수 있는 경우 알림을 생성하기 위해 IAM Access Analyzer
를 지속적으로 실행할 수 있습니다.
-
-
비정상적인 데이터 액세스 동작을 모니터링하고 알림을 보냅니다.
-
GuardDuty
는 EBS 볼륨, S3 버킷, RDS 데이터베이스와 같은 데이터 스토리지 리소스에 대한 알려진 위협 서명과 기준 액세스 동작의 편차를 모두 감시합니다.
-
-
예상치 못한 위치에 저장되는 민감한 데이터를 모니터링하고 알림을 보냅니다.
-
S3 버킷에서 민감한 데이터를 지속적으로 스캔하는 데 Amazon Macie
를 사용합니다.
-
-
안전하고 암호화된 데이터 백업을 자동화합니다.
-
AWS Backup은 AWS에 있는 다양한 데이터 소스의 암호화되고 안전한 백업을 생성하는 관리형 서비스입니다. Elastic Disaster Recovery
를 사용하면 몇 초 만에 측정되는 Recovery Point Objective(RPO)를 통해 전체 서버 워크로드를 복사하고 지속적으로 데이터를 보호할 수 있습니다. 두 서비스가 함께 작동하도록 구성하여 데이터 백업 생성 및 장애 조치 위치에 복사하는 작업을 자동화할 수 있습니다. 이렇게 하면 운영 또는 보안 이벤트의 영향을 받는 경우에도 데이터를 계속 사용할 수 있습니다.
-
리소스
관련 모범 사례:
관련 문서:
관련 예시:
관련 도구: