기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
보안, ID 및 규정 준수
주제
- Amazon Cognito
- Amazon Detective
- 아마존 GuardDuty
- Amazon Inspector
- Amazon Macie
- Amazon Security Lake
- Amazon Verified Permissions
- AWS Artifact
- AWS Audit Manager
- AWS Certificate Manager
- AWS CloudHSM
- AWS Directory Service
- AWS Firewall Manager
- AWS Identity and Access Management
- AWS Key Management Service
- AWS Network Firewall
- AWS Resource Access Manager
- AWS Secrets Manager
- AWS Security Hub
- AWS Shield
- AWS IAM Identity Center
- AWS WAF
- AWS WAF 캡차
Amazon Cognito
Amazon Cognito를
또한 Amazon Cognito를 사용하면 데이터를 사용자 디바이스에 로컬로 저장할 수 있으므로 디바이스가 오프라인 상태일 때도 애플리케이션이 작동할 수 있습니다. 그런 다음 사용자 디바이스 간에 데이터를 동기화하여 사용하는 디바이스에 관계없이 앱 경험이 일관되게 유지되도록 할 수 있습니다.
Amazon Cognito를 사용하면 사용자 관리, 인증 및 디바이스 간 동기화를 처리하는 솔루션의 구축, 보안 및 확장에 대해 걱정하는 대신 뛰어난 앱 경험을 만드는 데 집중할 수 있습니다.
Amazon Detective
Amazon Detective를
AWS Amazon GuardDuty, Amazon Macie 및 AWS Security Hub파트너 보안 제품과 같은 보안 서비스를 사용하여 잠재적인 보안 문제 또는 조사 결과를 식별할 수 있습니다. 이러한 서비스는 배포 과정에서 무단 액세스나 의심스러운 동작이 발생할 수 있는 시기와 위치를 알려주는 데 매우 유용합니다. AWS 하지만 발견으로 이어진 이벤트를 심층적으로 조사하여 근본 원인을 해결하려는 보안 탐지 결과가 있는 경우가 있습니다. 보안 분석 결과의 근본 원인을 파악하는 것은 보안 분석가에게 복잡한 프로세스일 수 있습니다. 이 프로세스에는 ETL (Extract, Transform and Load) 도구와 데이터를 구성하기 위한 사용자 지정 스크립팅을 사용하여 여러 데이터 원본에서 로그를 수집하고 결합하는 작업이 수반되는 복잡한 프로세스가 될 수 있습니다.
Amazon Detective는 보안 팀이 쉽게 조사하고 발견의 근본 원인을 신속하게 파악할 수 있도록 하여 이 프로세스를 간소화합니다. Detective는 아마존 가상 사설 클라우드 (VPC) 플로우 로그, 아마존 (Amazon) 과 같은 여러 데이터 소스에서 발생하는 수조 개의 이벤트를 분석할 수 있습니다. AWS CloudTrail GuardDuty Detective는 이러한 이벤트를 사용하여 리소스, 사용자 및 시간 경과에 따른 이들 간의 상호 작용에 대한 통합된 대화형 보기를 자동으로 생성합니다. 이 통합 보기를 사용하면 모든 세부 정보와 컨텍스트를 한 곳에서 시각화하여 조사 결과의 근본 원인을 파악하고 관련 과거 활동을 자세히 분석하며 근본 원인을 신속하게 파악할 수 있습니다.
에서 몇 번의 클릭만으로 Amazon Detective를 시작할 수 있습니다. AWS Management Console소프트웨어를 배포하거나 활성화하고 유지 관리할 데이터 소스가 없습니다. 새 계정에서 사용할 수 있는 30일 무료 평가판을 통해 추가 비용 없이 Detective를 사용해 볼 수 있습니다.
아마존 GuardDuty
GuardDutyAmazon은 악의적인 활동과 비정상적인 행동을 지속적으로 모니터링하여 Amazon
Amazon은 몇 번의 클릭만으로 AWS Management Console 가능하고 지원을 통해 조직 전체에서 쉽게 관리할 GuardDuty 수 있으므로 AWS Organizations Amazon은 AWS 계정 전반에 걸친 수십억 개의 이벤트를 즉시 분석하여 무단 사용의 흔적을 찾아낼 수 있습니다. GuardDuty 통합 위협 인텔리전스 피드와 기계 학습 이상 탐지를 통해 의심되는 공격자를 식별하여 계정 및 워크로드 활동의 이상을 탐지합니다. 잠재적인 무단 사용이 감지되면 서비스는 GuardDuty 콘솔, Amazon CloudWatch Events 및 에 자세한 결과를 제공합니다 AWS Security Hub. 따라서 발견한 내용을 실행 가능하고 기존 이벤트 관리 및 워크플로 시스템에 쉽게 통합할 수 있습니다. Amazon Detective를 콘솔에서 GuardDuty 직접 사용하면 발견의 근본 원인을 파악하기 위한 추가 조사를 쉽게 수행할 수 있습니다.
GuardDuty Amazon은 비용 효율적이고 운영하기 쉽습니다. 소프트웨어 또는 보안 인프라를 배포하고 유지 관리할 필요가 없으므로 기존 애플리케이션 및 컨테이너 워크로드에 부정적인 영향을 미칠 위험 없이 신속하게 사용할 수 있습니다. 초기 비용이 들지 않고, 소프트웨어를 배포할 필요도 없고 GuardDuty, 위협 인텔리전스 피드를 활성화할 필요도 없습니다. 또한 스마트 필터를 적용하고 위협 탐지와 관련된 로그의 일부만 분석하여 비용을 GuardDuty 최적화합니다. 새 Amazon GuardDuty 계정은 30일 동안 무료로 제공됩니다.
Amazon Inspector
Amazon Inspector는
아마존 인스펙터는 아마존 인스펙터 클래식보다 많은 부분이 개선되었습니다. 예를 들어, 새로운 Amazon Inspector는 일반적인 취약성 및 노출 (CVE) 정보를 네트워크 액세스 및 악용 가능성과 같은 요소와 상호 연관시켜 각 발견에 대해 매우 상황에 맞는 위험 점수를 계산합니다. 이 점수는 가장 심각한 취약성의 우선 순위를 지정하여 해결 대응 효율성을 개선하는 데 사용됩니다. 또한 Amazon Inspector는 이제 널리 배포된 AWS Systems Manager 에이전트 (SSM 에이전트) 를 사용하므로 Amazon EC2 인스턴스 평가를 실행하기 위해 독립형 에이전트를 배포하고 유지 관리할 필요가 없습니다. 컨테이너 워크로드의 경우, Amazon Inspector는 이제 Amazon Elastic Container 레지스트리 (Amazon ECR) 와 통합되어 컨테이너 이미지에 대한 지능적이고 비용 효율적이며 지속적인 취약성 평가를 지원합니다. 모든 조사 결과는 Amazon Inspector 콘솔에 집계되어 Amazon으로 전달되고 AWS Security Hub Amazon을 통해 푸시되므로 티켓팅과 같은 워크플로가 자동화됩니다. EventBridge
Amazon Inspector를 처음 사용하는 모든 계정은 서비스를 평가하고 비용을 추정할 수 있는 15일 무료 평가판을 이용할 수 있습니다. 평가 기간 동안 Amazon ECR로 푸시된 모든 적격 Amazon EC2 인스턴스와 컨테이너 이미지는 무료로 계속 스캔됩니다.
Amazon Macie
Amazon Macie는
다중 계정 구성에서는 단일 Macie 관리자 계정으로 모든 구성원 계정을 관리할 수 있습니다. 여기에는 계정 간의 민감한 데이터 검색 작업 생성 및 관리가 포함됩니다. AWS Organizations보안 및 민감한 데이터 검색 결과는 Macie 관리자 계정에 집계되어 Amazon CloudWatch Events 및 으로 전송됩니다. AWS Security Hub이제 하나의 계정을 사용하여 이벤트 관리, 워크플로 및 티켓팅 시스템과 통합하거나 Macie 결과를 사용하여 수정 조치를 자동화할 수 있습니다. AWS Step Functions 새 계정에 S3 버킷 인벤토리 및 버킷 수준 평가를 무료로 제공하는 30일 평가판을 사용하여 Macie를 빠르게 시작할 수 있습니다. 버킷 평가를 위한 30일 평가판에는 민감한 데이터 검색이 포함되지 않습니다.
Amazon Security Lake
Amazon Security Lake는 환경, SaaS 제공업체, 온프레미스 및 클라우드 소스의 보안 데이터를 특정 용도에 맞게 구축된 데이터 레이크로 중앙 집중화하여 사용자 AWS 환경에 저장합니다. AWS 계정 Security Lake는 계정 전반의 보안 데이터 수집 및 관리를 AWS 리전 자동화하므로 보안 데이터에 대한 통제력과 소유권을 유지하면서 선호하는 분석 도구를 사용할 수 있습니다. Security Lake를 사용하면 워크로드, 애플리케이션 및 데이터에 대한 보호도 개선할 수 있습니다.
Security Lake는 통합 서비스 및 타사 서비스에서 보안 관련 로그 및 이벤트 데이터를 자동으로 수집합니다. AWS 또한 사용자 지정 가능한 보존 설정으로 데이터 라이프사이클을 관리할 수 있습니다. 데이터 레이크는 Amazon S3 버킷의 지원을 받으며 데이터에 대한 소유권은 사용자에게 있습니다. Security Lake는 수집된 데이터를 Apache Parquet 형식과 개방형 사이버 보안 스키마 프레임워크 (OCSF) 라는 표준 오픈 소스 스키마로 변환합니다. OCSF 지원을 통해 Security Lake는 광범위한 엔터프라이즈 보안 데이터 소스의 보안 데이터를 AWS 정규화하고 결합합니다.
다른 AWS 서비스 및 타사 서비스는 사고 대응 및 보안 데이터 분석을 위해 Security Lake에 저장된 데이터를 구독할 수 있습니다.
Amazon Verified Permissions
Amazon Verified Permissions는 사용자가
검증된 권한은 오픈 소스 정책 언어 및 SDK인 Cedar를
AWS Artifact
AWS Artifact
AWS Audit Manager
AWS Audit Manager
AWS Audit Manager 사전 구축된 프레임워크는 AWS 리소스를 CIS AWS Foundation Benchmark, 일반 데이터 보호 규정 (GDPR), 결제 카드 산업 데이터 보안 표준 (PCI DSS) 과 같은 업계 표준 또는 규정의 요구 사항에 매핑하여 클라우드 서비스의 증거를 감사자 친화적인 보고서로 변환하는 데 도움이 됩니다. 또한 고유한 비즈니스 요구 사항에 맞게 프레임워크와 해당 제어를 완전히 사용자 지정할 수 있습니다. 선택한 프레임워크를 기반으로 Audit Manager는 AWS 계정 및 리소스로부터 리소스 구성 스냅샷, 사용자 활동, 규정 준수 검사 결과 등 관련 증거를 지속적으로 수집하고 구성하는 평가를 시작합니다.
에서 빠르게 시작할 수 있습니다. AWS Management Console사전 구축된 프레임워크를 선택하기만 하면 평가를 시작하고 자동으로 증거를 수집 및 구성하기 시작할 수 있습니다.
AWS Certificate Manager
AWS Certificate Manager
를 사용하면 인증서를 빠르게 요청하고, Elastic Load Balancing, Amazon 배포, API Gateway 기반 API와 같은 ACM 통합 AWS 리소스에 CloudFront 배포하고, 인증서 갱신을 처리할 수 있습니다. AWS Certificate Manager AWS Certificate Manager 또한 내부 리소스를 위한 사설 인증서를 생성하고 인증서 수명 주기를 중앙에서 관리할 수 있습니다. ACM 통합 서비스에 사용하기 AWS Certificate Manager 위해 프로비저닝된 공인 및 사설 인증서는 무료입니다. 애플리케이션을 실행하기 위해 생성한 AWS 리소스에 대해서만 비용을 지불하면 됩니다.
를 사용하면 사설 CA (인증 기관) 운영 비용과 발급한 사설 인증서에 대해 매월 비용을 지불합니다. 자체 사설 CA를 운영하는 데 드는 선불 투자와 지속적인 유지 관리 비용 없이 가용성이 뛰어난 사설 CA 서비스를 이용할 수 있습니다. AWS Private Certificate Authority
AWS CloudHSM
클라우드 기반 하드웨어 보안 모듈 (HSM) 으로, 이를 통해 자체 암호화 키를 쉽게 생성하고 사용할 수 있습니다. AWS CloudHSM
AWS CloudHSM 표준을 준수하며 구성에 따라 모든 키를 다른 상용 HSM으로 내보낼 수 있습니다. 하드웨어 프로비저닝, 소프트웨어 패치, 고가용성, 백업 등 시간이 많이 걸리는 관리 작업을 자동화하는 완전 관리형 서비스입니다. AWS CloudHSM 또한 사전 비용 없이 온디맨드로 HSM 용량을 추가 및 제거하여 빠르게 확장할 수 있습니다.
AWS Directory Service
AWS Directory Service
AWS Firewall Manager
AWS Firewall Manager
AWS Identity and Access Management
AWS Identity and Access Management
-
AWS IAM Identity Center
(IAM ID 센터) 에서 직원 사용자 및 워크로드에 대한 AWS 권한을 관리합니다. IAM Identity Center를 사용하면 여러 계정의 사용자 액세스를 관리할 수 있습니다. AWS 클릭 몇 번으로 고가용성 서비스를 활성화하고 다중 계정 액세스와 모든 계정에 대한 권한을 중앙에서 AWS Organizations 쉽게 관리할 수 있습니다. IAM 아이덴티티 센터에는 Salesforce, Box 및 Microsoft Office 365와 같은 많은 비즈니스 애플리케이션에 대한 SAML 통합 기능이 내장되어 있습니다. 또한 SAML (보안 어설션 마크업 언어) 2.0 통합을 생성하고 싱글 사인온 액세스를 모든 SAML 지원 애플리케이션으로 확장할 수 있습니다. 사용자는 구성한 자격 증명을 사용하거나 기존 회사 자격 증명을 사용하여 사용자 포털에 로그인하기만 하면 한 곳에서 할당된 모든 계정과 애플리케이션에 액세스할 수 있습니다. -
단일 계정 IAM 권한 관리: 권한을
사용하여 AWS 리소스에 대한 액세스를 지정할 수 있습니다. IAM 개체 (사용자, 그룹, 역할) 는 기본적으로 권한 없이 시작합니다. 액세스 유형, 수행할 수 있는 작업, 작업을 수행할 수 있는 리소스를 지정하는 IAM 정책을 연결하여 이러한 ID에 권한을 부여할 수 있습니다. 액세스를 허용하거나 거부하기 위해 설정해야 하는 조건을 지정할 수도 있습니다. -
단일 계정 IAM 역할 관리
: IAM 역할을 사용하면 일반적으로 조직의 리소스에 액세스할 수 없는 사용자 또는 서비스에 액세스 권한을 위임할 수 있습니다. AWS IAM 사용자 또는 AWS 서비스가 역할을 맡아 API 호출에 사용되는 임시 보안 자격 증명을 받을 수 있습니다. AWS 장기 자격 증명을 공유하거나 각 ID에 대한 권한을 정의할 필요가 없습니다.
AWS Key Management Service
AWS Key Management Service
AWS Network Firewall
AWS Network Firewall
AWS Network Firewall 일반적인 네트워크 위협으로부터 보호하는 기능을 포함합니다. AWS Network Firewall 스테이트풀 방화벽은 연결 추적 및 프로토콜 식별과 같은 트래픽 흐름의 컨텍스트를 통합하여 VPC가 승인되지 않은 프로토콜을 사용하여 도메인에 액세스하는 것을 방지하는 등의 정책을 적용할 수 있습니다. AWS Network Firewall 침입 방지 시스템 (IPS) 은 능동적 트래픽 흐름 검사를 제공하므로 서명 기반 탐지를 사용하여 취약성 악용을 식별하고 차단할 수 있습니다. AWS Network Firewall 또한 알려진 잘못된 URL로 향하는 트래픽을 차단하고 검증된 도메인 이름을 모니터링할 수 있는 웹 필터링을 제공합니다.
Amazon VPC Console을 AWS Network Firewall
AWS Resource Access Manager
AWS Resource Access Manager
많은 조직에서는 관리 또는 청구 격리를 만들고 오류의 영향을 제한하기 위해 여러 계정을 사용합니다. AWS RAM를 사용하면 여러 AWS 계정에서 중복된 리소스를 만들 필요가 없습니다. 이를 통해 소유하고 있는 모든 계정의 리소스를 관리하는 데 드는 운영 오버헤드가 줄어듭니다. 대신 다중 계정 환경에서는 리소스를 한 번 만든 다음 리소스 공유를 만들어 계정 간에 해당 리소스를 공유하는 AWS RAM 데 사용할 수 있습니다. 리소스 공유를 생성할 때는 공유할 리소스를 선택하고, 리소스 유형별 AWS RAM 관리 권한을 선택하고, 리소스에 액세스할 사용자를 지정합니다. AWS RAM 추가 비용 없이 사용할 수 있습니다.
AWS Secrets Manager
AWS Secrets Manager
AWS Security Hub
AWS Security Hub
Security Hub를 사용하면 모든 AWS 계정의 통합 보안 점수를 통해 전반적인 보안 상태를 파악하고, AWS 기본 보안 모범 사례 (FSBP) 표준 및 기타 규정 준수 프레임워크를 통해 AWS 계정 리소스의 보안을 자동으로 평가할 수 있습니다. 또한 보안 탐지 결과 형식 (ASFF) 을 통해 수십 개의 AWS 보안 서비스 및 APN 제품에서 얻은 모든AWS 보안 결과를 단일 위치 및 형식으로 집계하고, 자동 응답 및 수정 지원을 통해 평균 수정 시간 (MTTR) 을 단축합니다. Security Hub는 티켓팅, 채팅, 보안 정보 및 이벤트 관리 (SIEM), 보안 오케스트레이션 자동화 및 대응 (SOAR), 위협 조사, 거버넌스 위험 및 규정 준수 (GRC), 사고 관리 도구와 out-of-the-box 통합되어 사용자에게 완전한 보안 운영 워크플로를 제공합니다.
Security Hub를 AWS Management Console 시작하려면 30일 무료 평가판을 사용하여 몇 번의 클릭만으로 결과를 집계하고 보안 검사를 수행할 수 있습니다. Security AWS Organizations Hub를 와 통합하여 조직의 모든 계정에서 서비스를 자동으로 활성화할 수 있습니다.
AWS Shield
AWS Shield
모든 AWS 고객은 추가 비용 없이 AWS Shield Standard의 자동 보호 기능을 활용할 수 있습니다. AWS Shield Standard 웹 사이트 또는 애플리케이션을 대상으로 하는 가장 흔하고 자주 발생하는 네트워크 및 전송 계층 DDoS 공격을 방어합니다. Amazon CloudFront 및 Amazon
Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), CloudFront Amazon 및 Amazon Route 53 리소스에서 실행되는 애플리케이션을 대상으로 하는 공격으로부터 더 높은 수준의 보호를 받으려면 구독할 수 있습니다. AWS Shield Advanced스탠다드와 함께 제공되는 네트워크 및 전송 계층 보호 외에도 AWS Shield Advanced는 크고 정교한 DDoS 공격에 대한 추가 탐지 및 방어, 공격에 대한 실시간에 가까운 가시성, 웹 애플리케이션 방화벽과의 AWS WAF통합을 제공합니다. AWS Shield Advanced 또한 연중무휴로 AWS DDoS 대응팀 (DRT) 에 액세스할 수 있으며, 아마존 엘라스틱 컴퓨트 클라우드 (Amazon EC2), 엘라스틱 로드 밸런싱 (ELB), 아마존 및 아마존 Route 53 요금에서 DDoS 관련 스파이크로부터 보호받을 수 있습니다. CloudFront
AWS Shield 어드밴스드는 전 세계 모든 아마존 CloudFront 및 아마존 Route 53 엣지 로케이션에서 사용할 수 있습니다. 애플리케이션 앞에 CloudFront Amazon을 배포하여 전 세계 어디에서든 호스팅되는 웹 애플리케이션을 보호할 수 있습니다. 오리진 서버는 Amazon S3, Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB) 또는 외부의 사용자 지정 서버일 수 있습니다. AWS버지니아 북부, 오하이오, 오레곤, 캘리포니아 북부, 몬트리올, 상파울루, 아일랜드, 프랑크푸르트, 런던, 파리, 스톡홀름, 싱가포르, 도쿄, 시드니, 서울, 뭄바이, 밀라노, 케이프타운에서도 Elastic IP 또는 Elastic Load Balancing (ELB) 에서 AWS Shield Advanced를 직접 활성화할 수 있습니다. AWS 리전
AWS IAM Identity Center
AWS IAM Identity Center
AWS WAF
AWS WAF
AWS WAF 캡차
AWS WAF Captcha는