보안, ID 및 규정 준수 - Amazon Web Services 개요

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안, ID 및 규정 준수

AWS보안, ID 및 규정 준수 카테고리 아이콘

Amazon Cognito

Amazon Cognito를 사용하면 웹 및 모바일 앱에 사용자 가입, 로그인 및 액세스 제어를 빠르고 쉽게 추가할 수 있습니다. Amazon Cognito를 사용하면 수백만 명의 사용자로 확장할 수 있으며, Apple, Facebook, Twitter 또는 Amazon과 같은 소셜 자격 증명 공급자, SAML 2.0 ID 솔루션 또는 자체 ID 시스템을 사용하여 로그인할 수 있습니다.

또한 Amazon Cognito를 사용하면 데이터를 사용자 디바이스에 로컬로 저장할 수 있으므로 디바이스가 오프라인 상태일 때도 애플리케이션이 작동할 수 있습니다. 그런 다음 사용자 디바이스 간에 데이터를 동기화하여 사용하는 디바이스에 관계없이 앱 경험이 일관되게 유지되도록 할 수 있습니다.

Amazon Cognito를 사용하면 사용자 관리, 인증 및 디바이스 간 동기화를 처리하는 솔루션의 구축, 보안 및 확장에 대해 걱정하는 대신 뛰어난 앱 경험을 만드는 데 집중할 수 있습니다.

Amazon Detective

Amazon Detective를 사용하면 잠재적 보안 문제 또는 의심스러운 활동의 근본 원인을 쉽게 분석, 조사하고 신속하게 식별할 수 있습니다. Amazon Detective는 AWS 리소스에서 로그 데이터를 자동으로 수집하고 기계 학습, 통계 분석 및 그래프 이론을 사용하여 더 빠르고 효율적인 보안 조사를 쉽게 수행할 수 있는 연결된 데이터 세트를 구축합니다. Amazon Detective는 최대 1,200개의 계정을 사용하는 조직의 모든 기존 및 미래 계정에 대한 보안 운영 및 조사를 AWS Organizations 위한 계정 관리를 더욱 단순화합니다. AWS

AWS Amazon GuardDuty, Amazon Macie 및 AWS Security Hub파트너 보안 제품과 같은 보안 서비스를 사용하여 잠재적인 보안 문제 또는 조사 결과를 식별할 수 있습니다. 이러한 서비스는 배포 과정에서 무단 액세스나 의심스러운 동작이 발생할 수 있는 시기와 위치를 알려주는 데 매우 유용합니다. AWS 하지만 발견으로 이어진 이벤트를 심층적으로 조사하여 근본 원인을 해결하려는 보안 탐지 결과가 있는 경우가 있습니다. 보안 분석 결과의 근본 원인을 파악하는 것은 보안 분석가에게 복잡한 프로세스일 수 있습니다. 이 프로세스에는 ETL (Extract, Transform and Load) 도구와 데이터를 구성하기 위한 사용자 지정 스크립팅을 사용하여 여러 데이터 원본에서 로그를 수집하고 결합하는 작업이 수반되는 복잡한 프로세스가 될 수 있습니다.

Amazon Detective는 보안 팀이 쉽게 조사하고 발견의 근본 원인을 신속하게 파악할 수 있도록 하여 이 프로세스를 간소화합니다. Detective는 아마존 가상 사설 클라우드 (VPC) 플로우 로그, 아마존 (Amazon) 과 같은 여러 데이터 소스에서 발생하는 수조 개의 이벤트를 분석할 수 있습니다. AWS CloudTrail GuardDuty Detective는 이러한 이벤트를 사용하여 리소스, 사용자 및 시간 경과에 따른 이들 간의 상호 작용에 대한 통합된 대화형 보기를 자동으로 생성합니다. 이 통합 보기를 사용하면 모든 세부 정보와 컨텍스트를 한 곳에서 시각화하여 조사 결과의 근본 원인을 파악하고 관련 과거 활동을 자세히 분석하며 근본 원인을 신속하게 파악할 수 있습니다.

에서 몇 번의 클릭만으로 Amazon Detective를 시작할 수 있습니다. AWS Management Console소프트웨어를 배포하거나 활성화하고 유지 관리할 데이터 소스가 없습니다. 새 계정에서 사용할 수 있는 30일 무료 평가판을 통해 추가 비용 없이 Detective를 사용해 볼 수 있습니다.

아마존 GuardDuty

GuardDutyAmazon은 악의적인 활동과 비정상적인 행동을 지속적으로 모니터링하여 Amazon Simple Storage Service (Amazon S3) 에 저장된 사용자 AWS 계정, 워크로드, 쿠버네티스 클러스터 및 데이터를 보호하는 위협 탐지 서비스입니다. 이 GuardDuty 서비스는 비정상적인 API 호출, 무단 배포, 계정 정찰 또는 침해 가능성을 나타내는 자격 증명 유출과 같은 활동을 모니터링합니다.

Amazon은 몇 번의 클릭만으로 AWS Management Console 가능하고 지원을 통해 조직 전체에서 쉽게 관리할 GuardDuty 수 있으므로 AWS Organizations Amazon은 AWS 계정 전반에 걸친 수십억 개의 이벤트를 즉시 분석하여 무단 사용의 흔적을 찾아낼 수 있습니다. GuardDuty 통합 위협 인텔리전스 피드와 기계 학습 이상 탐지를 통해 의심되는 공격자를 식별하여 계정 및 워크로드 활동의 이상을 탐지합니다. 잠재적인 무단 사용이 감지되면 서비스는 GuardDuty 콘솔, Amazon CloudWatch Events 및 에 자세한 결과를 제공합니다 AWS Security Hub. 따라서 발견한 내용을 실행 가능하고 기존 이벤트 관리 및 워크플로 시스템에 쉽게 통합할 수 있습니다. Amazon Detective를 콘솔에서 GuardDuty 직접 사용하면 발견의 근본 원인을 파악하기 위한 추가 조사를 쉽게 수행할 수 있습니다.

GuardDuty Amazon은 비용 효율적이고 운영하기 쉽습니다. 소프트웨어 또는 보안 인프라를 배포하고 유지 관리할 필요가 없으므로 기존 애플리케이션 및 컨테이너 워크로드에 부정적인 영향을 미칠 위험 없이 신속하게 사용할 수 있습니다. 초기 비용이 들지 않고, 소프트웨어를 배포할 필요도 없고 GuardDuty, 위협 인텔리전스 피드를 활성화할 필요도 없습니다. 또한 스마트 필터를 적용하고 위협 탐지와 관련된 로그의 일부만 분석하여 비용을 GuardDuty 최적화합니다. 새 Amazon GuardDuty 계정은 30일 동안 무료로 제공됩니다.

Amazon Inspector

Amazon Inspector는 AWS 워크로드를 지속적으로 검사하여 소프트웨어 취약성 및 의도하지 않은 네트워크 노출이 있는지 확인하는 새로운 자동 취약성 관리 서비스입니다. AWS Management Console 및 AWS Organizations에서 몇 번의 클릭만으로 조직의 모든 계정에서 Amazon Inspector를 사용할 수 있습니다. Amazon Inspector를 시작하면 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스와 Amazon Elastic Container Registry (Amazon ECR) 에 있는 컨테이너 이미지를 규모와 상관없이 자동으로 발견하고 알려진 취약성이 있는지 즉시 평가하기 시작합니다.

아마존 인스펙터는 아마존 인스펙터 클래식보다 많은 부분이 개선되었습니다. 예를 들어, 새로운 Amazon Inspector는 일반적인 취약성 및 노출 (CVE) 정보를 네트워크 액세스 및 악용 가능성과 같은 요소와 상호 연관시켜 각 발견에 대해 매우 상황에 맞는 위험 점수를 계산합니다. 이 점수는 가장 심각한 취약성의 우선 순위를 지정하여 해결 대응 효율성을 개선하는 데 사용됩니다. 또한 Amazon Inspector는 이제 널리 배포된 AWS Systems Manager 에이전트 (SSM 에이전트) 를 사용하므로 Amazon EC2 인스턴스 평가를 실행하기 위해 독립형 에이전트를 배포하고 유지 관리할 필요가 없습니다. 컨테이너 워크로드의 경우, Amazon Inspector는 이제 Amazon Elastic Container 레지스트리 (Amazon ECR) 와 통합되어 컨테이너 이미지에 대한 지능적이고 비용 효율적이며 지속적인 취약성 평가를 지원합니다. 모든 조사 결과는 Amazon Inspector 콘솔에 집계되어 Amazon으로 전달되고 AWS Security Hub Amazon을 통해 푸시되므로 티켓팅과 같은 워크플로가 자동화됩니다. EventBridge

Amazon Inspector를 처음 사용하는 모든 계정은 서비스를 평가하고 비용을 추정할 수 있는 15일 무료 평가판을 이용할 수 있습니다. 평가 기간 동안 Amazon ECR로 푸시된 모든 적격 Amazon EC2 인스턴스와 컨테이너 이미지는 무료로 계속 스캔됩니다.

Amazon Macie

Amazon Macie는 인벤토리 평가, 기계 학습 및 패턴 매칭을 사용하여 Amazon S3 환경에서 민감한 데이터와 접근성을 검색하는 완전 관리형 데이터 보안 및 데이터 개인 정보 보호 서비스입니다. Macie는 버킷의 변경 사항을 자동으로 추적하고 시간이 지남에 따라 새 객체나 수정된 객체만 평가하는 확장 가능한 온디맨드 및 자동화된 민감한 데이터 검색 작업을 지원합니다. Macie를 사용하면 여러 유형의 금융 데이터, 개인 건강 정보 (PHI), 개인 식별 정보 (PII) 및 사용자 지정 유형을 포함하여 여러 국가 및 지역에서 점점 더 많은 민감한 데이터 유형 목록을 탐지할 수 있습니다. 또한 Macie는 Amazon S3 환경을 지속적으로 평가하여 모든 계정에 대한 S3 리소스 요약 및 보안 평가를 제공합니다. 버킷 이름, 태그, 암호화 상태 또는 공개 접근성과 같은 보안 제어와 같은 메타데이터 변수를 기준으로 S3 버킷을 검색, 필터링 및 정렬할 수 있습니다. 암호화되지 않은 버킷, 공개적으로 액세스할 수 있는 버킷 또는 정의한 AWS 계정 외부 사람과 공유된 버킷의 AWS Organizations경우 조치를 취하라는 알림을 받을 수 있습니다.

다중 계정 구성에서는 단일 Macie 관리자 계정으로 모든 구성원 계정을 관리할 수 있습니다. 여기에는 계정 간의 민감한 데이터 검색 작업 생성 및 관리가 포함됩니다. AWS Organizations보안 및 민감한 데이터 검색 결과는 Macie 관리자 계정에 집계되어 Amazon CloudWatch Events 및 으로 전송됩니다. AWS Security Hub이제 하나의 계정을 사용하여 이벤트 관리, 워크플로 및 티켓팅 시스템과 통합하거나 Macie 결과를 사용하여 수정 조치를 자동화할 수 있습니다. AWS Step Functions 새 계정에 S3 버킷 인벤토리 및 버킷 수준 평가를 무료로 제공하는 30일 평가판을 사용하여 Macie를 빠르게 시작할 수 있습니다. 버킷 평가를 위한 30일 평가판에는 민감한 데이터 검색이 포함되지 않습니다.

Amazon Security Lake

Amazon Security Lake는 환경, SaaS 제공업체, 온프레미스 및 클라우드 소스의 보안 데이터를 특정 용도에 맞게 구축된 데이터 레이크로 중앙 집중화하여 사용자 AWS 환경에 저장합니다. AWS 계정 Security Lake는 계정 전반의 보안 데이터 수집 및 관리를 AWS 리전 자동화하므로 보안 데이터에 대한 통제력과 소유권을 유지하면서 선호하는 분석 도구를 사용할 수 있습니다. Security Lake를 사용하면 워크로드, 애플리케이션 및 데이터에 대한 보호도 개선할 수 있습니다.

Security Lake는 통합 서비스 및 타사 서비스에서 보안 관련 로그 및 이벤트 데이터를 자동으로 수집합니다. AWS 또한 사용자 지정 가능한 보존 설정으로 데이터 라이프사이클을 관리할 수 있습니다. 데이터 레이크는 Amazon S3 버킷의 지원을 받으며 데이터에 대한 소유권은 사용자에게 있습니다. Security Lake는 수집된 데이터를 Apache Parquet 형식과 개방형 사이버 보안 스키마 프레임워크 (OCSF) 라는 표준 오픈 소스 스키마로 변환합니다. OCSF 지원을 통해 Security Lake는 광범위한 엔터프라이즈 보안 데이터 소스의 보안 데이터를 AWS 정규화하고 결합합니다.

다른 AWS 서비스 및 타사 서비스는 사고 대응 및 보안 데이터 분석을 위해 Security Lake에 저장된 데이터를 구독할 수 있습니다.

Amazon Verified Permissions

Amazon Verified Permissions는 사용자가 구축한 사용자 지정 애플리케이션을 위한 확장 가능하고 세분화된 권한 관리 및 권한 부여 서비스입니다. Verified Permissions를 사용하면 외부에서 권한을 부여하고 중앙에서 정책을 관리하고 운영하여 개발자가 안전한 애플리케이션을 더 빠르게 빌드할 수 있습니다.

검증된 권한은 오픈 소스 정책 언어 및 SDK인 Cedar를 사용하여 애플리케이션 사용자에 대한 세분화된 권한을 정의합니다. 권한 부여 모델은 주요 유형, 리소스 유형 및 유효한 작업을 사용하여 정의되며, 지정된 애플리케이션 컨텍스트에서 누가 어떤 리소스에 대해 어떤 작업을 수행할 수 있는지 제어합니다. 정책 변경이 감사되므로 누가 언제 변경했는지 확인할 수 있습니다.

AWS Artifact

AWS Artifact중요한 규정 준수 관련 정보를 찾을 수 있는 중앙 리소스입니다. AWS 보안 및 규정 준수 보고서와 엄선된 온라인 계약에 대한 온디맨드 액세스를 제공합니다. 제공되는 AWS Artifact 보고서에는 당사의 SOC (서비스 조직 통제) 보고서, PCI (Payment Card Industry) 보고서, 그리고 보안 통제의 구현 및 운영 효율성을 검증하는 여러 지역 및 규정 준수 분야의 인증 기관이 제공하는 인증이 포함됩니다. AWS 에서 확인할 수 있는 계약에는 비즈니스 제휴 부록 (BAA) 및 비밀 유지 계약 (NDA) 이 AWS Artifact 포함됩니다.

AWS Audit Manager

AWS Audit Manager AWS 사용량을 지속적으로 감사하여 위험과 규정 및 업계 표준 준수를 평가하는 방법을 간소화할 수 있습니다. Audit Manager는 증거 수집을 자동화하여 감사 시 자주 발생하는 “모든 수작업”을 줄이고 비즈니스가 성장함에 따라 클라우드에서 감사 기능을 확장할 수 있도록 합니다. Audit Manager를 사용하면 정책, 절차 및 활동 (통제라고도 함) 이 효과적으로 운영되고 있는지 쉽게 평가할 수 있습니다. 감사 시기가 되면 제어 기능에 대한 이해 관계자의 검토를 관리하고 훨씬 적은 수작업으로 감사에 바로 사용할 수 있는 보고서를 작성할 수 있습니다. AWS Audit Manager

AWS Audit Manager 사전 구축된 프레임워크는 AWS 리소스를 CIS AWS Foundation Benchmark, 일반 데이터 보호 규정 (GDPR), 결제 카드 산업 데이터 보안 표준 (PCI DSS) 과 같은 업계 표준 또는 규정의 요구 사항에 매핑하여 클라우드 서비스의 증거를 감사자 친화적인 보고서로 변환하는 데 도움이 됩니다. 또한 고유한 비즈니스 요구 사항에 맞게 프레임워크와 해당 제어를 완전히 사용자 지정할 수 있습니다. 선택한 프레임워크를 기반으로 Audit Manager는 AWS 계정 및 리소스로부터 리소스 구성 스냅샷, 사용자 활동, 규정 준수 검사 결과 등 관련 증거를 지속적으로 수집하고 구성하는 평가를 시작합니다.

에서 빠르게 시작할 수 있습니다. AWS Management Console사전 구축된 프레임워크를 선택하기만 하면 평가를 시작하고 자동으로 증거를 수집 및 구성하기 시작할 수 있습니다.

AWS Certificate Manager

AWS Certificate Manager서비스 및 내부 연결 리소스와 함께 사용할 수 있도록 SSL/TLS (Secure Sockets Layer/Transport Layer Security) 인증서를 쉽게 프로비저닝, 관리 및 배포할 수 있는 서비스입니다. AWS SSL/TLS 인증서는 네트워크 통신을 보호하고 인터넷을 통한 웹 사이트의 ID와 사설 네트워크의 리소스를 설정하는 데 사용됩니다. AWS Certificate Manager SSL/TLS 인증서를 구매, 업로드 및 갱신하는 데 시간이 많이 걸리는 수동 프로세스를 제거합니다.

를 사용하면 인증서를 빠르게 요청하고, Elastic Load Balancing, Amazon 배포, API Gateway 기반 API와 같은 ACM 통합 AWS 리소스에 CloudFront 배포하고, 인증서 갱신을 처리할 수 있습니다. AWS Certificate Manager AWS Certificate Manager 또한 내부 리소스를 위한 사설 인증서를 생성하고 인증서 수명 주기를 중앙에서 관리할 수 있습니다. ACM 통합 서비스에 사용하기 AWS Certificate Manager 위해 프로비저닝된 공인 및 사설 인증서는 무료입니다. 애플리케이션을 실행하기 위해 생성한 AWS 리소스에 대해서만 비용을 지불하면 됩니다.

를 사용하면 사설 CA (인증 기관) 운영 비용과 발급한 사설 인증서에 대해 매월 비용을 지불합니다. 자체 사설 CA를 운영하는 데 드는 선불 투자와 지속적인 유지 관리 비용 없이 가용성이 뛰어난 사설 CA 서비스를 이용할 수 있습니다. AWS Private Certificate Authority

AWS CloudHSM

클라우드 기반 하드웨어 보안 모듈 (HSM) 으로, 이를 통해 자체 암호화 키를 쉽게 생성하고 사용할 수 있습니다. AWS CloudHSM AWS 클라우드를 사용하면 FIPS 140-2 레벨 3 인증 전용 HSM을 사용하여 자체 암호화 키를 관리할 수 있습니다. AWS CloudHSM AWS CloudHSM PKCS #11, 자바 암호화 확장 (JCE) 및 Microsoft CryptONG (CNG) 라이브러리와 같은 업계 표준 API를 사용하여 애플리케이션과 통합할 수 있는 유연성을 제공합니다.

AWS CloudHSM 표준을 준수하며 구성에 따라 모든 키를 다른 상용 HSM으로 내보낼 수 있습니다. 하드웨어 프로비저닝, 소프트웨어 패치, 고가용성, 백업 등 시간이 많이 걸리는 관리 작업을 자동화하는 완전 관리형 서비스입니다. AWS CloudHSM 또한 사전 비용 없이 온디맨드로 HSM 용량을 추가 및 제거하여 빠르게 확장할 수 있습니다.

AWS Directory Service

AWS Directory ServiceMicrosoft Active Directory라고도 AWS Managed Microsoft AD하는 경우 디렉터리 인식 워크로드와 AWS 리소스가 에서 관리형 Active Directory를 사용할 수 있도록 합니다. AWS 클라우드 AWS Managed Microsoft AD 실제 Microsoft Active Directory를 기반으로 구축되므로 기존 Active Directory의 데이터를 클라우드로 동기화하거나 복제할 필요가 없습니다. 표준 Active Directory 관리 도구를 사용하고 그룹 정책 및 싱글 사인온 (SSO) 과 같은 기본 제공 Active Directory 기능을 활용할 수 있습니다. 를 사용하면 Amazon EC2SQL Server용 Amazon RDS 인스턴스를 도메인에 쉽게 가입하고 WorkSpacesAmazon 같은 AWS 엔터프라이즈 IT 애플리케이션을 Active Directory 사용자 및 그룹과 함께 사용할 수 있습니다. AWS Managed Microsoft AD

AWS Firewall Manager

AWS Firewall Manager에서 계정 및 애플리케이션 전반의 방화벽 규칙을 중앙에서 구성하고 관리할 수 있는 보안 관리 서비스입니다. AWS Organizations 새 애플리케이션이 생성되면 Firewall Manager를 사용하면 공통 보안 규칙 세트를 적용하여 새 애플리케이션과 리소스를 손쉽게 규정을 준수할 수 있습니다. 이제 단일 서비스를 통해 중앙 관리자 계정을 통해 방화벽 규칙을 구축하고, 보안 정책을 만들고, 전체 인프라에서 일관되고 계층적인 방식으로 적용할 수 있습니다.

AWS Identity and Access Management

AWS Identity and Access Management(IAM) 을 사용하면 AWS 사용자, 그룹 및 역할의 AWS 서비스 및 리소스에 대한 액세스를 안전하게 제어할 수 있습니다. IAM을 사용하면 권한이 포함된 세분화된 액세스 제어를 생성 및 관리하고, 누가 어떤 조건에서 어떤 서비스와 리소스에 액세스할 수 있는지 지정할 수 있습니다. IAM을 사용하면 다음을 수행할 수 있습니다.

  • AWS IAM Identity Center(IAM ID 센터) 에서 직원 사용자 및 워크로드에 대한 AWS 권한을 관리합니다. IAM Identity Center를 사용하면 여러 계정의 사용자 액세스를 관리할 수 있습니다. AWS 클릭 몇 번으로 고가용성 서비스를 활성화하고 다중 계정 액세스와 모든 계정에 대한 권한을 중앙에서 AWS Organizations쉽게 관리할 수 있습니다. IAM 아이덴티티 센터에는 Salesforce, Box 및 Microsoft Office 365와 같은 많은 비즈니스 애플리케이션에 대한 SAML 통합 기능이 내장되어 있습니다. 또한 SAML (보안 어설션 마크업 언어) 2.0 통합을 생성하고 싱글 사인온 액세스를 모든 SAML 지원 애플리케이션으로 확장할 수 있습니다. 사용자는 구성한 자격 증명을 사용하거나 기존 회사 자격 증명을 사용하여 사용자 포털에 로그인하기만 하면 한 곳에서 할당된 모든 계정과 애플리케이션에 액세스할 수 있습니다.

  • 단일 계정 IAM 권한 관리: 권한을 사용하여 AWS 리소스에 대한 액세스를 지정할 수 있습니다. IAM 개체 (사용자, 그룹, 역할) 는 기본적으로 권한 없이 시작합니다. 액세스 유형, 수행할 수 있는 작업, 작업을 수행할 수 있는 리소스를 지정하는 IAM 정책을 연결하여 이러한 ID에 권한을 부여할 수 있습니다. 액세스를 허용하거나 거부하기 위해 설정해야 하는 조건을 지정할 수도 있습니다.

  • 단일 계정 IAM 역할 관리: IAM 역할을 사용하면 일반적으로 조직의 리소스에 액세스할 수 없는 사용자 또는 서비스에 액세스 권한을 위임할 수 있습니다. AWS IAM 사용자 또는 AWS 서비스가 역할을 맡아 API 호출에 사용되는 임시 보안 자격 증명을 받을 수 있습니다. AWS 장기 자격 증명을 공유하거나 각 ID에 대한 권한을 정의할 필요가 없습니다.

AWS Key Management Service

AWS Key Management Service(AWS KMS) 를 사용하면 암호화 키를 쉽게 생성 및 관리하고 다양한 AWS 서비스와 애플리케이션에서 암호화 키 사용을 제어할 수 있습니다. AWS KMS 하드웨어 보안 모듈 (HSM) 을 사용하여 FIPS 140-2 암호화 모듈 검증 프로그램에 따라 AWS KMS 키를 보호하고 검증합니다. AWS KMS 와 AWS CloudTrail 통합되어 모든 키 사용에 대한 로그를 제공하여 규제 및 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.

AWS Network Firewall

AWS Network Firewall은(는) 모든 Amazon Virtual Private Cloud(VPC)에 필수 네트워크 보호 기능을 손쉽게 배포할 수 있도록 해주는 관리형 서비스입니다. 클릭 몇 번으로 서비스를 설정하고 네트워크 트래픽에 따라 자동으로 확장되므로 인프라 배포 및 관리에 대해 걱정할 필요가 없습니다. AWS Network Firewall의 유연한 규칙 엔진을 사용하면 악의적인 활동의 확산을 방지하기 위해 아웃바운드 서버 메시지 블록 (SMB) 요청을 차단하는 등 네트워크 트래픽을 세밀하게 제어할 수 있는 방화벽 규칙을 정의할 수 있습니다. 또한 일반적인 오픈 소스 규칙 형식으로 이미 작성한 규칙을 가져오고 파트너가 제공하는 관리형 인텔리전스 피드와 통합할 수 있습니다. AWS AWS Network Firewall 와 함께 AWS Firewall Manager 작동하므로 AWS Network Firewall 규칙을 기반으로 정책을 구축한 다음 해당 정책을 VPC와 계정 전체에 중앙에서 적용할 수 있습니다.

AWS Network Firewall 일반적인 네트워크 위협으로부터 보호하는 기능을 포함합니다. AWS Network Firewall 스테이트풀 방화벽은 연결 추적 및 프로토콜 식별과 같은 트래픽 흐름의 컨텍스트를 통합하여 VPC가 승인되지 않은 프로토콜을 사용하여 도메인에 액세스하는 것을 방지하는 등의 정책을 적용할 수 있습니다. AWS Network Firewall 침입 방지 시스템 (IPS) 은 능동적 트래픽 흐름 검사를 제공하므로 서명 기반 탐지를 사용하여 취약성 악용을 식별하고 차단할 수 있습니다. AWS Network Firewall 또한 알려진 잘못된 URL로 향하는 트래픽을 차단하고 검증된 도메인 이름을 모니터링할 수 있는 웹 필터링을 제공합니다.

Amazon VPC Console을 AWS Network Firewall 방문하여 방화벽 규칙을 생성하거나 가져오고, 이를 정책으로 그룹화하고, 보호하려는 VPC에 적용하는 것으로 쉽게 시작할 수 있습니다. AWS Network Firewall 요금은 배포된 방화벽의 수와 검사된 트래픽의 양을 기준으로 책정됩니다. 사전 약정이 없으며 사용한 만큼만 비용을 지불하면 됩니다.

AWS Resource Access Manager

AWS Resource Access Manager(AWS RAM) 를 사용하면 AWS 계정 전체, 조직 또는 AWS Organizations의 조직 단위 (OU) 내, 지원되는 리소스 유형의 IAM 역할 및 IAM 사용자와 리소스를 안전하게 공유할 수 있습니다. 를 AWS RAM 사용하여 전송 게이트웨이, 서브넷, AWS License Manager 라이선스 구성, Amazon Route 53 Resolver 규칙 및 기타 리소스 유형을 공유할 수 있습니다.

많은 조직에서는 관리 또는 청구 격리를 만들고 오류의 영향을 제한하기 위해 여러 계정을 사용합니다. AWS RAM를 사용하면 여러 AWS 계정에서 중복된 리소스를 만들 필요가 없습니다. 이를 통해 소유하고 있는 모든 계정의 리소스를 관리하는 데 드는 운영 오버헤드가 줄어듭니다. 대신 다중 계정 환경에서는 리소스를 한 번 만든 다음 리소스 공유를 만들어 계정 간에 해당 리소스를 공유하는 AWS RAM 데 사용할 수 있습니다. 리소스 공유를 생성할 때는 공유할 리소스를 선택하고, 리소스 유형별 AWS RAM 관리 권한을 선택하고, 리소스에 액세스할 사용자를 지정합니다. AWS RAM 추가 비용 없이 사용할 수 있습니다.

AWS Secrets Manager

AWS Secrets Manager는 애플리케이션, 서비스, IT 리소스에 액세스하는 데 필요한 보안 암호를 보호하도록 도와줍니다. 이 서비스를 사용하면 수명 주기 전반에 걸쳐 데이터베이스 자격 증명, API 키 및 기타 암호를 쉽게 교체, 관리 및 검색할 수 있습니다. 사용자와 애플리케이션은 Secrets Manager API를 호출하여 보안 정보를 검색하므로 민감한 정보를 일반 텍스트로 하드코딩할 필요가 없습니다. Secrets Manager는 Amazon RDS, Amazon Redshift 및 Amazon DocumentDB에 대한 통합 기능이 내장된 보안 로테이션을 제공합니다. 이 서비스는 API 키 및 OAuth 토큰을 비롯한 다른 유형의 비밀로도 확장할 수 있습니다. 또한 Secrets Manager를 사용하면 세분화된 권한을 사용하여 비밀에 대한 액세스를 제어하고 AWS 클라우드, 타사 서비스 및 온프레미스의 리소스에 대한 비밀 로테이션을 중앙에서 감사할 수 있습니다.

AWS Security Hub

AWS Security Hub리소스에 대해 자동화되고 지속적인 보안 모범 사례 검사를 수행하는 클라우드 보안 상태 관리 서비스입니다. AWS Security Hub는 다양한 AWS 서비스 및 파트너 제품의 보안 경고 (예: 결과) 를 표준화된 형식으로 집계하므로 보다 쉽게 조치를 취할 수 있습니다. 의 보안 상태를 완벽하게 파악하려면 Amazon의 위협 탐지 AWS, Amazon Inspector의 취약성 GuardDuty, Amazon Macie의 민감한 데이터 분류, 리소스 구성 문제, 제품 등 여러 도구 및 서비스를 통합해야 합니다. AWS Config AWS Partner Network Security Hub는 AWS Config 규칙을 기반으로 하는 자동화된 보안 모범 사례 검사와 수십 개의 AWS 서비스 및 파트너 제품과의 자동화된 통합을 통해 보안 상태를 이해하고 개선하는 방법을 단순화합니다.

Security Hub를 사용하면 모든 AWS 계정의 통합 보안 점수를 통해 전반적인 보안 상태를 파악하고, AWS 기본 보안 모범 사례 (FSBP) 표준 및 기타 규정 준수 프레임워크를 통해 AWS 계정 리소스의 보안을 자동으로 평가할 수 있습니다. 또한 보안 탐지 결과 형식 (ASFF) 을 통해 수십 개의 AWS 보안 서비스 및 APN 제품에서 얻은 모든AWS 보안 결과를 단일 위치 및 형식으로 집계하고, 자동 응답 및 수정 지원을 통해 평균 수정 시간 (MTTR) 을 단축합니다. Security Hub는 티켓팅, 채팅, 보안 정보 및 이벤트 관리 (SIEM), 보안 오케스트레이션 자동화 및 대응 (SOAR), 위협 조사, 거버넌스 위험 및 규정 준수 (GRC), 사고 관리 도구와 out-of-the-box 통합되어 사용자에게 완전한 보안 운영 워크플로를 제공합니다.

Security Hub를 AWS Management Console 시작하려면 30일 무료 평가판을 사용하여 몇 번의 클릭만으로 결과를 집계하고 보안 검사를 수행할 수 있습니다. Security AWS Organizations Hub를 와 통합하여 조직의 모든 계정에서 서비스를 자동으로 활성화할 수 있습니다.

AWS Shield

AWS Shield에서 실행되는 웹 애플리케이션을 보호하는 관리형 분산 서비스 거부 (DDoS) 보호 서비스입니다. AWS AWS Shield 애플리케이션 다운타임과 대기 시간을 최소화하는 상시 탐지 및 자동 인라인 완화 기능을 제공하므로 직접 개입하지 않아도 DDoS 보호 혜택을 누릴 수 있습니다. AWS Support 표준과 고급의 두 가지 티어가 있습니다. AWS Shield

모든 AWS 고객은 추가 비용 없이 AWS Shield Standard의 자동 보호 기능을 활용할 수 있습니다. AWS Shield Standard 웹 사이트 또는 애플리케이션을 대상으로 하는 가장 흔하고 자주 발생하는 네트워크 및 전송 계층 DDoS 공격을 방어합니다. Amazon CloudFront 및 Amazon Route 53과 AWS Shield Standard 함께 사용하면 알려진 모든 인프라 (계층 3 및 4) 공격에 대한 포괄적인 가용성 보호를 받을 수 있습니다.

Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), CloudFront Amazon 및 Amazon Route 53 리소스에서 실행되는 애플리케이션을 대상으로 하는 공격으로부터 더 높은 수준의 보호를 받으려면 구독할 수 있습니다. AWS Shield Advanced스탠다드와 함께 제공되는 네트워크 및 전송 계층 보호 외에도 AWS Shield Advanced는 크고 정교한 DDoS 공격에 대한 추가 탐지 및 방어, 공격에 대한 실시간에 가까운 가시성, 웹 애플리케이션 방화벽과의 AWS WAF통합을 제공합니다. AWS Shield Advanced 또한 연중무휴로 AWS DDoS 대응팀 (DRT) 에 액세스할 수 있으며, 아마존 엘라스틱 컴퓨트 클라우드 (Amazon EC2), 엘라스틱 로드 밸런싱 (ELB), 아마존 및 아마존 Route 53 요금에서 DDoS 관련 스파이크로부터 보호받을 수 있습니다. CloudFront

AWS Shield 어드밴스드는 전 세계 모든 아마존 CloudFront 및 아마존 Route 53 엣지 로케이션에서 사용할 수 있습니다. 애플리케이션 앞에 CloudFront Amazon을 배포하여 전 세계 어디에서든 호스팅되는 웹 애플리케이션을 보호할 수 있습니다. 오리진 서버는 Amazon S3, Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB) 또는 외부의 사용자 지정 서버일 수 있습니다. AWS버지니아 북부, 오하이오, 오레곤, 캘리포니아 북부, 몬트리올, 상파울루, 아일랜드, 프랑크푸르트, 런던, 파리, 스톡홀름, 싱가포르, 도쿄, 시드니, 서울, 뭄바이, 밀라노, 케이프타운에서도 Elastic IP 또는 Elastic Load Balancing (ELB) 에서 AWS Shield Advanced를 직접 활성화할 수 있습니다. AWS 리전

AWS IAM Identity Center

AWS IAM Identity Center(SSO) 는 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 SSO 액세스를 중앙에서 쉽게 관리할 수 있는 클라우드 SSO 서비스입니다. 자체 SSO 인프라를 운영하는 데 드는 사전 투자와 지속적인 유지 관리 비용 없이 클릭 몇 번으로 가용성이 높은 SSO 서비스를 사용할 수 있습니다. IAM Identity Center를 사용하면 모든 계정에 대한 SSO 액세스 및 사용자 권한을 중앙에서 쉽게 관리할 수 있습니다. AWS Organizations 또한 IAM 아이덴티티 센터에는 Salesforce, Box 및 Microsoft Office 365와 같은 많은 비즈니스 애플리케이션에 대한 SAML 통합 기능이 내장되어 있습니다. 또한 IAM ID 센터 애플리케이션 구성 마법사를 사용하여 SAML (보안 어설션 마크업 언어) 2.0 통합을 생성하고 SSO 액세스를 모든 SAML 지원 애플리케이션으로 확장할 수 있습니다. 사용자는 IAM Identity Center에서 구성한 자격 증명을 사용하거나 기존 기업 자격 증명을 사용하여 사용자 포털에 로그인하기만 하면 한 곳에서 할당된 모든 계정과 애플리케이션에 액세스할 수 있습니다.

AWS WAF

AWS WAF가용성에 영향을 미치거나 보안을 손상시키거나 리소스를 과도하게 소비할 수 있는 일반적인 웹 공격 및 봇으로부터 웹 애플리케이션 또는 API를 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. AWS WAF 봇 트래픽을 제어하고 SQL 삽입 또는 크로스 사이트 스크립팅과 같은 일반적인 공격 패턴을 차단하는 보안 규칙을 만들 수 있으므로 트래픽이 애플리케이션에 도달하는 방식을 제어할 수 있습니다. 특정 트래픽 패턴을 필터링하는 규칙을 사용자 지정할 수도 있습니다. OWASP Top 10 보안 위험 AWS WAF, 과도한 리소스 소비, 지표 왜곡 AWS 또는 다운타임을 유발할 수 있는 자동 봇 등의 문제를 해결하기 위해 또는 AWS Marketplace 셀러가 관리하는 사전 구성된 규칙 집합인 Managed Rules를 사용하여 빠르게 시작할 수 있습니다. 이러한 규칙은 새로운 문제가 발생할 때마다 정기적으로 업데이트됩니다. AWS WAF 보안 규칙의 생성, 배포 및 유지 관리를 자동화하는 데 사용할 수 있는 모든 기능을 갖춘 API가 포함되어 있습니다.

AWS WAF 캡차

AWS WAF Captcha는 웹 요청이 보호된 리소스에 도달하기 전에 사용자가 챌린지를 성공적으로 완료하도록 요구함으로써 원치 않는 봇 트래픽을 차단하는 데 도움이 됩니다. AWS WAF 로그인, 검색, 양식 제출과 같이 봇이 자주 대상으로 삼는 특정 리소스에 대해 WAF Captcha 문제를 해결하도록 요구하는 AWS WAF 규칙을 구성할 수 있습니다. 또한 AWS WAF Bot Control 또는 Amazon IP 평판 목록과 같이 생성된 속도, 속성 또는 레이블을 기반으로 의심스러운 요청에 대해 WAF Captcha 챌린지를 요구할 수 있습니다. AWS Managed Rules WAF Captcha 챌린지는 사람이 사용하기에도 간단하면서도 봇에 대해서는 여전히 효과적입니다. WAF Captcha에는 오디오 버전이 포함되어 있으며 WCAG (웹 콘텐츠 접근성 지침) 접근성 요구 사항을 충족하도록 설계되었습니다.