서비스 도메인 인시던트
서비스 도메인 인시던트는 일반적으로 AWS API를 통해서만 처리됩니다.
자격 증명
AWS는 수백만 명의 고객이 새로운 애플리케이션을 구축하고 비즈니스 성과를 창출하는 데 사용하는 API를 AWS 클라우드 서비스에 제공합니다. 이러한 API는 소프트웨어 개발 키트(SDK), AWS CLI, AWS Management Console 등 여러 가지 방법을 통해 호출할 수 있습니다. 이러한 방법으로 AWS와 상호 작용하려는 경우 IAM 서비스를 통해 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있습니다. IAM을 사용하면 리소스를 사용하도록 인증(로그인함) 및 권한 부여(권한 있음)된 대상을 제어할 수 있습니다. IAM과 함께 사용할 수 있는 AWS 서비스 목록은 IAM과 작동하는 AWS 서비스를 참조하세요.
AWS 계정을 처음 생성하는 경우에는 전체 AWS 서비스 및 계정 리소스에 대해 완전한 액세스 권한을 지닌 통합 인증(SSO) 자격 증명으로 시작합니다. 이 자격 증명을 AWS 계정 루트 사용자라고 하며, 계정을 생성할 때 사용한 이메일 주소와 암호로 로그인하여 액세스합니다. 일상적인 작업, 특히 관리 작업에는 루트 사용자를 사용하지 않는 것이 좋습니다. 대신, IAM 사용자를 처음 생성할 때만 루트 사용자를 사용하는 모범 사례를 따르는 것이 좋습니다. 그런 다음 루트 사용자 자격 증명은 안전하게 보관하다가 몇몇 계정 및 서비스 관리 작업을 수행할 때만 사용하세요. 자세한 내용은 개별 IAM 사용자 생성을 참조하세요.
이러한 API는 수백만 명의 고객에게 가치를 제공하지만 악의를 가진 개인이 IAM 계정 또는 루트 자격 증명에 액세스하면 일부 API가 악용될 수 있습니다. 예를 들어, API를 사용하여 사용자의 계정 내에서 로깅(예: AWS CloudTrail)을 활성화할 수 있습니다. 공격자가 사용자의 자격 증명을 알아내 API를 사용하여 이러한 로그를 비활성화할 수도 있습니다. 최소 권한 모델을 따르는 적절한 IAM 권한을 구성하고 IAM 자격 증명을 적절히 보호하여 이러한 유형의 부정 사용을 방지할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서의 IAM 모범 사례를 참조하세요. 이러한 유형의 이벤트가 발생할 경우를 대비하여 AWS CloudTrail, AWS Config, AWS Trusted Advisor, Amazon GuardDuty 및 AWS CloudWatch Events를 포함하여 AWS CloudTrail 로깅이 비활성화되었음을 식별할 수 있는 여러 탐지 컨트롤이 있습니다.
리소스
악용되거나 잘못 구성될 수 있는 기타 기능은 각 고객이 클라우드에서 운영하는 방식에 따라 조직마다 다릅니다. 예를 들어, 일부 조직에서는 특정 데이터 또는 애플리케이션에 공개적으로 액세스할 수 있도록 하고 다른 조직에서는 애플리케이션과 데이터를 내부에서만 사용하도록 허용하고 기밀로 유지하려고 합니다. 모든 보안 이벤트가 악의적 행위를 나타내는 것은 아니며, 일부 이벤트는 의도하지 않거나 부적절한 구성으로 인해 발생할 수 있습니다. 조직에 큰 영향을 미치는 API나 기능이 무엇인지, 해당 API나 기능을 자주 사용하는지 등을 고려하세요.
도구 및 서비스를 사용하면 많은 보안 구성 오류를 식별할 수 있습니다. 예를 들어 AWS Trusted Advisor에서는 모범 사례에 대한 여러 가지 검사를 제공합니다. APN 파트너는 고객 온프레미스 환경의 기존 제어 솔루션과 동등하거나 기존 솔루션과 통합된 업계 최고 수준의 수백 가지 제품을 제공합니다. 이러한 제품 및 솔루션 중 다수는 AWS 파트너 컴피턴시 프로그램
