SEC 1: 워크로드를 안전하게 운영하려면 어떻게 해야 합니까?

워크로드를 안전하게 운영하려면 모든 보안 영역에 포괄적 모범 사례를 적용해야 합니다. 조직 및 워크로드 수준에서 운영 우수성에 정의된 요구 사항과 프로세스를 가져와 모든 영역에 적용합니다. AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됩니다. 보안 프로세스, 테스트 및 검증을 자동화함으로써 보안 작업을 확장할 수 있습니다.

리소스

Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in your AWS Organization

모범 사례:

개선 계획

계정을 사용하는 별도의 워크로드

  • AWS Organizations 사용: AWS Organizations를 사용하여 여러 AWS 계정을 정책 기반으로 관리하는 방식을 중앙 집중식으로 적용합니다.
    Getting started with AWS Organizations
    How to use service control policies to set permission guardrails across accounts in your AWS Organization
  • AWS Control Tower 고려: AWS Control Tower는 모범 사례를 기반으로 안전하고 새로운 다중 계정 AWS 환경을 설정하고 관리할 수 있는 간편한 방법을 제공합니다.
    AWS Control Tower
  • 보안 AWS 계정

  • AWS Organizations 사용: AWS Organizations를 사용하여 여러 AWS 계정을 정책 기반으로 관리하는 방식을 중앙 집중식으로 적용합니다.
    Getting started with AWS Organizations
    How to use service control policies to set permission guardrails across accounts in your AWS Organization
  • AWS 루트 사용자의 사용 제한: 루트 사용자가 꼭 필요한 태스크를 수행할 때만 루트 사용자를 사용합니다.
    AWS Tasks That Require AWS Account Root User Credentials
  • 루트 사용자에 대해 MFA 활성화: AWS Organizations에서 루트 사용자를 관리하지 않는 경우 AWS 계정 루트 사용자에 대해 MFA를 활성화합니다.
    Lab: AWS account and root user
    Root user
  • 주기적으로 루트 사용자 암호 변경: 루트 사용자 암호를 변경하면 저장된 암호가 사용될 위험이 줄어듭니다. AWS Organizations를 사용하지 않고 누구나 물리적으로 액세스할 수 있는 경우 이는 특히 중요합니다.
    Changing the AWS account root user password
  • AWS 계정 루트 사용자가 사용될 경우 알림 활성화: 알림을 자동으로 수신하면 위험이 줄어듭니다.
    How to receive notifications when your AWS account's root access keys are used
  • 새로 추가된 리전에 대한 액세스 제한: 새 AWS 리전의 경우 사용자 및 역할과 같은 IAM 리소스는 활성화된 리전으로만 전파됩니다.
    Setting permissions to enable accounts for upcoming AWS Regions
  • CloudFormation StackSets 사용 고려: CloudFormation StackSets를 사용하여 IAM 정책, 역할 및 그룹을 포함한 리소스를 승인된 템플릿에서 다양한 AWS 계정과 리전에 배포할 수 있습니다.
    Use CloudFormation StackSets
  • 제어 목표 파악 및 검증

  • 규정 준수 요구 사항 파악: 워크로드가 준수해야 하는 조직/법적/규정 준수 요구 사항을 파악합니다.
  • AWS 규정 준수 리소스 확인: 규정 준수를 지원하기 위해 AWS에서 제공하는 리소스를 파악합니다.
    https://aws.amazon.com/compliance/
    https://aws.amazon.com/artifact/
  • 최신 보안 위협 정보 파악

  • 위협 정보 출처 구독: 워크로드에 사용된 기술과 관련이 있는 여러 출처의 위협 정보를 정기적으로 검토합니다.
    Common Vulnerabilities and Exposures List
  • AWS Shield Advanced 서비스 사용 고려: 인터넷을 통해 워크로드에 액세스할 수 있는 경우 인텔리전스 소스에 대한 실시간에 가까운 가시성을 제공합니다.
    AWS Shield
  • 최신 보안 권장 사항 파악

  • AWS 업데이트 팔로우: 새로운 권장 사항, 팁 및 요령을 구독하거나 정기적으로 확인합니다.
    AWS Well-Architected Labs
    AWS security blog
    AWS service documentation
  • 업계 뉴스 구독: 워크로드에 사용된 기술과 관련이 있는 여러 출처의 뉴스 피드를 정기적으로 검토합니다.
    Example: Common Vulnerabilities and Exposures List
  • 파이프라인에서 보안 제어의 테스트 및 검증 자동화

  • 구성 관리 자동화: 구성 관리 서비스 또는 도구를 사용하여 보안 구성을 자동으로 적용하고 확인합니다.
    AWS Systems Manager
    AWS CloudFormation
    Set Up a CI/CD Pipeline on AWS
  • 보안 위협 모델을 사용하여 위험 파악 및 우선순위 지정

  • 보안 위협 모델 생성: 보안 위협 모델을 생성하여 잠재적인 보안 위협을 파악하고 해결합니다.
    NIST: Guide to Data-Centric System Threat Modeling
  • 새로운 보안 서비스 및 기능을 정기적으로 평가 및 구현

  • 정기 검토 계획: 규정 준수 요구 사항, 새 AWS 보안 기능/서비스 평가, 업계 최신 소식 확인 등의 검토 활동 일정을 생성합니다.
  • AWS 서비스 및 기능 검색: 사용 중인 서비스에 적용 가능한 보안 기능을 검색하고 새로 릴리스되는 기능을 검토합니다.
    AWS security blog
    AWS security bulletins
    AWS service documentation
  • AWS 서비스 온보딩 프로세스 정의: 새 AWS 서비스 온보딩을 위한 프로세스를 정의합니다. 이 과정에서 새 AWS 서비스의 기능과 워크로드의 규정 준수 요구 사항을 평가할 방법도 정의합니다.
  • 새로운 서비스 및 기능 테스트: 프로덕션 환경을 거의 동일하게 복제한 비프로덕션 환경에서, 새로 릴리스하는 서비스 및 기능을 테스트합니다.
  • 기타 방어 메커니즘 구현: 워크로드를 방어하기 위한 자동화된 메커니즘을 구현하고 사용 가능한 옵션을 살펴봅니다.
    Remediating non-compliant AWS resources by AWS Config Rules