SEC 1: 워크로드를 안전하게 운영하려면 어떻게 해야 합니까?

워크로드를 안전하게 운영하려면 모든 보안 영역에 포괄적 모범 사례를 적용해야 합니다. 조직 및 워크로드 수준에서 운영 우수성에 정의된 요구 사항과 프로세스를 가져와 모든 영역에 적용합니다. AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됩니다. 보안 프로세스, 테스트 및 검증을 자동화함으로써 보안 작업을 확장할 수 있습니다.

리소스

Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in your AWS Organization

모범 사례:

• 계정을 사용하는 별도의 워크로드: 회사의 보고 구조를 미러링하는 대신 기능 또는 공통 제어 집합을 기반으로 별도의 계정 및 그룹 계정에서 워크로드를 구성합니다. 워크로드가 증가함에 따라 조직에서 공통 가드레일을 설정할 수 있도록 보안 및 인프라를 염두에 두고 시작해야 합니다.

• 보안 AWS 계정: 예를 들어 MFA를 활성화하여 계정에 안전하게 액세스하고, 루트 사용자의 사용을 제한하며, 계정 연락처를 구성합니다.

• 제어 목표 파악 및 검증: 위협 모델에서 식별된 규정 준수 요구 사항 및 위험을 기준으로, 워크로드에 적용해야 하는 제어 목표와 제어 항목을 도출하고 검증합니다. 제어 목표 및 제어에 대한 지속적인 검증은 위험 완화의 효과를 측정하는 데 도움이 됩니다.

• 최신 보안 위협 정보 파악: 적절한 제어 수단을 정의하고 구현하는 데 도움이 되도록 최신 보안 위협 정보를 바탕으로 공격 벡터를 파악합니다.

• 최신 보안 권장 사항 파악: 워크로드의 보안 태세를 강화하기 위해 최신 AWS 및 업계 보안 권장 사항을 모두 파악합니다.

• 파이프라인에서 보안 제어의 테스트 및 검증 자동화: 빌드, 파이프라인 및 프로세스의 일부로서 테스트 및 검증되는 보안 메커니즘에 대한 보안 기준과 템플릿을 설정합니다. 도구와 자동화를 사용하여 모든 보안 제어를 지속적으로 테스트하고 검증합니다. 예를 들어 시스템 이미지와 인프라 같은 항목을 코드 템플릿으로 삼아 단계마다 설정된 기준에 따라 보안 취약성, 불규칙성, 드리프트를 검사합니다.

• 보안 위협 모델을 사용하여 위험 파악 및 우선순위 지정: 보안 위협 모델을 사용하여 가장 최근에 등록된 잠재적 위협을 파악하고 유지 관리합니다. 위협 우선순위를 지정하고 보안 제어를 조정하여 방지하고, 탐지하고, 대응합니다. 진화하는 보안 환경에 맞춰 위협 모델을 재검토하고 유지 관리합니다.

• 새로운 보안 서비스 및 기능을 정기적으로 평가 및 구현: AWS와 APN 파트너는 워크로드의 보안 태세를 개선할 수 있는 새로운 기능과 서비스를 지속적으로 릴리스합니다.

개선 계획

계정을 사용하는 별도의 워크로드

AWS Organizations 사용: AWS Organizations를 사용하여 여러 AWS 계정을 정책 기반으로 관리하는 방식을 중앙 집중식으로 적용합니다.
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

AWS Control Tower 고려: AWS Control Tower는 모범 사례를 기반으로 안전하고 새로운 다중 계정 AWS 환경을 설정하고 관리할 수 있는 간편한 방법을 제공합니다.
AWS Control Tower

보안 AWS 계정

AWS Organizations 사용: AWS Organizations를 사용하여 여러 AWS 계정을 정책 기반으로 관리하는 방식을 중앙 집중식으로 적용합니다.
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

AWS 루트 사용자의 사용 제한: 루트 사용자가 꼭 필요한 태스크를 수행할 때만 루트 사용자를 사용합니다.
AWS Tasks That Require AWS Account Root User Credentials

루트 사용자에 대해 MFA 활성화: AWS Organizations에서 루트 사용자를 관리하지 않는 경우 AWS 계정 루트 사용자에 대해 MFA를 활성화합니다.
Lab: AWS account and root user
Root user

주기적으로 루트 사용자 암호 변경: 루트 사용자 암호를 변경하면 저장된 암호가 사용될 위험이 줄어듭니다. AWS Organizations를 사용하지 않고 누구나 물리적으로 액세스할 수 있는 경우 이는 특히 중요합니다.
Changing the AWS account root user password

AWS 계정 루트 사용자가 사용될 경우 알림 활성화: 알림을 자동으로 수신하면 위험이 줄어듭니다.
How to receive notifications when your AWS account's root access keys are used

새로 추가된 리전에 대한 액세스 제한: 새 AWS 리전의 경우 사용자 및 역할과 같은 IAM 리소스는 활성화된 리전으로만 전파됩니다.
Setting permissions to enable accounts for upcoming AWS Regions

CloudFormation StackSets 사용 고려: CloudFormation StackSets를 사용하여 IAM 정책, 역할 및 그룹을 포함한 리소스를 승인된 템플릿에서 다양한 AWS 계정과 리전에 배포할 수 있습니다.
Use CloudFormation StackSets

제어 목표 파악 및 검증

규정 준수 요구 사항 파악: 워크로드가 준수해야 하는 조직/법적/규정 준수 요구 사항을 파악합니다.

AWS 규정 준수 리소스 확인: 규정 준수를 지원하기 위해 AWS에서 제공하는 리소스를 파악합니다.
https://aws.amazon.com/compliance/
https://aws.amazon.com/artifact/

최신 보안 위협 정보 파악

위협 정보 출처 구독: 워크로드에 사용된 기술과 관련이 있는 여러 출처의 위협 정보를 정기적으로 검토합니다.
Common Vulnerabilities and Exposures List

AWS Shield Advanced 서비스 사용 고려: 인터넷을 통해 워크로드에 액세스할 수 있는 경우 인텔리전스 소스에 대한 실시간에 가까운 가시성을 제공합니다.
AWS Shield

최신 보안 권장 사항 파악

AWS 업데이트 팔로우: 새로운 권장 사항, 팁 및 요령을 구독하거나 정기적으로 확인합니다.
AWS Well-Architected Labs
AWS security blog
AWS service documentation

업계 뉴스 구독: 워크로드에 사용된 기술과 관련이 있는 여러 출처의 뉴스 피드를 정기적으로 검토합니다.
Example: Common Vulnerabilities and Exposures List

파이프라인에서 보안 제어의 테스트 및 검증 자동화

구성 관리 자동화: 구성 관리 서비스 또는 도구를 사용하여 보안 구성을 자동으로 적용하고 확인합니다.
AWS Systems Manager
AWS CloudFormation
Set Up a CI/CD Pipeline on AWS

보안 위협 모델을 사용하여 위험 파악 및 우선순위 지정

보안 위협 모델 생성: 보안 위협 모델을 생성하여 잠재적인 보안 위협을 파악하고 해결합니다.
NIST: Guide to Data-Centric System Threat Modeling

새로운 보안 서비스 및 기능을 정기적으로 평가 및 구현

정기 검토 계획: 규정 준수 요구 사항, 새 AWS 보안 기능/서비스 평가, 업계 최신 소식 확인 등의 검토 활동 일정을 생성합니다.

AWS 서비스 및 기능 검색: 사용 중인 서비스에 적용 가능한 보안 기능을 검색하고 새로 릴리스되는 기능을 검토합니다.
AWS security blog
AWS security bulletins
AWS service documentation

AWS 서비스 온보딩 프로세스 정의: 새 AWS 서비스 온보딩을 위한 프로세스를 정의합니다. 이 과정에서 새 AWS 서비스의 기능과 워크로드의 규정 준수 요구 사항을 평가할 방법도 정의합니다.

새로운 서비스 및 기능 테스트: 프로덕션 환경을 거의 동일하게 복제한 비프로덕션 환경에서, 새로 릴리스하는 서비스 및 기능을 테스트합니다.

기타 방어 메커니즘 구현: 워크로드를 방어하기 위한 자동화된 메커니즘을 구현하고 사용 가능한 옵션을 살펴봅니다.
Remediating non-compliant AWS resources by AWS Config Rules