클라우드 컴퓨팅 기술이 지속적으로 개발되고 널리 적용됨에 따라 점점 더 많은 기업과 개발자가 작업 부하를 클라우드 플랫폼으로 이전하기로 선택하고 있으며 AWS(Amazon Web Services)는 가장 인기 있는 클라우드 서비스 제공업체 중 하나가 되었습니다. 하지만 클라우드 환경에서도 보안 문제가 발생하는데, 특히 계정과 리소스를 보호하는 것이 클라우드 환경의 안정적인 운영을 보장하는 핵심이 되었습니다. AWS는 사용자가 클라우드에서 데이터를 안전하게 보호할 수 있도록 다양하고 강력한 보안 도구와 모범 사례를 제공합니다. 이 문서에서는 AWS 리소스의 보안을 강화하고 클라우드 환경이 잠재적 위협으로부터 보호되도록 돕는 10가지 AWS 보안 모범 사례를 소개합니다.
1. 강력하고 안전한 비밀번호를 만드세요
항상 사용하세요무작위로 생성된 강력한비밀번호, 비밀번호에는 최소한 다음이 포함되어야 합니다.24~30자의 문자, 기호, 대문자, 숫자.
2. 어디서나 다중 인증
AWS에서는 루트 계정을 허용합니다(없어서는 안될) 및 기타 계정. 계정이 해킹당하는 것을 원치 않으시다면 가능한 한 일관되게 MFA를 시행하세요.
3. 루트 계정에서 자격 증명 제거
루트 계정은 AWS에 가입하는 데에만 사용해야 하며 환경의 모든 항목에 액세스할 수 있으므로 다른 용도로 사용하면 안 됩니다. 첫 번째 단계예~에서프로그래밍 방식 액세스 권한을 제거합니다.
IAM 사용자를 생성하고 해당 사용자에게 호출하려는 API에 필요한 권한만 부여합니다.
4. CloudTrail 로깅을 활성화하여 추적을 별도 계정에 저장합니다.
CloudTrail을 사용하면 AWS 환경에서 발생하는 모든 일을 기록하여 보안 침해를 탐지하고 조사할 수 있습니다.
다음모범 사례는 일반적인 지침입니다.: 필요에 따라 조정하세요.
- 모든 AWS 지역에 트레일을 적용하려면:AWS 계정에서 발생하는 모든 이벤트를 기록하세요.
- CloudTrail 로그 파일 무결성 활성화:로그 파일이 삭제되거나 변경되었는지 알려줍니다.
- 항상 별도의 계정에 로그를 저장하세요: 엄격한 보안 통제, 접근 및 업무 분리를 구현합니다.
- 표준 S3-SSE 대신 AWS KMS를 사용하여 키를 관리하세요.간단하고 관리하기 쉬운 보안 계층을 제공합니다.
5. IAM 사용자, 그룹 및 역할을 사용하여 작동
일상 업무에서는 루트 사용자를 사용하지 마세요.대신 AWS를 인용하세요. 첫 번째 IAM 사용자를 생성할 때 루트 사용자만 사용하는 모범 사례를 고수하세요. 그러면 접근 및 비밀 자격 증명을 안전하게 저장할 수 있습니다. 특정한 작업에 필요하지 않는 한.
IAM 사용자AWS 리소스에 대한 작업을 수행할 수 있는 IAM ID를 나타냅니다.사용자 그룹IAM 사용자의 컬렉션을 하나의 단위로 처리합니다. 마지막으로 역할은 리소스에 직접 연결되며 다른 리소스에 대한 작업을 수행할 수 있습니다.
6. IAM 정책에 최소 권한 원칙 적용
모든 항목에 액세스하려면 관리자 권한을 사용하지 마십시오.모든 권한 거부작업을 완료하는 데 필요한 특정 서비스에 대한 권한부터 시작한 다음, 작업을 완료하는 데 필요한 특정 서비스에 대한 권한을 천천히 추가합니다. 이렇게 하면 최소 권한의 원칙을 준수할 수 있습니다.
7. AWS Organizations에서 프로젝트 계정 설정
AWS Organizations는 여러 계정을 중앙에서 관리할 수 있는 계정 관리 서비스입니다. 조직 구조를 정의하면 조직 단위별로 계정 사용을 더 잘 분류하고 정의할 수 있습니다.
또한 AWS Organizations에는 통합 청구 기능이 포함되어 있어 전체 요금 내역을 확인할 수 있습니다. 이를 통해 이상 현상을 더 빨리 발견할 수 있습니다.
조직에서 AWS Single Sign-On이 활성화된 경우 Leapp을 통해 적격 역할에 프로그래밍 방식으로 액세스할 수 있습니다.
AWS 조직은 보안 목적으로 사용합니다서비스 제어 정책모든 계정의 IAM 정책을 기반으로 작동하여 사용 가능한 최대 권한을 제한합니다. 조직 단위에 적용하면 회사의 다양한 부서에 대한 권한의 경계를 정의하는 데 도움이 됩니다.
8. AWS Config 규칙 및 청구 알림 활성화
AWS에는AWS 리소스가 변조되거나 오용되지 않았는지 확인하세요.도구.
AWS Config는 계정의 AWS 리소스 구성에 대한 자세한 보기를 제공합니다. 여기에는 서로 어떻게 관련되어 있는지, 과거에 어떻게 구성되었는지가 포함됩니다. AWS Config를 사용하면 시간이 지남에 따라 어떻게 변경되는지 파악할 수 있습니다.
청구 알림 및 청구 임계값계정에 문제가 있을 경우 알림을 받는 또 다른 좋은 방법입니다.
9. 모든 계층에 보안을 적용하세요
AWS를 사용하여 프로젝트를 빌드할 때는 항상 애플리케이션과 환경의 모든 계층을 보호하기 위해 노력하세요.
- 프로토콜로 HTTPS를 사용하세요. API Gateway, CloudFront, LoadBalancers 또는 일반 EC2 인스턴스와 같은 서비스를 사용하여 이 작업을 수행할 수 있습니다. B2B 애플리케이션을 개발하는 경우 상호 TLS 인증도 염두에 두세요.
- 리소스에 보안 그룹을 적용하여 환경 내부 및 외부에서 통신할 수 있는 CIDR, 특정 IP 주소 및 포트를 신중하게 관리합니다.
- 우수한 네트워크 설계를 적용하고 개인 VPC에서 인터넷에 직접 액세스할 필요가 없는 모든 리소스를 격리하여 모니터링이 쉬운 특정 게이트웨이로의 유입을 줄이세요.
- 가능하면 항상 사용하세요암호화를 적용합니다. AWS는 S3에서 직접 암호화를 제공하고, 키 관리를 위해 KMS를 사용하며, EBS 볼륨을 직접 암호화하는 기능을 제공합니다.
10. 임시로 생성된 자격 증명 사용
자격 증명과 .aws 폴더는 악의적인 공격의 가능한 매개체입니다.
IAM Simple Token Service를 통해 모든 자격 증명을 보호하고 임시 자격 증명을 만드는 번거로움을 없애려면 다음을 사용하는 것이 좋습니다.오픈소스 프로젝트 Leapp.
한눈에 보는 몇 가지 기능:
- 한 번의 클릭으로 클라우드 자격 증명을 생성하세요
- 데이터는 OS 시스템 볼트에 로컬로 암호화되어 저장됩니다.
- 다중 클라우드 액세스 지원 전략
- 자동 단기 자격 증명 순환
- AWS Single Sign-on을 사용하여 세션을 자동으로 구성합니다.
- 사용자 친화적이고 매끄러운 인터페이스 :)
결론적으로
클라우드 환경에서 보안은 모든 사용자가 주의를 기울여야 하는 핵심 문제입니다. 이 문서에 설명된 10가지 모범 사례(강력한 비밀번호 생성, 다중 요소 인증 활성화, 최소 권한 원칙 적용, 보안 모니터링 및 로깅 활성화)를 구현하면 계정과 리소스가 손상될 위험을 크게 줄일 수 있습니다. 또한 AWS Organizations 및 임시 자격 증명과 같은 도구를 사용하면 보안을 더욱 강화하고 시스템을 항상 통제되고 추적 가능한 상태로 유지할 수 있습니다. AWS 환경의 규모에 관계없이 이러한 보안 모범 사례는 클라우드 리소스를 강력하게 보호하고 안심하고 작업하는 데 도움이 될 수 있습니다.
온클라우드 AIAWS 에이전트로서 우리는 Amazon 클라우드 서비스를 제공하고, Amazon 클라우드 서버에 대한 AWS 결제를 지원하고, AWS 마이그레이션, AWS 운영 및 유지 관리 호스팅과 기타 서비스를 제공합니다. 관련된 사항이 있으시면 저희에게 연락해 주시기 바랍니다.온클라우드 AI.
