Please enable JavaScript.
Coggle requires JavaScript to display documents.
인증암호화보안 - Coggle Diagram
인증
암호화
보안
EBS
비준수 리소스 자동 식별, 관리
EBS 데이터 암호화
암호화 EBS 를 허용하는 IAM 정책
AWS Config로 암호화 안 된 EBS 확인
AWS System Manager로 EBS 볼륨 감지, 수정 자동화
-
DB
-
외부 감사인과 회계 데이터를 공유해야한다.
private subnet의 RDS를 공유해야한다.
감사자는 자체 AWS 계정이 있고, 자체 DB 사본이 필요
가장 안전한 방법은?
-
-
기타
-
-
보안 위험을 초래하는 리소스에 대한 정책을 식별, 시행을 위해 IT 인프라 맵 구축
IT 인프라 맵에 보안팀은 데이터를 쿼리하고, 보안 위험을 신속하게 식별할 수 있어야한다.
-
규정 준수 확인
AWS 리소스들이 NIST 및 PCI DSS 규정을 준수하는지
설계된 통제가 구현되었고 작동하고 있다는 증거 필요
AWS Organizations의 단일 조직, 수백 개 계정 존재
하나의 계정을 조직 마스터 계정에서 AWS Security Hub 위임 관리자로 지정
Security Hub 관리자 계정에서 모든 계정에 대해 Security Hub 활성화
NIST, PCI DSS Security Hub 표준 활성화
-
-
EC2, S3에 대한 백업 전략이 필요
규정 요구 사항으로 회사는 특정 기간동안 백업 파일을 보존해야함
보유기간 동안 파일을 변조해서는 안됨
AWS Backup : 중앙 집중식 완전 관리 백업
규정 준수 모드에 볼트 잠금:
규정을 준수하면서, 데이터 변경, 삭제를 예방
-
계약 문서를 보관해야함
5년 계약, 5년동안 문서를 수정, 삭제 불가
회사는 미사용 문서를 암호화하고 매년 암호화 키 자동 교체 필요
최소한의 운영 오버헤드 솔루션은?
S3에 저장 + 규정 준수 모드로 S3 잠금
KMS 고객 관리형 키로 서버 측 암호화 사용, 키 순환
고객 관리형 키로 1년 주기 키 순환 가능
-
AWS Organizations 활성화 조직.
신규 AWS 계정의 모든 API 호충, 로그인 감사 필요
비용 최소화인 관리형 솔루션 필요
FSBP 표준을 준수하는지 확인이 필요
AWS Control Tower 배포
AWS Security Hub, Control Tower Account Factory 활성화
위 둘 활성화로 호출, 로그인을 감시할 수 있다.
Secutiy Hub는 규정 준수에 대한 포관적 보기
Control Tower Account Factory는 규정 준수 설정을 사용해 계정 생성 프로세스를 자동화한다.
s3
S3 버킷을 생성함
데이터를 암호화, AWS로 전송되기 전 액세스할 수 없으면 좋겠음
-
액세스
ECS, S3, RDS DB가 있다
ECs만 RDS와 S3에 액세스할 수 있게 하고싶다.
-
CloudFront 배포판 생성
사용자 정보 중 일부는 민감한 정보
애플리케이션은 HTTPS를 사용하지만 다른 보안 계층 필요
민감한 정보는 전채 애플리케이션 스택에서 보호되야하며,
정보에 대한 액세스는 특정 애플리케이션으로 제한되어야함
-
기업은 고객 데이터에 대한 안전한 액세스를 제공해야한다.
데이터는 S3에 저장한다
데이터는 암호화되어야 하고, 각 고객은 AWS 계정의 데이터에만 액세스 할 수 있어야 한다.
회사 직원은 데이터에 접근할 수 없어야 한다.
고객에 대해 별도의 KSM 키를 프로비저닝한다.
서버측데이터를 암호화한다.
각 KMS 키 정책에서 고객이 제공하는 IAM 역할을 제외한 모든 주체에 대한 데이터 암호 해독을 거부한다.
-
어플리케이션 구성
어플리케이션 구성 관리
DB 및 기타 서비스 자격 증명 안전하게 저장, 검색
-
AWS Organization,
IAM
-
회사는 AWS 계정 작업을 위해 외부 공급업체 사용
외부 공급업체는 해당 업체의 AWS 계정의 도구 사용
공급업체는 회사의 AWS 계정에 대한 IAM 액세스 권한 없음
회사는 공급업체의 AWS 계정에 액세스 권한 부여필요
-
ECS 어플리케이션
원본 이미지의 크기를 조정 버전 생성, S3 API 호출, S3 저장
어플리케이션이 S3에 액세스 할 권한이 있는지 확인하는 방법은?
-
인프라 모니터링 서비스를 실행한다.
회사는 서비스가 고객 AWS 계정의 데이터를 모니터링할 수 있는 기능 구축한다.
고객 계정에서 AWS API를 호출해서 EC2를 설명하고 CloudWatch 지표를 읽는다.
가장 안전한 방법으로 고객 계정에 대한 액세스 권한을 얻는 방법은?
-
-
AWS Organizations의 조직을 사용해 AWS 계정을 관리
모니터링 전용 계정 설정
CloudWatch로 계정 전체 관측 가능성 데이터를 쿼리, 시각화
-
-
인증
제조업체에 데이터를 전송하는 어플리케이션 구축
회사에는 자게 ID공급자(IdP)존재
회사는 데이터를 전송하는동안 IdP가 애플리케이션 사용자 인증을 원한다
회사는 AS2(Applicability Statemeny 2)Protocol을 사용해햐한다.
-
-
CloudFront 배포를 사용해 웹 사이트 제공
TLS 인증서를 사용하도록 해야한다.
TLS 인증서의 생성, 갱신을 자동화 하려고 함
-
-
-
권한
서버리스 워크로드 배포 준비
최소 권한 원칙을 사용해 Lambda 함수를 실행하는데 사용할 권한 구성
EventBrdige 규칙이 함수를 호출한다,
Lambda:InvokeFunction을 작업으로 설정
-> Lambda 전체 기능이 아닌 함수 호출만 설정해야 하므로
Service: events.amazonaws.com
-> eventBrdige가 Lambda를 호출하게 애햐 하므로
리소스 기반 정책
-> 워크로드 배포 준비 이므로 리소스 기반 정책이 더 맞다