따라야 할 13가지 AWS 보안 모범 사례

AWS(Amazon Web Services)와 같은 주요 클라우드 플랫폼을 통해 조직은 사내에서 유사한 배포를 수행하는 데 드는 비용보다 훨씬 저렴한 비용으로 확장 가능하고 유연한 컴퓨팅 인프라를 활용할 수 있습니다. 그러나 조직이 클라우드 기반 인프라의 사용과 이점을 빠르게 도입하는 반면, 클라우드 보안은 뒤처지는 경우가 많아 광범위한 클라우드 데이터 유출 및 기타 클라우드 보안 사고가 발생하고 있습니다. 이러한 지식 격차를 해소하는 것은 사이버 위협으로부터 조직의 AWS 배포를 보호하는 데 필수적입니다.

 

여기에서는 AWS 및 퍼블릭 클라우드 환경에서 일관된 보안 태세를 확립하고 유지하면서 강력한 AWS 보안을 구현하는 모범 사례에 대해 설명합니다. 이 AWS 보안 모범 사례 목록은 AWS 클라우드 보안을 위한 최신 지침을 제공합니다.

AWS 보안 평가 Download Report

AWS 보안의 일반적인 과제

많은 조직이 클라우드 환경을 위한 강력한 사이버 보안을 구현하는 데 어려움을 겪고 있습니다. 클라우드 인프라 보안을 위한 가장 일반적인 4가지 과제는 다음과 같습니다:

  • 책임의 이해: CSP(클라우드 서비스 공급자)는 공유 책임 모델을 정의하여 어떤 보안 책임이 CSP에 속하고, 어떤 보안 책임이 클라우드 고객에게 속하며, 어떤 보안 책임이 둘 사이에 공유되는지를 설명합니다. 이 모델에 대한 이해가 부족하면 보안 격차가 발생하여 사이버 보안 위험이 발생하고 조직과 데이터가 공격에 노출될 가능성이 있습니다. 조직은 클라우드에서 위험을 최소화하기 위해 CSP의 공유 책임 모델을 이해하고 이에 따른 책임을 이행하기 위한 전략을 개발해야 합니다.
  • 가시성 유지: 많은 조직이 여러 개의 클라우드를 배포하고 있으며, 직원들이 IT 지식 없이 클라우드 배포를 설정하는 '섀도 IT'로 인해 어려움을 겪는 경우가 많습니다. 이 두 가지 요인으로 인해 IT 팀은 모니터링해야 할 대상을 결정하기가 어렵습니다. 또한 클라우드 자산은 대규모로 빠르게 프로비저닝 및 폐기되기 때문에 클라우드 자산을 추적하고 관리하기가 어렵습니다.

클라우드에서는 조직이 기본 인프라를 제어할 수 없기 때문에 가시성을 유지하기 위한 기존의 접근 방식(로그 파일 액세스, 엔드포인트 보안 솔루션 사용 등)을 사용할 수 없는 경우가 많습니다. 따라서 클라우드 서비스 제공업체가 제공하는 솔루션에 의존할 수밖에 없는데, 이 솔루션은 제공업체마다 다르기 때문에 조직의 모든 클라우드 기반 환경에 대한 일관된 가시성을 유지하기가 어렵습니다. 기업은 모든 클라우드 환경에 배포할 수 있고 조직의 모든 클라우드 기반 자산에 대한 일관된 가시성을 탐지하고 제공할 수 있는 보안 솔루션을 활용해야 합니다.

 

  • 컴플라이언스 요건 충족: 대부분의 기업은 민감한 고객 정보를 어떻게 저장하고 무단 액세스 및 노출로부터 보호해야 하는지 규정하는 여러 가지 규정을 준수해야 합니다. 기업이 기본 인프라에 대한 가시성이나 직접적인 제어 권한이 없는 클라우드에서는 규정 준수를 달성, 유지 관리 및 입증하는 것이 더 복잡할 수 있습니다. 조직은 디지털 인프라에 대한 규제 요건을 파악하고, 선택한 클라우드 서비스가 해당 규정의 요건을 충족하는지 확인해야 하며, 자체 클라우드 워크로드 및 자산이 이러한 요건을 충족하는지 확인해야 합니다.
  • 일관된 보안 정책 적용: 클라우드 환경에는 모두 고유한 보안 구성이 있으며, 대부분의 조직은 최소 두 개의 서로 다른 퍼블릭 클라우드를 보유하고 있습니다. 사이버 보안 담당자가 통합되지 않은 각 환경에 대해 개별적으로 설정을 구성하고 유지 관리해야 하므로 모든 환경에 일관된 보안 정책을 적용하기가 더 어려워집니다. 일관된 보안 정책을 시행하려면 조직의 모든 클라우드 기반 배포에 대해 클라우드 기반 보안 솔루션과 연동하고 제어할 수 있는 통합 보안 관리 플랫폼을 배포해야 합니다.

AWS 보안 모범 사례

클라우드에서 강력한 사이버 보안을 달성하는 것은 어렵게 느껴질 수 있지만 불가능한 것은 아닙니다. 이 AWS 보안 모범 사례 체크리스트를 따르면 AWS 배포의 보안을 개선할 수 있습니다.

  • 보안 요구 사항 파악

1. AWS에서 자산 정의 및 분류하기: 존재 여부도 모르는 시스템을 보호하는 것은 불가능합니다. AWS 배포의 보안을 개선하기 위한 첫 번째 단계는 보유하고 있는 자산을 식별하고 목적에 따라 카테고리로 정리하는 것입니다.

2. 데이터 및 애플리케이션에 대한 분류 생성: 모든 AWS 자산을 식별한 후에는 관련 데이터 및 기능의 민감도와 중요도에 따라 각 자산 또는 자산 범주에 보안 분류를 할당해야 합니다. 이러한 분류는 각 자산에 필요한 보호 수준과 특정 보안 제어를 결정하는 데 도움이 됩니다.

  • 클라우드 보안 문제를 해결하도록 설계된 솔루션 배포

클라우드 기반 인프라에는 기존의 온프레미스 환경과는 다른 보안 접근 방식과 도구가 필요합니다. 클라우드용으로 설계된 보안 솔루션을 배포하는 것은 조직의 AWS 배포를 효과적으로 보호하는 데 필수적입니다:

3. 클라우드 액세스 관리: 클라우드 기반 리소스는 조직의 기존 네트워크 경계(및 배포된 보안 스택)를 통해 트래픽을 전송하지 않고도 직접 액세스할 수 있으므로 클라우드 기반 인프라에 대한 액세스를 제한하는 것은 필수적입니다.

4. 클라우드 네이티브 보안 솔루션을 사용하세요: 최근 클라우드 보안 보고서에서 응답자의 82%는 기존 보안 솔루션이 전혀 작동하지 않거나 기능이 제한적이라고 생각한다고 답했습니다. 클라우드 네이티브 보안 솔루션은 클라우드 자산을 보호하는 데 가장 적합합니다. 또한 클라우드 네이티브 보안 솔루션을 배포하면 보안 기능을 보호하려는 자산 옆에 배치하고 보안 솔루션이 배포 환경 내에서 최적으로 작동하도록 보장할 수 있습니다.

5. 모든 경계를 보호하고 모든 것을 세분화: 온프레미스 보안은 외부 세계와의 네트워크 연결이라는 단일 경계를 가지고 있습니다. 클라우드 보안에는 각 클라우드 네이티브 서비스에 대해 하나 이상의 경계가 있습니다. 조직은 남북 및 동서 교통을 포함한 모든 경계를 보호해야 합니다. 또한 클라우드 워크로드를 더 잘 세분화하고 분리할수록 침해의 영향을 더 쉽게 억제할 수 있습니다.

  • AWS 배포 전반에 걸쳐 일관된 보안 태세 유지

Amazon은 AWS 고객을 사이버 위협으로부터 보호하는 데 도움이 되는 다양한 기본 제공 보안 구성 및 도구를 제공합니다. 이러한 설정을 올바르게 구성하는 것은 조직의 AWS 배포 전반에 걸쳐 일관된 클라우드 보안 태세를 유지하는 데 중요한 부분입니다:

6. AWS 계정, IAM 사용자, 그룹 및 역할 관리: 클라우드 기반 인프라는 공용 인터넷에서 직접 액세스할 수 있기 때문에 IAM(ID 및 액세스 관리)은 클라우드 컴퓨팅에서 우선 순위가 높습니다. 사용자에게 업무 수행에 필요한 액세스 및 권한만 부여하는 최소 권한 원칙을 구현하는 것은 조직의 클라우드 기반 인프라 내에서 데이터 유출 또는 기타 사이버 보안 사고의 가능성을 최소화하는 데 필수적입니다.

7. Amazon EC2 인스턴스에 대한 액세스 관리: 조직의 EC2 인스턴스에 액세스할 수 있는 공격자는 기존 애플리케이션 내의 중요한 데이터 또는 기능에 액세스하거나 조직의 임대 컴퓨팅 성능을 낭비하거나 악용하는 암호화폐 채굴기와 같은 새로운 악성 애플리케이션을 도입하려고 시도할 수 있습니다. 조직의 AWS 배포 내에서 사이버 보안 위험을 최소화하려면 최소 권한 원칙에 따라 EC2에 대한 액세스를 제어해야 합니다.

  • AWS 워크로드 보호

서버리스 및 컨테이너화된 배포를 사용하여 클라우드 기반 마이크로서비스를 구현하는 조직이 점점 더 많아지고 있습니다. 이러한 고유한 아키텍처에는 클라우드 워크로드 보호와 같은 요구 사항에 맞는 보안이 필요합니다:

8. 서버리스 및 컨테이너를 위한 클라우드 워크로드 보호 구현: 클라우드 인프라의 마이크로서비스 워크로드에는 기존 애플리케이션과는 다른 보안 솔루션이 필요합니다. 컨테이너화된 서버리스 및 기타 마이크로서비스에 대한 잠재적인 사이버 위협을 최소화하려면 가시성, 최소 권한 적용, 위협 차단 기능을 포함한 클라우드 워크로드 보호 기능을 배포하는 것이 필수적입니다.

  • 선제적 클라우드 보안 구현

많은 조직이 네트워크 내에서 사이버 위협이 활성화된 후에야 대응하는 사후 대응형 사이버 보안 전략을 실행합니다. 하지만 이는 사고 대응 활동을 지연시켜 조직을 위험에 빠뜨립니다. 조직은 클라우드 기반 인프라 내에서 보다 선제적인 보안 예방을 구현하기 위해 몇 가지 단계를 수행할 수 있습니다:

9. 위협 인텔리전스 피드를 구독합니다: 위협 인텔리전스는 현재 및 진행 중인 사이버 위협에 대한 귀중한 정보와 침해 지표를 제공합니다. 위협 인텔리전스 피드를 구독하고 이를 조직의 클라우드 기반 보안 솔루션에 통합하면 잠재적인 사이버 위협을 조기에 식별하고 차단하는 데 도움이 될 수 있습니다.

10. AWS에서 위협 헌팅 수행: 진행 중인 공격을 식별하고 대응하는 데 기반한 완전한 사후 대응형 사이버 보안 정책은 조직을 위험에 빠뜨립니다. 공격이 식별될 때쯤이면 공격자는 이미 조직의 클라우드 기반 인프라에 액세스하여 데이터를 훔치거나 다른 피해를 입히고 있을 가능성이 높습니다. 사이버 보안 분석가가 네트워크에 침입할 가능성이 있는 징후를 찾는 사전 예방적 위협 헌팅을 수행하면 조직은 사이버 보안 방어 시스템을 탐지하지 못한 채 지나간 위협을 식별하고 해결할 수 있습니다. 이를 위해서는 조직의 클라우드 인프라에 대한 심층적인 가시성이 필요하며, 확장성과 효율성을 위해 위협 인텔리전스 피드와 자동화된 데이터 분석에 대한 액세스가 필요합니다.

11. 사고 대응 정책 및 절차 정의하기: 많은 조직이 기존의 사이버 보안 정책과 절차를 갖추고 있습니다. 그러나 이러한 정책과 절차는 네트워크 인프라의 모든 구성 요소를 완벽하게 파악하고 제어할 수 있는 온프레미스 환경을 위해 설계되었을 가능성이 높습니다. 온프레미스 배포와 클라우드 기반 배포 간의 차이점을 해결하기 위해 이러한 정책을 업데이트하고 적용하는 것은 조직의 클라우드 기반 배포 내에서 사이버 보안 위협에 효과적으로 대응하는 데 필수적입니다.

  • 규제 준수 보장

대부분의 조직은 보유하고 있는 민감한 고객 데이터를 보호해야 하는 방법을 정의하는 여러 규정을 준수해야 합니다. 이러한 규정은 조직의 클라우드 인프라에도 적용되므로 조직은 클라우드에서 이러한 규정을 지속적으로 준수할 수 있도록 조치를 취해야 합니다:

12. 보안 제어의 가시성 확보: 데이터 보호 규정은 일반적으로 조직이 특정 공격 벡터로부터 민감한 데이터를 보호하기 위해 다양한 보안 제어 기능을 갖추도록 명시하고 있습니다. 규정 준수를 위해서는 보안 제어를 지속적으로 가시화하고 올바르게 작동하는지 확인할 수 있는 기능이 필요하며, 이를 통해 조직의 보안 태세를 개선하고 사이버 보안 위험을 줄일 수 있습니다.

13. 지속적인 규정 준수 확인: 조직이 필수 보안 제어에 대한 가시성을 유지하는 것 외에도 조직의 보안 배포가 관련 규정의 요구 사항을 충족하는지 확인하는 것도 중요합니다. 여기에는 관련 규정과 조직의 클라우드 기반 인프라를 검토하고, 확인된 보안 격차를 파악하여 해소하는 것이 포함됩니다.

효과적인 AWS 보안 정책 구축

클라우드 보안에는 기존의 온프레미스 환경과는 다른 관행과 도구가 필요합니다. 조직은 클라우드 기반 배포의 역동적이고 민첩한 특성에 맞게 보안에 대한 접근 방식을 조정하고 클라우드 네이티브 보안 솔루션을 선택하여 사이버 위협으로부터 AWS 배포를 최대한 보호해야 합니다.

조직의 클라우드 보안을 개선하기 위한 첫 번째 단계는 공격에 취약하게 만들 수 있는 기존의 보안 격차를 파악하는 것입니다. 이 셀프 가이드 평가에는 100개 이상의 규정 준수 요구 사항을 감사하는 전체 보안 보고서가 포함되어 있으며, AWS 배포 내에서 보안 구성이 잘못되었는지 확인하고, AWS 자산의 전체 인벤토리를 제공하며, 식별된 문제를 해결하기 위해 취해야 할 우선 순위가 지정된 조치 목록을 생성합니다.

 

또한 지능형 클라우드 네트워크 보안 위협에 대한 취약성 보고서를 즉시 전송하는 클라우드 네트워크 보안 평가를 사용할 수 있습니다. 또는 이 평가가 완료된 후 기간 한정으로 100달러의 AWS 크레딧을 보내드립니다.

 

조직의 현재 AWS 보안 태세에서 잠재적인 격차와 문제를 파악한 후, 다음 단계는 이러한 격차를 메우는 것입니다. 체크포인트는 조직의 클라우드 보안을 자동화하는 데 도움이 되는 클라우드 네이티브 솔루션을 제공하여 포괄적인 클라우드 보호 기능을 제공하고 조직 보안 팀의 영향력을 극대화합니다. 또한, AWS 배포를 보호하는 데 도움이 되는 방법에 대한 자세한 내용을 문의하고 데모를 요청하여 실제로 작동하는 체크포인트 CloudGuard를 확인할 수 있습니다.

×
  피드백
이 웹사이트는 기능 및 분석, 마케팅 목적으로 쿠키를 사용합니다. 이 웹사이트를 계속 이용하면 쿠키 사용에 동의하는 것입니다. 자세한 내용은 쿠키 관련 공지사항을 참조하세요.