AWS 보안 도구 이해
오늘'디지털 시대에 클라우드는 확장성, 유연성 및 비용 효율성을 제공하는 많은 비즈니스의 초석이 되었습니다. 그러나 클라우드 서비스의 지속적인 채택으로 인해 보안 문제도 급증했습니다. 클라우드에서 데이터 및 애플리케이션의 안전을 보장하는 것은 조직에 가장 중요하며, 이를 위해 AWS(Amazon Web Services)가 개입합니다.
이 게시물에서는 보안을 강화하도록 설계된 필수 AWS 보안 도구에 대해 자세히 설명합니다 클라우드 보안 오늘's 디지털 풍경. 기업이 확장성, 유연성 및 비용 효율성을 위해 클라우드에 점점 더 의존함에 따라 데이터 및 애플리케이션 보호의 중요성이 그 어느 때보다 높아졌습니다. 이러한 맥락에서 Amazon Web Services(AWS)는 이러한 보안 문제를 해결할 수 있는 강력한 솔루션을 제공합니다.
AWS Security Best Practices [Cheat Sheet]
This cheat sheet goes beyond the essential AWS security best practices and offers actionable step-by-step implementations, relevant code snippets, and industry- leading recommendations to fortify your AWS security posture.
Download Cheat Sheet
클라우드 보안의 필수 요소
클라우드 환경은 많은 이점을 제공하지만 많은 위협에 취약합니다. 데이터 침해에서 무단 액세스에 이르기까지 잠재적 위험은 방대합니다. 이러한 문제를 인식한 AWS는 1차 방어선으로 안전한 인프라를 제공하는 것을 우선시하고 있습니다. AWS 제공'보안에 대한 의 약속은 클라우드의 모든 계층을 보호하도록 설계된 포괄적인 도구 제품군에서 분명합니다.
AWS Security Foundations For Dummies
Everything you need to know to protect your AWS environment
Download PDF
AWS에서 제공하는 주요 보안 도구
AWS 보안 도구의 역할
AWS 보안 도구는 무단 액세스나 데이터 침해를 방지하는 것만을 의미하지 않습니다. 이들은 AWS 계정, 계정 내에서 실행되는 애플리케이션 및 사용 중인 서비스의 전반적인 보안을 보장하는 데 다각적인 역할을 합니다. 이러한 도구는 AWS에서 중요한 역할을 합니다' 강력한 보안 인프라는 특정 보안 요구 사항을 충족하는 동시에 보안 태세에 대한 전체적인 관점을 제공하는 솔루션을 제공합니다.
AWS 제공'S 보안 제품은 크게 다음과 같이 분류할 수 있습니다.
다음 섹션에서는 이러한 도구에 대해 자세히 알아보고 해당 도구의 기능, 사용 사례 및 AWS 사용자에게 제공하는 이점을 살펴봅니다.
ID 및 액세스 관리
에코시스템에서 누가 무엇을 볼 수 있는지 제한하는 것은 오늘날의 디지털 세계에서 매우 중요합니다. 여기서 핵심 솔루션은 AWS의 잘 알려진 ID 및 액세스 웹 서비스입니다.
AWS Identity and Access Management(IAM)
AWS IAM 는 AWS 보안의 초석으로, 조직이 AWS 서비스 및 리소스에 대한 액세스를 제어할 수 있도록 지원합니다. 또한 AWS 사용자 및 그룹을 생성 및 관리할 수 있으므로 권한이 있는 개인만 특정 리소스에 액세스할 수 있습니다.
IAM의 주요 기능은 다음과 같이 요약할 수 있습니다.
AWS 계정에 대한 공유 액세스: 여러 사용자에게 AWS 계정에 대한 액세스 권한을 부여하여 협업적이면서도 안전한 운영을 보장합니다.
세분화된 권한: 사용자에게 작업에 필요한 리소스에 대한 액세스 권한만 부여되도록 권한을 미세 조정합니다.
응용 프로그램에 대한 보안 액세스: IAM을 다른 AWS 서비스와 통합하여 애플리케이션 액세스를 보호합니다.
다단계 인증: 두 가지 이상의 확인 방법을 의무화하여 추가 보안 계층을 확보하십시오.
IAM은 보안을 손상시키지 않고 AWS 리소스에 액세스할 수 있도록 하여 대규모 팀의 권한을 관리하는 데 특히 적합합니다. 권한이 있는 직원만 액세스할 수 있도록 제한하므로 민감한 데이터를 보호할 때도 사용해야 합니다.
데이터 보호
데이터는 종종 조직에서 가장 중요한 자산입니다. AWS는 데이터를 안전하게 저장하고 개인 식별 정보(PII)와 같은 민감한 정보를 보호하기 위해 AWS Secrets Manager 및 Amazon Macie와 같은 도구를 제공합니다.
AWS 시크릿 매니저
AWS 시크릿 매니저 는 조직이 애플리케이션, 서비스 및 IT 리소스에 대한 액세스를 보호해야 하는 경우에 중요한 도구입니다. 민감한 정보를 안전하게 관리하여 비밀이 유지되도록 합니다.'세 가지 중요한 기능을 통해 취약점이 될 수 있습니다.
시크릿 로테이션: 설정된 간격으로 비밀을 자동으로 변경하여 무단 액세스의 위험을 줄입니다.
안전하고 확장 가능한 시크릿 스토리지: 비밀을 안전하게 저장하여 안전하게 확인'다시 암호화되어 승인된 엔터티만 액세스할 수 있습니다.
시크릿 모니터링: 기밀 정보에 대한 액세스를 추적 및 모니터링하여 투명성과 보안을 보장합니다.
AWS Secrets Manager는 다음과 같은 사용 사례에 유용합니다.
타사 서비스에 대한 자격 증명 관리
아래 코드를 사용하여 API 키, 데이터베이스 자격 증명 및 기타 비밀을 안전하게 저장할 수 있습니다.
aws secretsmanager 생성 비밀 --name MyTestDatabaseSecret
--묘사 "CLI로 만든 내 테스트 데이터베이스 시크릿"
--비밀 문자열 '{"사용자 이름":"테스트 사용자","암호":"마이패스워드"}'이 명령은 라는 새 시크릿을 생성합니다. MyTestDatabase시크릿, 사용자 이름과 암호를 포함하는 JSON 형식의 설명 및 비밀 문자열이 있습니다.
시크릿 순환 자동화
이렇게 하면 비밀이 정기적으로 변경되어 위반 위험이 줄어듭니다. 보안 암호의 자동 교체를 설정하려면 교체 로직을 정의하는 Lambda 함수를 생성하고 이 함수를 사용하도록 Secrets Manager에서 보안 암호를 구성합니다.
aws secretsmanager 회전 시크릿 --secret-id MyTestDatabaseSecret
--회전-람다-arn
arn:aws:lambda:지역:계정 ID:함수:회전 함수 이름
--rotation-rules 자동AfterDays=30에 대한 명령 MyTestDatabase시크릿 지정된 Lambda 함수를 사용하며 보안 암호가 30일마다 자동으로 교체되도록 합니다.
아마존 시큐리티 레이크
아마존 시큐리티 레이크 다양한 소스의 보안 데이터를 중앙 집중화하여 다음과 같은 주요 기능을 갖춘 고급 위협 탐지 및 분석을 위한 통합 플랫폼을 제공합니다.
데이터 암호화: 보안 레이크 내의 모든 데이터가 암호화되어 기밀성을 유지하도록 합니다.
데이터 레이크 내보내기: 추가 분석 또는 규정 준수를 위해 데이터를 내보냅니다.
사용자 지정 데이터 업로드: 다양한 소스의 데이터를 통합하여 보안에 대한 포괄적인 관점을 보장합니다.
이 도구는 잠재적인 위협 또는 취약성을 사전에 검색하여 위협 헌팅에 유용합니다. 또한 보안 데이터에 대한 분석을 제공하여 통찰력을 도출하고 보안 태세를 개선합니다.
아마존 메이시
아마존 메이시 기계 학습 및 패턴 인식을 활용하여 AWS 내에서 기밀 데이터를 탐지하고 보호합니다. Macie를 사용하면 AWS 사용자가 민감한 데이터를 대규모로 이해하고 관리할 수 있으므로 몇 가지 주요 기능을 통해 데이터 개인 정보 보호 규정을 더 쉽게 준수할 수 있습니다. 아래에서 몇 가지 샘플 코드와 함께 이에 대해 설명합니다.
데이터 검색: S3 버킷을 자동으로 스캔하여 AWS 내에서 민감한 데이터가 상주하는 위치를 식별합니다.
# S3 버킷을 나열하고 Macie로 확인하는 Python 코드 스니펫
수입 boto3
s3 = boto3.client('에스3')
macie = boto3.client('메이시2')
# 모든 S3 버킷 나열
버킷 = s3.list_buckets()
양동이의 경우['양동이']:
# Macie로 각 버킷에 민감한 데이터 확인
응답 = macie.create_classification_job(
jobType='ONE_TIME',
s3JobDefinition={
'bucket정의': [{'버킷 이름': 양동이['이름']}]
}
)데이터 분류: 사전 정의된 데이터 식별자를 사용하여 PII와 같은 민감도에 따라 데이터를 분류합니다.
# 분류 결과를 얻기 위한 Python 코드 스니펫
결과 = macie.get_findings()
결과에서 찾기 위해['결과']:
인쇄(f"중요한 데이터 유형: {finding['형']}")보안 경고: Macie가 잠재적인 무단 액세스 또는 데이터 침해를 감지하면 AWS CloudWatch 또는 SNS를 통해 알림을 받습니다.
# Macie 알림에 대한 SNS 주제를 생성하기 위한 Python 코드 스니펫
SNS = boto3.client('증권 시세 표시기')
주제 = sns.create_topic(이름='메이시 얼럿')
macie_alert_arn = 주제['주제Arn']네트워크 및 응용 프로그램 보호
잠재적인 위협으로부터 네트워크와 애플리케이션을 보호하는 것은 매우 중요합니다. 이 섹션에서 다루는 도구는 DDoS(분산 서비스 거부) 공격과 같은 위험으로부터 애플리케이션을 보호하도록 설계되었습니다.
AWS 쉴드
AWS 쉴드 는 AWS 애플리케이션을 보호하도록 설계된 포괄적인 관리형 분산 서비스 거부(DDoS) 보호 서비스입니다. 이를 통해 사용자는 DDoS 공격 하에서도 애플리케이션을 변경할 필요 없이 앱의 가용성과 성능을 보장할 수 있습니다. 주요 기능은 해당되는 경우 샘플 코드와 함께 아래에 나열되어 있습니다.
디도스(DDoS) 방어: 가장 널리 퍼진 DDoS 공격 벡터에 대한 강력한 보호를 통해 애플리케이션의 가용성을 유지할 수 있습니다.
# AWS Shield Advanced 보호를 활성화하기 위한 Python 코드 스니펫
수입 boto3
방패 = boto3.client('방패')
응답 = shield.create_protection(
이름='마이프로텍션',
ResourceArn='arn:aws:elasticloadbalancing:us-west-2:123456789012:로드밸런서/app/my-load-balancer/50dc6c495c0c9188'
)비용 보호: AWS Shield가 확장 비용을 부담하므로 DDoS 공격으로 인해 AWS 서비스가 확장될 때 재정적 부담을 방지할 수 있습니다.
위협 인텔리전스: 현재 진행 중인 공격과 과거 공격에 대한 자세한 인사이트를 받아 위협 환경을 이해하고 방어를 개선하는 데 도움이 됩니다.
준법경영
관련 산업 규정 및 표준을 준수하는 것은 필수입니다. AWS는 리소스 변경 사항을 추적하고 구성을 감사하여 조직이 규정 준수를 유지할 수 있도록 AWS CloudTrail 및 AWS Config와 같은 도구를 제공합니다.
AWS 클라우드트레일
AWS 클라우드트레일 는 AWS 환경 전반의 사용자 및 리소스 활동에 대한 가시성을 제공하는 강력한 서비스입니다. CloudTrail은 변경 사항 및 업데이트에 대한 포괄적인 로그를 캡처하여 조직이 안전하고 규정을 준수하는 AWS 환경을 유지 관리할 수 있도록 지원하여 운영 및 위험 감사를 용이하게 합니다.
AWS CloudTrail에는 몇 가지 주요 기능이 있습니다.
이벤트 기록: CloudTrail의 시간순 이벤트 로그를 통해 AWS 환경의 모든 과거 작업 및 변경 사항을 검토합니다.
# 최근 이벤트를 조회하는 Python 코드 스니펫
수입 boto3
cloudtrail = boto3.client('클라우드트레일')
이벤트 = cloudtrail.lookup_events(LookupAttributes=[{'속성 키':'이벤트 이름', '속성 값':'런인스턴스'}])
이벤트의 경우['이벤트']:
print(이벤트['이벤트 이름'], 이벤트['이벤트 시간'])관리 이벤트: AWS 계정의 리소스에 대해 수행된 관리 작업에 대한 정보를 최상으로 파악합니다.
# 관리 이벤트를 필터링하는 Python 코드 스니펫
management_events = cloudtrail.lookup_events(이벤트 범주='경영')
management_events의 이벤트 ['이벤트']:
print(이벤트['이벤트 이름'], 이벤트['사용자 이름'])데이터 이벤트: 리소스 자체에서 또는 리소스 내에서 수행되는 리소스 작업에 대한 통찰력 활용:Leverage insights into the resource operations within the resource itself:
# S3 버킷에 대한 데이터 이벤트를 필터링하는 Python 코드 스니펫
data_events = cloudtrail.lookup_events(조회 속성=[{'속성 키':'리소스 유형', '속성 값':'AWS::S3::객체'}])
data_events의 이벤트에 대해['이벤트']:
print(이벤트['이벤트 이름'], 이벤트['리소스'])통찰력: 리소스 프로비저닝의 급증과 같은 비정상적인 활동을 식별합니다.
# 인사이트 이벤트를 얻기 위한 Python 코드 스니펫
인사이트 = cloudtrail.lookup_events(InsightSelectors=[{'인사이트 유형': 'ApiCallRate인사이트'}])
인사이트의 통찰력['이벤트']:
print(insight['이벤트 이름'], 인사이트['인사이트세부 정보'])AWS 구성
AWS 구성 는 조직이 AWS 리소스, 구성 및 종속성을 명확하게 볼 수 있도록 설계된 동적 서비스입니다. 변경 사항을 추적하고 원하는 설정에 대해 구성을 평가할 수 있으므로 다음 기능을 통해 AWS 환경이 안전하고 규정을 준수하도록 할 수 있습니다.
자원 인벤토리: AWS Config가 AWS 리소스 구성을 지속적으로 모니터링하고 기록하므로 환경 전반의 구성을 감사하고 검토합니다.
# 검색된 리소스를 나열하는 Python 코드 스니펫
수입 boto3
구성 = boto3.client('구성')
리소스 = config.list_discovered_resources(resourceType='AWS::EC2::인스턴스')
리소스의 리소스['리소스 식별자']:
print(리소스['리소스 ID'])구성 기록: AWS 리소스의 과거 구성을 심층적으로 분석하여 명확한 감사 추적을 제공합니다.
구성 변경 알림: 구성이 변경될 때 실시간 알림을 받도록 SNS 주제를 설정하여 다음을 수행할 수 있습니다.'항상 정보를 제공합니다.
규정 준수 감사: AWS 리소스가 내부 정책 및 외부 규제 표준에 따라 설정되어 있는지 확인합니다.
AWS Config와 다른 서비스의 통합은 다음 시각화에 나와 있습니다.
AWS 보안 허브
AWS 보안 허브 는 AWS 에코시스템 전반에서 보안 및 규정 준수 관리를 간소화하도록 설계된 중앙 집중식 서비스입니다. Security Hub는 AWS 서비스와 타사 도구의 결과를 통합하여 가장 중요한 보안 알림에 집중하고 강력한 보안 태세를 유지할 수 있도록 통합되고 체계적인 보기를 제공합니다.
자동화된 보안 검사: 다음 집합에 대해 AWS 환경을 지속적으로 평가합니다. AWS 모범 사례 및 업계 표준.
통합 AWS 서비스: Security Hub를 다양한 AWS 서비스와 통합하여 보안 및 규정 준수 결과에 대한 포괄적인 보기를 제공합니다.
규정 준수 표준: CIS AWS Foundations와 같은 표준에 따라 AWS 리소스를 모니터링하고 평가합니다.
중앙 집중식 대시보드: 보안 및 규정 준수 인사이트를 위한 중앙 집중식 대시보드를 통해 여러 AWS 계정 및 서비스의 결과를 통합합니다.
Security Hub를 사용하면 결과를 필터링하고 우선 순위를 지정할 수 있으므로 가장 시급한 보안 위협을 신속하게 식별하고 대응할 수 있습니다.
위협 탐지
AWS는 AWS 계정 및 워크로드에 대한 잠재적 위협을 지속적으로 모니터링하고 탐지하는 도구를 제공합니다. 이러한 서비스는 기계 학습 및 위협 인텔리전스 피드를 사용하여 잠재적인 위협을 발견합니다.
아마존 가드듀티
아마존 가드듀티 는 AWS 에코시스템에 원활하게 통합되는 최첨단 위협 탐지 서비스입니다. GuardDuty는 악의적이거나 승인되지 않은 활동을 지속적으로 스캔하여 새로운 위협이 발생하더라도 AWS 계정 및 워크로드가 안전하게 유지되도록 합니다. 주요 기능은 아래에 나열되어 있으며 관련 있는 경우 코드 조각이 있습니다.
변칙 검색: AWS 환경 활동을 지속적으로 모니터링하여 표준에서 벗어나 잠재적 위협을 나타낼 수 있는 패턴을 식별합니다.
기계 학습: 새로운 위협이 있더라도 식별'기계 학습을 통해 시간이 지남에 따라 진화하는 GuardDuty의 기능을 활용하는 것은 이전에도 볼 수 없었습니다.
# 참고: GuardDuty는 내부적으로 머신 러닝을 사용하며, 그 결과는 기계 학습 기능을 반영합니다
결과 = guardduty.list_findings(DetectorId=detector['검출기 ID'])
결과에서 찾기 위해['FindingIds 님']:
인쇄(찾기)비정상적인 API 호출 감지: 악의적인 활동을 나타낼 수 있는 예기치 않거나 의심스러운 API 호출에 대한 경고를 받습니다.
# 비정상적인 API 호출과 관련된 결과를 필터링하는 Python 코드 스니펫
기준 = {
'형': [{'값': '정찰:IAMUser/UnusualAPIActivity', '비교': '포함'}]
}
unusual_api_findings = guardduty.list_findings(DetectorId=감지기['검출기 ID'], FindingCriteria=기준)
unusual_api_findings에서 찾기 위해['FindingIds 님']:
인쇄(찾기)무단 배포 모니터링: 계정 손상 또는 잘못된 구성의 징후일 수 있는 예기치 않은 리소스 배포를 감지합니다.
아마존 인스펙터
아마존 인스펙터 는 AWS와 원활하게 통합되는 강력한 보안 평가 도구입니다. Inspector는 잠재적인 취약성 또는 AWS 모범 사례와의 편차에 대해 애플리케이션을 자동으로 평가함으로써 몇 가지 주요 기능을 통해 애플리케이션이 수명 주기 전반에 걸쳐 안전하고 규정을 준수하도록 보장합니다.
평가 템플릿: 응용 프로그램을 평가해야 하는 규칙과 표준을 지정하는 템플릿을 정의합니다.
결과: 평가 후 보안 문제를 강조하는 자세한 결과를 얻어 적시에 수정할 수 있습니다.
모범 사례 확인: 애플리케이션이 AWS 모범 사례(예: 보안 그룹 또는 SSH 설정을 올바르게 구성)에 부합하는지 확인합니다.
아마존 탐정
아마존 탐정 는 AWS 환경의 보안 태세를 강화하도록 설계된 강력한 도구입니다. 기계 학습, 통계 분석 및 그래프 이론과 같은 고급 기술을 활용하면 보안 결과에 대한 심층적인 통찰력을 얻을 수 있으므로 조사 프로세스의 효율성과 정확성이 높아집니다.
Amazon Detective의 주요 이점은 다음과 같이 요약할 수 있습니다.
변칙 검색: Amazon Detective가 발생할 때 잠재적인 보안 문제에 플래그가 지정됩니다.'기계 학습 알고리즘은 비정상적인 패턴과 동작을 자동으로 식별합니다.
# 이상 탐지를 가능하게 하는 Python 코드
탐정 = boto3.client('탐정')
응답 = detective.enable_anomaly_detection(accountId='123456789012')
print(응답['상태'])시각화: 상세한 시각화를 통해 보안 결과를 탐색하여 복잡한 보안 이벤트를 더 쉽게 이해할 수 있습니다.
보안 결과: 다양한 AWS 서비스의 데이터를 상호 연관시켜 보안 이벤트에 대한 전체적인 관점을 얻을 수 있습니다.
# 보안 결과를 나열하는 Python 코드
결과 = detective.list_findings(accountId='123456789012')
결과에서 찾는 경우:
print(finding['아이디'], finding['형'])과거 계정 동작 분석: 과거 계정 활동을 검토하여 추세, 취약성 또는 잠재적 위협을 식별하여 사전 예방적 보안 접근 방식을 보장합니다.
서드 파티 도구를 사용하여 AWS 보안 서비스 강화
AWS는 포괄적인 네이티브 보안 도구 제품군을 제공하지만, 클라우드 보안 환경은 방대하고 끊임없이 진화하고 있습니다. 서드 파티 솔루션으로 AWS를 강화할 수 있습니다.'의 기본 오퍼링은 추가 보호 계층, 전문 기능 및 향상된 분석을 제공합니다.
통합의 가치
서드 파티 도구를 AWS 보안 서비스와 통합하면 다음과 같은 몇 가지 이점을 얻을 수 있습니다.
집계된 보안 정보: 모든 보안 정보를 고유한 데이터 모델로 가져옴으로써 조직은 보안 태세에 대한 통합된 보기를 가질 수 있습니다.
풍부한 결과: GuardDuty의 결과와 같은 AWS 데이터를 서드 파티 인텔리전스로 보강하면 더 많은 컨텍스트를 제공하여 위협을 더 빠르고 정확하게 탐지하고 대응할 수 있습니다.
특화된 기능: 일부 타사 도구는 기본 AWS 도구에서 사용할 수 없는 특수 기능을 제공하여 틈새 보안 요구 사항을 충족합니다.
Connect Wiz with AWS
Gain complete visibility into your entire AWS estate across workloads, data stores, accounts, and environments.
Learn more
Wiz: AWS 보안 강화
Wiz는 조직이 AWS 환경에서 중요한 위험을 식별하고 해결할 수 있도록 지원합니다. Wiz는 50+ AWS 서비스와 통합됩니다. 클라우드 자산에 대한 완전한 가시성을 제공하고 기계 학습을 사용하여 기존 보안 도구에서 자주 놓치는 위험을 식별합니다.
Wiz는 다음과 같은 몇 가지 방법으로 AWS와 협력합니다.
Wiz는 AWS 서비스와 통합되어 가시성과 컨텍스트를 제공합니다.예를 들어, Wiz can iAWS CloudTrail을 사용하여 통합 을 사용하여 AWS 리소스에서 로그를 수집한 다음 기계 학습을 사용하여 위험을 나타내는 패턴을 식별할 수 있습니다. Wiz는 또한 다음을 수행할 수 있습니다. AWS Security Hub와 통합 AWS 전반의 보안 결과에 대한 통합 보기를 얻을 수 있습니다.
Wiz는 수정을 위한 권장 사항을 제공합니다.Wiz가 위험을 식별하면 수정을 위한 권장 사항을 제공합니다. 이러한 권장 사항은 다음과 같이 구체적일 수 있습니다 "이 사용자의 암호 변경" 또는 "이 리소스에 대해 2단계 인증을 사용하도록 설정합니다."
Wiz는 문제 해결을 자동화할 수 있습니다.Wiz는 비밀번호 변경 또는 이중 인증 활성화와 같은 일부 위험의 수정을 자동화할 수 있습니다. 이를 통해 조직은 AWS 환경을 안전하게 유지하는 데 필요한 시간과 노력을 줄일 수 있습니다.
Wiz는 AWS 서비스와 통합하고 기계 학습을 사용하여 기존 보안 도구에서 종종 놓치는 중요한 위험을 식별하고 해결할 수 있습니다.
AWS 보안을 더욱 강화하려는 경우 다음을 시도하는 것이 좋습니다. Wiz 데모. AWS 환경에 보다 포괄적이고 효과적인 보안 솔루션을 제공하는 방법을 직접 경험해 보십시오.
Agentless Full Stack coverage of your AWS Workloads in minutes
Learn why CISOs at the fastest growing companies choose Wiz to help secure their AWS environments.
관심을 가질 수 있는 다른 보안 도구 요약: