실습 개요
이 실습에서는 구성이 기본적 보안 모범 사례를 준수하는지 확인하기 위해 AWS 리소스를 감사하는 여러 단계를 진행해 봅니다. 이 실습에서는 보안에 적용되는 AWS Trusted Advisor를 사용합니다. 다루는 주제에는 보안 그룹, 멀티 팩터 인증(MFA), AWS Identity and Access Management(IAM) 작업이 포함됩니다.
목표
본 실습을 마치면 다음을 할 수 있습니다.
- Trusted Advisor를 사용하여 AWS 리소스 기본 감사 수행
- 모범 사례에 맞춰 Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹 수정
- 멀티 팩터 인증(MFA) 구성(선택 사항, 모바일 디바이스에 소프트웨어 설치 필요)
필수 기술 지식
이 실습을 성공적으로 완료하려면 Amazon EC2를 비롯한 AWS 서비스에 대한 지식과 보안 그룹에 대한 기본적인 이해가 있어야 합니다. AWS 관리 콘솔에 능숙하게 로그인하고 사용할 수 있어야 하고, IAM에 대한 지식이 있어야 합니다.
소요 시간
이 실습은 완료하는 데 90분 정도가 소요됩니다.
아이콘 설명
이 실습에서는 다양한 유형의 지침 및 참고 사항에 대한 주의를 환기하기 위해 다양한 아이콘이 사용됩니다. 각 아이콘의 목적은 다음과 같습니다.
- 수행한 단계/태스크의 출력을 확인하는 데 사용할 수 있는 샘플 출력입니다.
- 힌트, 팁 또는 중요한 가이드입니다.
- 추가 정보: 자세한 정보를 찾을 수 있는 위치입니다.
AWS Security Best Practices
공동 책임 모델
AWS 보안 모델은 AWS와 고객 모두가 보안 목표를 위해 협력해야 하는 공동 책임 모델입니다. AWS는 모든 AWS 서비스가 작동하는 보안 및 가용성이 뛰어난 기본 인프라를 제공합니다. AWS 보안 계층에는 물리적 하드웨어, 시설, 네트워크 인프라, 가상화 인프라에 대한 보안이 포함됩니다.
AWS의 직접 제어를 벗어나는 계층에서는 고객이 클라우드 인프라에서 사용하는 리소스를 적절하게 보호해야 합니다.
클라우드 리소스 보호
AWS는 고객이 클라우드에서 정보 자산을 보호하는 데 사용할 수 있는 여러 제어 기능을 제공합니다. 여기에는 IAM, Amazon Virtual Private Cloud(VPC), 보안 그룹, 네트워크 ACL, 인증서가 포함됩니다.
AWS에서 클라우드 기반 인프라를 구축하고 유지 관리할 때 데이터 및 리소스를 안전하게 유지하기 위해 모범 사례를 따르는 것이 중요합니다.
보안, 자격 증명 및 규정 준수 모범 사례는 Amazon Web Services의 보안 모범 사례를 이해하는 데 유용한 참조 가이드입니다.
AWS Trusted Advisor
AWS Trusted Advisor는 5가지 범주에서 모범 사례를 제공합니다.
- 비용 최적화
- 보안
- 내결함성
- 성능 향상
- 서비스 한도
60개 이상의 AWS Trusted Advisor 검사 항목을 사용하여 Amazon EC2, Elastic Load Balancing(ELB), Amazon Elastic Block Store(Amazon EBS), Amazon Simple Storage Service(Amazon S3), Amazon EC2 Auto Scaling, AWS Identity and Access Management(IAM), Amazon Relational Database Service(Amazon RDS), Amazon Route 53 및 기타 서비스의 배포를 모니터링하고 개선할 수 있습니다. AWS Trusted Advisor 권장 사항 페이지에서 AWS 리소스의 전반적인 상태와 예상 절감액을 볼 수 있습니다.
AWS Trusted Advisor는 특히 보안 모범 사례를 따르고 있는지 확인하는 데 유용합니다. 이 실습에서는 AWS Trusted Advisor의 무료 보안 검사를 사용합니다.
AWS Trusted Advisor 요금
Basic Support 플랜 및 Developer Support 플랜이 있는 경우 Trusted Advisor 콘솔을 사용하여 서비스 한도 범주에 있는 모든 검사와 보안 범주에 있는 다음 검사에 액세스할 수 있습니다.
보안 그룹 – 제한 없는 특정 포트: 보안 그룹에서 특정 포트에 대한 제한 없는 액세스(0.0.0.0/0)를 허용하는 규칙을 검사합니다. 제한 없는 액세스는 악의적인 활동(해킹, DoS 공격, 데이터 손실) 기회를 증가시킵니다. 위험이 가장 높은 포트는 빨간색 플래그가 지정되고 위험이 낮은 포트는 노란색 플래그가 지정됩니다. 녹색 플래그가 지정된 포트는 일반적으로 HTTP 및 SMTP와 같이 제한 없는 액세스가 필요한 애플리케이션에서 사용합니다.
IAM 사용: IAM 사용 여부를 검사합니다. IAM을 사용하여 AWS에서 사용자, 그룹 및 역할을 생성하고 권한을 사용하여 AWS 리소스에 대한 액세스를 제어할 수 있습니다.
루트 계정의 멀티 팩터 인증: 루트 계정을 검사하고 멀티 팩터 인증(MFA)이 활성화되어 있지 않은 경우 경고합니다. 보안을 강화하려면 멀티 팩터 인증을 사용하여 계정을 보호하는 것이 좋습니다. 멀티 팩터 인증을 사용하면 사용자는 AWS 콘솔 및 관련 웹 사이트와 상호 작용할 때 멀티 팩터 인증 하드웨어 또는 가상 디바이스에서 받은 고유 인증 코드를 입력해야 합니다.
Amazon EBS 퍼블릭 스냅샷: Amazon EBS 볼륨 스냅샷에 대한 권한 설정을 검사하고 퍼블릭으로 표시된 스냅샷이 있으면 알려줍니다. 스냅샷을 퍼블릭으로 표시하면 모든 AWS 계정 및 사용자가 스냅샷의 모든 데이터에 액세스할 수 있습니다. 스냅샷을 특정 사용자 또는 계정과 공유하려면 스냅샷을 프라이빗으로 표시한 다음, 스냅샷 데이터를 공유할 사용자 또는 계정을 지정합니다.
Amazon RDS 퍼블릭 스냅샷: Amazon RDS DB 스냅샷에 대한 권한 설정을 검사하고 퍼블릭으로 표시된 스냅샷이 있으면 알려줍니다. 스냅샷을 퍼블릭으로 표시하면 모든 AWS 계정 및 사용자가 스냅샷의 모든 데이터에 액세스할 수 있습니다. 스냅샷을 특정 사용자 또는 계정과 공유하려면 스냅샷을 프라이빗으로 표시한 다음, 스냅샷 데이터를 공유할 사용자 또는 계정을 지정합니다.
루트 계정의 멀티 팩터 인증: 루트 계정을 검사하고 멀티 팩터 인증(MFA)이 활성화되어 있지 않은 경우 경고합니다.
이러한 검사 중 일부는 보안 구성에 대한 가장 기본적인 감사로 사용할 수 있습니다. 60개 이상의 검사에 모두 액세스하려면 계정을 Business Support 또는 Enterprise Support 플랜으로 업그레이드해야 합니다.
AWS Support 요금에 대한 자세한 내용은 AWS Support 플랜을 참조하십시오.
MFA 디바이스
멀티 팩터 인증(MFA) 디바이스는 가상일 수도 물리적일 수도 있습니다. 물리적 멀티 팩터 인증을 사용하려면 Gemalto 하드웨어 전자 열쇠 또는 디스플레이 카드를 구매해야 합니다. 또는 Android, iPhone, Windows 및 Blackberry 모바일 디바이스에서 지원되는 여러 무료 가상 멀티 팩터 인증 애플리케이션 중 하나를 사용할 수 있습니다. 이 실습에서는 모바일 디바이스에서 멀티 팩터 인증 앱을 설정하는 단계를 안내합니다. 이 단계가 어렵게 느껴진다면 건너뛸 수 있습니다.
다음과 같은 지원되는 가상 멀티 팩터 인증 애플리케이션 목록에서 보유한 모바일 디바이스에 대한 옵션이 있는지 확인하십시오. IAM용 멀티 팩터 인증(MFA)