AWS 계정과 해당 리소스를 보호하기 위한 모범 사례에는 어떠한 것이 있나요?

6분 분량

무단 활동으로부터 AWS 리소스 또는 계정을 보호하고 싶습니다. AWS 계정과 해당 리소스를 보호하기 위한 몇 가지 모범 사례를 알고 싶습니다.

간략한 설명

AWS는 계정을 보호하는 데 도움이 되는 다양한 도구를 제공합니다. 하지만 이러한 조치 중 상당수는 기본적으로 활성화되지 않으므로 직접 조치를 취하여 구현해야 합니다. 계정과 해당 리소스를 보호할 때 고려해야 할 몇 가지 모범 사례는 다음과 같습니다.

암호 및 액세스 키를 보호하세요
AWS 계정 루트 사용자 및 AWS Identity and Access Management(IAM)에 대한 대화형 액세스 권한이 있는 모든 사용자에 대해 다중 인증(MFA)을 활성화합니다.
리소스에 대한 AWS 계정 루트 사용자 액세스 제한
빈번한 IAM 사용자 및 정책 감사
Amazon Elastic Block Store(Amazon EBS) 스냅샷, Amazon Relational Database Service(Amazon RDS) 스냅샷, Amazon Simple Storage Service(Amazon S3) 객체 버전 생성
AWS Git 프로젝트를 사용하여 무단 사용의 증거 스캔
계정 및 리소스 모니터링

**참고:**AWS Identity Center 또는 IAM 페더레이션 사용자를 사용하는 경우, IAM 사용자를 위한 모범 사례는 페더레이션 사용자에게도 적용됩니다.

해결 방법

암호 및 액세스 키를 보호하세요

계정에 액세스하는 데 사용되는 두 가지 주요 보안 인증 정보는 암호와 액세스 키입니다. 암호와 액세스 키는 AWS 루트 사용자 계정과 개별 IAM 사용자에게 적용할 수 있습니다. 암호와 액세스 키를 다른 기밀 개인 데이터와 마찬가지로 안전하게 보호하는 것이 가장 좋습니다. 절대 공개적으로 액세스할 수 있는 코드(예: 공용 Git 리포지토리)에 포함하지 마세요. 보안을 강화하려면 모든 보안 자격 증명을 자주 교체하고 업데이트하세요.

암호 또는 액세스 키 페어가 노출된 것으로 의심된다면 다음 단계를 따르세요.

모든 액세스 키 페어를 교체하세요.
AWS 계정 루트 사용자 암호를 변경하세요.
내 AWS 계정에서 무단 활동이 감지되면 어떻게 해야 하나요?에 있는 지침을 따르세요.

MFA 활성화

MFA를 활성화하면 계정을 보호하고 인증되지 않은 사용자가 보안 토큰 없이 계정에 로그인하는 것을 방지할 수 있습니다.

보안을 강화하려면 AWS 리소스를 보호하는 데 도움이 되도록 MFA를 구성하는 것이 좋습니다. IAM 사용자 및 AWS 계정 루트 사용자에 대한 가상 MFA를 활성화할 수 있습니다. 루트 사용자의 MFA를 활성화하면 루트 사용자 자격 증명에만 영향을 줍니다. 계정의 IAM 사용자는 고유한 자격 증명을 가진 고유한 ID이며 각 ID에는 고유한 MFA 구성이 있습니다.

자세한 내용은 AWS 사용자의 MFA 디바이스 활성화를 참조하세요.

리소스에 대한 루트 사용자 액세스 제한

루트 사용자 계정 자격 증명(루트 암호 또는 루트 액세스 키)은 계정과 해당 리소스에 대한 무제한 액세스를 부여합니다. 계정에 대한 루트 사용자 액세스를 보호하고 최소화하는 것이 가장 좋은 방법입니다.

계정에 대한 루트 사용자 액세스를 제한하려면 다음 전략을 고려하세요.

IAM 사용자를 사용하여 계정에 일상적으로 액세스할 수 있습니다. 본인만 계정에 액세스하는 경우 관리 사용자 생성을 참조하세요.
루트 액세스 키 사용을 제거합니다. 자세한 내용은 AWS 액세스 키 관리를 위한 모범 사례를 참조하세요.
계정의 루트 사용자에 대해 MFA 디바이스를 사용하세요.

자세한 내용은 루트 사용자 자격 증명을 보호하고 일상적인 작업에는 사용하지 않기를 참조하세요.

빈번한 IAM 사용자 및 정책 감사

IAM 사용자와 작업한 경우 다음 모범 사례를 고려하세요.

IAM 사용자가 의도한 작업을 완료할 수 있는 충분한 권한(최소 권한)을 사용해 가능한 가장 제한적인 정책을 적용해야 합니다.
AWS IAM Access Analyzer를 사용하여 기존 권한을 분석할 수 있습니다. 자세한 내용은 IAM Access Analyzer를 사용하여 액세스 활동을 기반으로 IAM 정책을 생성하여 최소 권한 구현을 더 쉽게 수행하기를 참조하세요.
각 작업 세트에 대해 서로 다른 IAM 사용자를 생성합니다.
여러 정책을 동일한 IAM 사용자와 연결할 경우, 가장 제한이 적은 정책이 우선합니다.
IAM 사용자 및 권한을 빈번하게 감사하고 미사용 자격 증명을 찾으세요.
IAM 사용자가 콘솔에 액세스해야 하는 경우 사용자의 권한을 제한하면서 암호를 설정하여 콘솔 액세스를 허용할 수 있습니다.
콘솔에 액세스할 수 있는 각 IAM 사용자에 대한 개별 MFA 디바이스를 설정합니다.

IAM 콘솔의 시각적 편집기를 사용하여 보안 정책을 정의할 수 있습니다. 일반적인 비즈니스 사용 사례와 이를 해결하기 위해 사용할 수 있는 정책의 예를 보려면 IAM의 비즈니스 사용 사례를 참조하세요.

아마존 EBS 스냅샷, 아마존 RDS 스냅샷 및 아마존 S3 객체 버전 생성

EBS 볼륨의 특정 시점 스냅샷을 생성하려면 Amazon EBS 스냅샷 생성을 참조하세요.

Amazon RDS 자동 스냅샷을 활성화하고 백업 보존 기간을 설정하려면 자동 백업 활성화를 참조하세요.

백업 및 아카이브용 표준 S3 버킷을 생성하려면 백업 및 아카이브를 위한 표준 S3 버킷 생성을 참조하세요. S3 버킷 버전 관리를 생성하려면 S3 버킷에서 버전 관리 사용을 참조하세요.

콘솔을 사용하여 AWS Backup 계획을 만들려면 예약 백업 생성을 참조하세요. AWS Command Line Interface(AWS CLI)를 사용하여 AWS Backup 계획을 생성하려는 경우, AWS CLI를 사용하여 AWS Backup 계획을 생성하거나 온디맨드 작업을 실행하려면 어떻게 해야 하나요?를 참조하세요.

AWS Git 프로젝트를 사용하여 무단 사용으로부터 보호

AWS는 계정을 보호하기 위해 설치할 수 있는 Git 프로젝트를 제공합니다.

Git Secrets를 사용하면 병합, 커밋 및 커밋 메시지를 스캔하여 비밀 정보(액세스 키)를 찾을 수 있습니다. Git Secrets가 금지된 정규 표현식을 감지하면 해당 커밋이 공개 리포지토리에 게시되지 않도록 거부할 수 있습니다.
AWS Step Functions 및 AWS Lambda를 사용하여 AWS Health 또는 AWS Trusted Advisor에서 Amazon CloudWatch 이벤트를 생성할 수 있습니다. 액세스 키가 노출되었다는 증거가 있다면 프로젝트를 통해 이벤트를 자동으로 탐지, 기록 및 완화할 수 있습니다.

계정 및 리소스 모니터링

계정과 해당 리소스를 적극적으로 모니터링하여 비정상적인 활동이나 계정 액세스를 감지하는 것이 가장 좋은 방법입니다. 다음 해결 방법 중 하나 이상을 고려해 보세요.

예상 AWS 요금을 모니터링하는 결제 경보를 생성하여 청구서가 정의한 임계값을 초과할 경우 자동 알림을 받을 수 있습니다. 자세한 내용은 Amazon CloudWatch FAQ를 참조하세요.
AWS 계정에 대한 추적을 생성하여 특정 API 호출을 시작하는 데 사용되는 자격 증명과 해당 자격 증명의 사용 시기를 추적할 수 있습니다. 이렇게 하면 실수인지 무단 사용인지 파악하는 데 도움이 될 수 있습니다. 그리고 나서 적절한 조치를 취하여 상황을 완화할 수 있습니다. 자세한 내용은 AWS CloudTrail의 보안 모범 사례를 참조하세요.
CloudTrail과 CloudWatch를 같이 사용하여 액세스 키 사용을 모니터링하고 비정상적인 API 호출에 대한 알림을 받을 수 있습니다.
리소스 수준 로깅(예: 인스턴스 또는 OS 수준) 및 Amazon S3 기본 버킷 암호화를 활성화합니다.
지원되는 모든 리전에서 AWS 계정에 대한 Amazon GuardDuty를 활성화하세요. GuardDuty를 켜면 AWS CloudTrail 관리 및 Amazon S3 데이터 이벤트, Amazon VPC 흐름 로그 및 DNS 로그의 독립적인 데이터 스트림을 분석하여 보안 결과를 생성하기 시작합니다. 주요 탐지 범주에는 계정 침해, 인스턴스 침해, 악의적 침입 등이 포함됩니다. 자세한 내용은 Amazon GuardDuty FAQ를 참조하세요.

참고: 자주 사용하는 리전뿐만 아니라 모든 리전에 대해 로깅을 켜는 것이 가장 좋은 방법입니다.