규정 준수 프로그램을 준수하도록 EC2 인스턴스를 보호하려면 어떻게 해야 합니까?
규정 준수 프로그램을 준수하도록 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 보호하고 싶습니다.
해결 방법
참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.
규정 준수 법률, 규정 및 개인정보 보호 프로그램을 준수하는 것은 사용자의 책임입니다. 기존 규정 준수 프로그램에 대한 자세한 내용은 AWS 규정 준수 프로그램을 참조하십시오.
다음 표에는 일반 규정 준수 프로그램, 해당 요구 사항 및 규정 준수를 구성하는 데 도움이 되는 AWS 서비스가 나와 있습니다.
| 규정 준수 프로그램 | 주요 요구 사항 | 사용할 AWS 서비스 |
|---|---|---|
| SOC 2 | 보안, 가용성 및 기밀성 | AWS Identity and Access Management(IAM), AWS CloudTrail, AWS Config, Amazon GuardDuty |
| 건강보험 양도 및 책임에 관한 법률(HIPAA) | 전자 보호 건강 정보(ePHI) 암호화 및 액세스 로그 | AWS Key Management Service(AWS KMS), CloudTrail, Amazon Macie |
| 결제 카드 데이터 보안 표준(PCI DSS) | 카드 소지자 데이터 보호 및 웹 애플리케이션 방화벽(WAF) | AWS WAF, AWS Shield, Amazon Inspector |
| 일반 데이터 보호 규정(GDPR) | 개인 식별 정보(PII) 보호 및 삭제 권한 | Macie, AWS Lambda |
| ISO 27001 | 위험 관리 및 암호화 | AWS Security Hub, AWS Artifact |
| 국립 표준 기술 연구소(NIST) 800-53 | 액세스 제어 및 로깅 | AWS Organizations 서비스 제어 정책(SCP) |
| 연방 위험 및 인증 관리 프로그램(FedRAMP) | 미국 정부 클라우드 보안 | AWS GovCloud(미국), AWS Control Tower |
규정 준수 요구 사항을 충족하려면 EC2 인스턴스에 계층화된 보안 접근 방식을 구현하는 것이 가장 좋습니다.
액세스 제어를 사용하여 최소 권한 원칙 준수
SOC 2, NIST 및 ISO 27001과 같은 프로그램에 대한 규정 준수를 구성하려면 다음 작업을 수행하십시오.
- IAM Identity Center 콘솔 또는 AWS CLI를 사용하여 모든 사용자에게 다중 인증(MFA)을 적용합니다.
참고: PCI DSS 및 SOC 2에는 MFA 적용이 필요합니다. - 루트 사용자나 장기 자격 증명 대신 IAM 역할을 사용합니다.
- SCP를 적용하여 위험한 작업을 제한합니다.
저장 중 및 전송 중 암호화 설정
HIPPA, PCI DSS 및 GDPR과 같은 프로그램에 대한 규정 준수를 구성하려면 다음 작업을 수행하십시오.
- Amazon Elastic Block Store(Amazon EBS) 암호화를 활성화합니다.
참고: 새 EBS 볼륨 및 스냅샷에 대한 자동 암호화를 설정할 수 있습니다. - TLS 1.2 이상을 적용합니다.
참고: 이는 PCI DSS에 필요합니다. - AWS Certificate Manager(ACM) 인증서를 사용하여 HTTPS 트래픽을 관리합니다.
- SSL/TLS가 아닌 트래픽을 차단하도록 보안 그룹을 구성합니다.
참고: 암호화된 트래픽만 허용하려면 443, 465, 587과 같은 SSL/TLS 포트를 허용하고 80, 21, 3306과 같은 일반 텍스트 포트를 차단합니다. 보안 그룹에 대한 자세한 내용은 다양한 사용 사례에 대한 보안 그룹 규칙을 참조하십시오. - 보안 그룹 규칙을 HTTP Strict Transport Security(HSTS)와 같은 애플리케이션 수준 적용과 결합합니다.
네트워크 보안 방화벽 설정
PCI DSS, FedRAMP 및 NIST와 같은 프로그램에 대한 규정 준수를 구성하려면 다음 작업을 수행하십시오.
- 필요한 포트만 허용하도록 보안 그룹을 제한합니다.
- AWS WAF를 사용하여 인스턴스를 보호합니다.
- NIST 800-53의 운영 모범 사례를 준수할 수 있도록 Amazon Virtual Private Cloud(Amazon VPC) 흐름 로그를 활성화하여 IP 주소 트래픽을 캡처합니다.
감사 추적 설정
SOC 2, ISO 27001 및 HIPAA와 같은 프로그램에 대한 규정 준수를 구성하려면 다음 작업을 수행하십시오.
- 모든 AWS 리전에서 CloudTrail을 활성화하려면 IsMultiRegionTrail을 true로 설정하여 추적을 생성하거나 기존 추적을 업데이트합니다.
- 자동 규정 준수 검사를 위해 Amazon Detective 또는 Security Hub로 로그를 전송합니다.
패치 관리 및 취약성 검사 구성
PCI DSS 및 FedRAMP와 같은 프로그램에 대한 규정 준수를 구성하려면 다음 작업을 수행하십시오.
- AWS Systems Manager의 기능인 Patch Manager를 설정하여 Windows 및 Linux 인스턴스에 자동으로 패치를 적용합니다.
- Amazon Inspector를 사용하여 인스턴스에서 패키지 취약성 및 네트워크 연결성 문제를 검사합니다.
SSH 액세스 설정
SOC 2, HIPAA, PCI DSS 및 NIST와 같은 프로그램에 대한 규정 준수를 구성하려면 다음 작업을 수행하십시오.
- SSH 액세스 모범 사례를 준수합니다.
- AWS Systems Manager의 기능인 Session Manager를 사용하여 SSH 대신 인스턴스에 연결합니다.
- 보안 그룹을 특정 IP 주소로 제한합니다.
- 암호 로그인을 비활성화하고 대신 SSH 키 페어를 사용합니다.
- 90일마다 SSH 키를 교체합니다.
위협 탐지 설정
SOC 2 및 IS 27001과 같은 프로그램에 대한 규정 준수를 구성하려면 다음과 같은 GuardDuty 설정을 구성하십시오.
- GuardDuty를 Security Hub와 통합하여 중요한 결과를 에스컬레이션합니다.
- 온디맨드 맬웨어 스캔 을 설정합니다.
- 환경에 가장 큰 영향을 미치는 보안 위협을 식별하려면 오탐지, 가치가 낮은 결과 및 조치 불가능한 위협을 제거하는 억제 규칙을 설정합니다.
보고서에 사용할 인스턴스 정보 검색
ID, 태그, 규정 준수 상태와 같은 인스턴스에 대한 데이터를 가져오려면 다음 describe-instances AWS CLI 명령을 실행합니다.
aws ec2 describe-instances --query Reservations[*].Instances[*].{InstanceId, InstanceType, LaunchTime, State.Name, Tags[?Key==`Name`].Value} --output text > instances.csv
중요: 표준 변경에 따라 구성을 정기적으로 감사하고 업데이트하여 규정 준수를 유지하는 것이 가장 좋습니다.
