aws 에서 클라우드의 보안을 위한 7 가지 설계원칙
클라우드의 보안을 위한 7 가지 설계 원칙
설계 원칙
클라우드의 보안을 위한 7 가지 설계 원칙이 있습니다.
• 강력한 자격 증명 기반 구현 : 최소 권한 원칙을 구현하고 AWS 리소스와의 각 상호 작용에 대해 적절한 권한을 부여하여 업무 분리를 시행합니다. ID 관리를 중앙 집중화하고 장기적인 정적 자격 증명에 대한 의존성을 제거하는 것을 목표로합니다.
• 추적 기능 활성화 : 실시간으로 환경에 대한 작업과 변경 사항을 모니터링, 경고 및 감사합니다. 로그 및 메트릭 수집을 시스템과 통합하여 자동으로 조사하고 조치를 취합니다.
• 모든 계층에 보안 적용 : 여러 보안 제어를 통해 심층 방어 접근 방식을 적용합니다. 모든 계층 (예 : 네트워크 에지, VPC, 부하 분산, 모든 인스턴스 및 컴퓨팅 서비스, 운영 체제, 애플리케이션 및 코드)에 적용합니다.
• 보안 모범 사례 자동화 : 자동화 된 소프트웨어 기반 보안 메커니즘은보다 빠르고 비용 효율적으로 안전하게 확장 할 수있는 능력을 향상시킵니다. 버전 제어 템플릿에서 코드로 정의 및 관리되는 컨트롤 구현을 포함하여 보안 아키텍처를 만듭니다.
• 전송 및 저장 데이터 보호 : 데이터를 민감도 수준으로 분류하고 적절한 경우 암호화, 토큰 화 및 액세스 제어와 같은 메커니즘을 사용합니다.
• 데이터로부터 사람들을 멀리하십시오 : 메커니즘과 도구를 사용하여 데이터에 대한 직접 액세스 또는 수동 처리의 필요성을 줄이거 나 제거하십시오. 이렇게하면 민감한 데이터를 처리 할 때 잘못 처리하거나 수정하는 위험과 사람의 실수를 줄일 수 있습니다.
• 보안 이벤트 준비 : 조직 re15 아카이브 된 AWS Well-Architected 프레임 워크 요구 사항에 맞는 인시던트 관리 및 조사 정책과 프로세스를 보유하여 인시던트에 대비합니다. 사고 대응 시뮬레이션을 실행하고 자동화 도구를 사용하여 탐지, 조사 및 복구 속도를 높이십시오.
Design Principles
There are seven design principles for security in the cloud:
• Implement a strong identity foundation: Implement the principle of least privilege and enforce separation of duties with appropriate authorization for each interaction with your AWS resources. Centralize identity management, and aim to eliminate reliance on long-term static credentials.
• Enable traceability: Monitor, alert, and audit actions and changes to your environment in real time. Integrate log and metric collection with systems to automatically investigate and take action.
• Apply security at all layers: Apply a defense in depth approach with multiple security controls. Apply to all layers (for example, edge of network, VPC, load balancing, every instance and compute service, operating system, application, and code).
• Automate security best practices: Automated software-based security mechanisms improve your ability to securely scale more rapidly and cost-effectively. Create secure architectures, including the implementation of controls that are defined and managed as code in version-controlled templates.
• Protect data in transit and at rest: Classify your data into sensitivity levels and use mechanisms, such as encryption, tokenization, and access control where appropriate.
• Keep people away from data: Use mechanisms and tools to reduce or eliminate the need for direct access or manual processing of data. This reduces the risk of mishandling or modification and human error when handling sensitive data.
• Prepare for security events: Prepare for an incident by having incident management and investigation policy and processes that align to your organizational re15 Archived AWS Well-Architected Framework quirements. Run incident response simulations and use tools with automation to increase your speed for detection, investigation, and recovery.
