콘텐츠 도메인 4: 네트워크 보안, 규정 준수 및 거버넌스

애플리케이션 아키텍처를 기반으로 한 다양한 위협 모델

일반적인 보안 위협

다양한 애플리케이션 흐름을 보호하는 메커니즘

보안 및 규정 준수 요구 사항을 충족하는 AWS 네트워크 아키텍처

AWS로 유입되는 인바운드 트래픽 흐름 보호(예: AWS WAF, AWS Shield, Network Firewall)

AWS의 아웃바운드 트래픽 흐름 보호(예: Network Firewall, 프록시, Gateway Load Balancer)

계정 내 또는 여러 계정에서 VPC 간 트래픽 보호(예: 보안 그룹, 네트워크 ACL, VPC 엔드포인트 정책)

보안 및 규정 준수 요구 사항을 충족하는 AWS 네트워크 아키텍처 구현(예: 신뢰할 수 없는 네트워크, 경계 VPC, 3티어 아키텍처)

위협 모델 개발 및 지정된 네트워크 아키텍처에 대한 적절한 완화 전략 파악

초기 요구 사항 준수 테스트(예: 장애 조치 테스트, 복원력)

AWS를 사용하여 보안 인시던트 보고 및 알림 자동화

AWS에서 사용할 수 있는 네트워크 모니터링 및 로깅 서비스(예: CloudWatch, AWS CloudTrail, VPC 트래픽 미러링, VPC 흐름 로그, Transit Gateway Network Manager)

알림 메커니즘(예: CloudWatch 경보)

다양한 AWS 서비스에서 로그 만들기(예: VPC 흐름 로그, 로드 밸런서 액세스 로그, CloudFront 액세스 로그)

로그 전달 메커니즘(예:Amazon Kinesis, Route 53, CloudWatch)

네트워크 보안 구성을 감사하는 메커니즘(예: 보안 그룹, AWS Firewall Manager, AWS Trusted Advisor)

VPC 흐름 로그 만들기 및 분석(흐름 로그의 기본 및 확장 필드 포함)

네트워크 트래픽 미러링 만들기 및 분석(예: VPC 트래픽 미러링 사용)

CloudWatch를 사용하여 자동화된 경보 구현

CloudWatch를 사용하여 사용자 지정 지표 구현

단일 또는 여러 AWS 로그 소스에서 정보 상관 관계 파악 및 분석

로그 전달 솔루션 구현

단일 또는 여러 AWS 네트워크 서비스 및 계정에서 네트워크 감사 전략 구현(예: Firewall Manager, 보안 그룹, 네트워크 ACL)

AWS에서 사용할 수 있는 네트워크 암호화 옵션

Direct Connect를 통한 VPN 연결

전송 중인 데이터의 암호화 방법(예: IPsec)

AWS 공동 책임 모델에 따른 네트워크 암호화

DNS 통신의 보안 방법(예: DNSSEC)

애플리케이션 규정 준수 요구 사항(예: IPsec, TLS)을 충족하기 위한 네트워크 암호화 방법 구현

전송 중인 데이터를 보호하기 위한 암호화 솔루션 구현(예: CloudFront, Application Load Balancer와 Network Load Balancer, Direct Connect를 통한 VPN, AWS 관리형 데이터베이스, Amazon S3, Amazon EC2의 사용자 지정 솔루션, Transit Gateway)

인증 기관을 사용하여 인증서 관리 솔루션 구현(예: ACM, AWS Private Certificate Authority(ACM PCA))

보안 DNS 통신 구현