기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Elastic Beanstalk의 보안 모범 사례
AWS Elastic Beanstalk 는 자체 보안 정책을 개발하고 구현할 때 고려해야 할 몇 가지 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용해 주십시오.
기타 Elastic Beanstalk 보안 주제는 [AWS Elastic Beanstalk 보안](security.md) 단원을 참조하십시오.
## 예방 보안 모범 사례
예방적 보안 통제는 사고가 발생하기 전에 사고를 예방하려고 시도합니다.
### 최소 권한 액세스 구현
Elastic Beanstalk는 [인스턴스 프로파일](iam-instanceprofile.md), [서비스 역할](iam-servicerole.md) 및 [IAM 사용자](AWSHowTo.iam.managed-policies.md)에 대한 AWS Identity and Access Management (IAM) 관리형 정책을 제공합니다. 이러한 관리형 정책은 환경 및 애플리케이션이 올바르게 작동하는 데 필요할 수 있는 모든 권한을 지정합니다.
애플리케이션에 우리의 관리형 정책의 모든 권한이 필요한 것은 아닙니다. 이러한 정책을 사용자 지정하여 환경 인스턴스, Elastic Beanstalk 서비스 및 사용자의 작업 수행에 필요한 권한만 부여할 수 있습니다. 이는 다른 사용자 역할이 다른 권한 요구를 가질 수 있는 사용자 정책과 특히 관련이 있습니다. 최소 권한 액세스를 구현하는 것이 오류 또는 악의적인 의도로 인해 발생할 수 있는 보안 위험과 영향을 최소화할 수 있는 근본적인 방법입니다.
### 민감한 애플리케이션 데이터 보호
애플리케이션이 자격 증명, API 키 또는 구성 데이터와 같은 민감한 정보에 액세스해야 할 경우 보안을 유지하기 위해 다음과 같은 모범 사례를 따르세요.
+ 애플리케이션 코드에서 해당 SDKs 또는 APIs를 사용하여 AWS Secrets Manager 또는 AWS Systems Manager 파라미터 스토어에서 직접 민감한 데이터를 검색합니다. 이를 통해 민감한 정보에 가장 안전하고 유연하게 액세스할 수 있습니다.
+ AWS Secrets Manager 또는 AWS Systems Manager 파라미터 스토어의 민감한 데이터를 환경 변수로 전달하는 경우( 참조[보안 암호를 환경 변수로 가져오기](AWSHowTo.secrets.env-vars.md)) EC2 키 페어에 대한 액세스를 신중하게 제한하고 인스턴스에 대한 최소 권한으로 적절한 IAM 역할을 구성합니다.
+ 애플리케이션 코드에서 민감한 데이터를 출력하거나 로그로 기록하거나 노출하지 마세요. 이러한 값은 로그 파일이나 오류 메시지에 포함되어 권한 없는 사용자가 보게 될 위험이 있습니다.
### 플랫폼 정기 업데이트
Elastic Beanstalk는 정기적으로 새 플랫폼 버전을 출시하여 모든 플랫폼을 업데이트합니다. 새 플랫폼 버전은 운영 체제, 실행 시간, 애플리케이션 서버 및 웹 서버 업데이트, Elastic Beanstalk 구성 요소 업데이트를 제공합니다. 이러한 많은 플랫폼 업데이트에는 중요한 보안 수정 사항이 포함되어 있습니다. 지원되는 플랫폼 버전(일반적으로 플랫폼의 최신 버전)에서 Elastic Beanstalk 환경이 실행되고 있는지 확인하십시오. 자세한 내용은 [Elastic Beanstalk 환경의 플랫폼 버전 업데이트](using-features.platform.upgrade.md)을 참조하세요.
환경 플랫폼을 최신 상태로 유지하는 가장 쉬운 방법은 [관리형 플랫폼 업데이트](environment-platform-update-managed.md)를 사용하도록 환경을 구성하는 것입니다.
### 환경 인스턴스에 IMDSv2 적용
Elastic Beanstalk 환경의 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스는 온인스턴스 구성 요소인 인스턴스 메타데이터 서비스(IMDS)를 사용하여 인스턴스 메타데이터에 안전하게 액세스합니다. IMDS는 데이터 액세스를 위한 두 가지 방법인 IMDSv1과 IMDSv2를 지원합니다. IMDSv2는 세션 지향 요청을 사용하며 IMDS에 액세스하기 위해 사용될 수 있는 여러 유형의 취약성을 완화합니다. IMDSv2의 장점에 대한 자세한 내용은 [EC2 인스턴스 메타데이터 서비스에 심층적인 방어 기능을 추가하기 위한 향상된 기능](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/)을 참조하십시오.
IMDSv2가 더 안전하므로 인스턴스에서 IMDSv2를 사용하는 것이 좋습니다. IMDSv2를 적용하려면 애플리케이션의 모든 구성 요소가 IMDSv2를 지원하는지 확인한 다음 IMDSv1을 비활성화하십시오. 자세한 내용은 [Elastic Beanstalk 환경 인스턴스에서 IMDS 구성](environments-cfg-ec2-imds.md) 단원을 참조하십시오.
## 탐지 보안 모범 사례
탐지 보안 통제는 보안 위반이 발생한 후 이를 식별합니다. 잠재적인 보안 위협이나 사고를 탐지하는 데 도움이 됩니다.
### 모니터링 구현
모니터링은 Elastic Beanstalk 솔루션의 안정성, 보안, 가용성 및 성능을 유지하는 데 중요한 부분입니다.는 서비스를 모니터링하는 데 도움이 되는 여러 도구와 AWS 서비스를 AWS 제공합니다.
다음은 모니터링 대상 항목의 예입니다:
+ *Elastic Beanstalk를 위한 Amazon CloudWatch 지표* — 주요 Elastic Beanstalk 지표와 애플리케이션의 사용자 지정 지표에 대한 경보를 설정합니다. 자세한 내용은 [Amazon CloudWatch와 함께 Elastic Beanstalk 사용](AWSHowTo.cloudwatch.md)을 참조하세요.
+ *AWS CloudTrail 항목* - `UpdateEnvironment` 또는와 같이 가용성에 영향을 미칠 수 있는 작업을 추적합니다`TerminateEnvironment`. 자세한 내용은 [를 사용하여 Elastic Beanstalk API 호출 로깅 AWS CloudTrail](AWSHowTo.cloudtrail.md)을 참조하세요.
### 활성화 AWS Config
AWS Config 는 계정의 AWS 리소스 구성에 대한 자세한 보기를 제공합니다. 리소스 간에 어떤 관계가 있는지 파악하고, 구성 변경 이력을 확인하고, 시간이 지나면서 구성과 관계가 어떻게 변하는지 확인할 수 있습니다.
AWS Config 를 사용하여 데이터 규정 준수를 위해 리소스 구성을 평가하는 규칙을 정의할 수 있습니다. AWS Config 규칙은 Elastic Beanstalk 리소스에 대한 이상적인 구성 설정을 나타냅니다. 리소스가 규칙을 위반하고 *규정 미준수*로 플래그가 지정된 경우 Amazon Simple Notification Service(Amazon SNS) 주제를 사용하여 알림을 보낼 AWS Config 수 있습니다. 자세한 내용은 [를 사용하여 Elastic Beanstalk 리소스 찾기 및 추적 AWS Config](AWSHowTo.config.md) 섹션을 참조하십시오.