기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 다중 계정 아키텍처에 대한 보안 인시던트 대응
여러 로 전환할 때 조직 내에서 발생할 수 있는 보안 이벤트에 대한 가시성을 유지하는 AWS 계정것이 중요합니다. [ID 관리 및 액세스 제어](identity-management.md)에서는 AWS Control Tower 를 사용하여 랜딩 존을 설정했습니다. 이 설정 프로세스 중에는 보안을 AWS 계정 위해를 AWS Control Tower 지정했습니다. 보안 서비스 관리를 **security-tooling-prod** 계정에 위임하고 이 계정을 사용하여 중앙에서 서비스를 관리해야 합니다.
이 가이드에서는 사용자 AWS 계정 및 조직을 보호하는 AWS 서비스 데 도움이 되는 다음 사용 방법을 검토합니다.
+ [Amazon GuardDuty](#amazon-guardduty)
+ [Amazon Macie](#amazon-macie)
+ [AWS Security Hub CSPM](#amazon-security-hub)
## Amazon GuardDuty
[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)는 AWS CloudTrail 이벤트 로그와 같은 데이터 소스를 분석하는 지속적인 보안 모니터링 서비스입니다. 지원되는 데이터 소스의 전체 목록은 [How Amazon GuardDuty uses its data sources](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html#guardduty_vpc)(GuardDuty 설명서)를 참조하세요. 악성 IP 주소 및 도메인 목록 등 위협 인텔리전스 피드와 기계 학습을 사용하여 AWS 환경에서 예기치 않게 발생하는 잠재적 무단 활동과 악의적 활동을 찾아냅니다.
GuardDuty AWS Organizations를와 함께 사용하는 경우 조직의 관리 계정은 조직의 모든 계정을 GuardDuty *위임된 관리자*로 지정할 수 있습니다. 위임된 관리자가 해당 리전의 GuardDuty 관리자 계정이 됩니다. GuardDuty는 해당 :에서 자동으로 활성화되며AWS 리전, 위임된 관리자 계정에는 해당 리전 내 조직의 모든 계정에 대해 GuardDuty를 활성화하고 관리할 수 있는 권한이 있습니다. 자세한 내용은 [Managing GuardDuty accounts with AWS Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)를 참조하세요.
GuardDuty는 리전 서비스입니다. 즉, 모니터링하려는 각 리전에서 GuardDuty를 활성화해야 합니다.
### 모범 사례
+ 지원되는 모든에서 GuardDuty를 활성화합니다 AWS 리전. GuardDuty는 현재 활발히 사용하고 있지 않은 리전에서도 비정상적인 활동이나 허가되지 않은 활동에 대한 조사 결과를 생성할 수 있습니다. GuardDuty 요금은 분석된 이벤트 수를 기준으로 책정됩니다. 워크로드를 운영하지 않는 리전에서도 GuardDuty를 활성화하면 잠재적으로 악의적인 활동을 알릴 수 있는 효과적이고 비용 효율적인 탐지 도구로 활용할 수 있습니다. GuardDuty를 사용할 수 있는 리전에 대한 자세한 내용은 [Amazon GuardDuty service endpoints](https://docs.aws.amazon.com/general/latest/gr/guardduty.html#guardduty_region)(AWS 일반 참조)를 참조하세요.
+ 모든 리전 내에서 **security-tooling-prod** 계정을 위임하여 조직의 GuardDuty를 관리합니다. 자세한 내용은 [Designating a GuardDuty delegated administrator](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#delegated-admin-designate)(GuardDuty 설명서)를 참조하세요.
+ 조직에 추가될 AWS 계정 때 새를 자동으로 등록하도록 GuardDuty를 구성합니다. 자세한 내용은 [Managing accounts with AWS Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#delegated-admin-designate)(GuardDuty documentation)의 **Step 3 - automate the addition of new organization accounts as members를 참조하세요.
## Amazon Macie
[Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html)는 기계 학습과 패턴 일치를 사용하여 Amazon Simple Storage Service(S3)에서 민감한 데이터를 검색, 모니터링, 보호하는 데 도움이 되는 완전관리형 데이터 보안 및 데이터 개인 정보 보호 서비스입니다. Amazon Relational Database Service(RDS) 및 Amazon DynamoDB에서 S3 버킷으로 데이터를 내보낸 다음 Macie를 사용하여 데이터를 스캔할 수 있습니다.
Macie AWS Organizations를와 함께 사용하는 경우 조직의 관리 계정은 조직의 모든 계정을 Macie *관리자 계정으로* 지정할 수 있습니다. 관리자 계정은 조직의 멤버 계정에 대해 Macie를 활성화 및 관리하고, Amazon S3 인벤토리 데이터에 액세스하고, 계정에 대해 민감한 데이터 검색 작업을 실행할 수 있습니다. 자세한 내용은 [Managing accounts with AWS Organizations](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao.html)(Macie 설명서)를 참조하세요.
Macie는 리전 서비스입니다. 즉, 모니터링하려는 각 리전에서 Macie를 활성화해야 하며 Macie 관리자 계정은 동일한 리전 내에서만 멤버 계정을 관리할 수 있습니다.
### 모범 사례
+ [Considerations and recommendations for using Macie with AWS Organizations](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-notes.html)(Macie 설명서)를 준수합니다.
+ 모든 리전 내에서 **security-tooling-prod** 계정을 위임하여 조직의 Macie를 관리합니다. 여러에서 Macie 계정을 중앙에서 관리하려면 AWS 리전관리 계정이 조직이 현재 Macie를 사용하거나 사용할 각 리전에 로그인한 다음 각 리전에서 Macie 관리자 계정을 지정해야 합니다. 그러면 Macie 관리자 계정이 해당 리전 각각에서 조직을 구성할 수 있습니다. 자세한 내용은 [Integrating and configuring an organization](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-integrate.html)(Macie 설명서)을 참조하세요.
+ Macie는 민감한 데이터 검색 작업을 위한 [월간 프리 티어](https://docs.aws.amazon.com/macie/latest/user/account-mgmt-costs-calculations.html)를 제공합니다. Amazon S3에 민감한 데이터가 저장되어 있는 경우 Macie를 사용하여 월간 프리 티어의 일부로 S3 버킷을 분석하세요. 프리 티어를 초과하면 계정에 민감한 데이터 검색 요금이 발생하기 시작합니다.
## AWS Security Hub CSPM
[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)는의 보안 상태에 대한 포괄적인 보기를 제공합니다 AWS. 이를 사용하면 환경에서 보안 업계 표준 및 모범 사례를 준수하는지 확인할 수 있습니다. Security Hub CSPM은 모든 AWS 계정, 서비스(GuardDuty 및 Macie 포함) 및 지원되는 타사 파트너 제품에서 보안 데이터를 수집합니다. Security Hub CSPM은 보안 추세를 분석하고 우선순위가 가장 높은 보안 문제를 식별하는 데 도움이 됩니다. Security Hub CSPM은 각에서 규정 준수 검사를 수행할 수 있는 다양한 보안 표준을 제공합니다 AWS 계정.
Security Hub CSPM AWS Organizations을와 함께 사용하는 경우 조직의 관리 계정은 조직의 모든 계정을 Security Hub CSPM *관리자 계정으로* 지정할 수 있습니다. 그러면 Security Hub CSPM 관리자 계정이 조직의 다른 멤버 계정을 활성화하고 관리할 수 있습니다. 자세한 내용은 [AWS Organizations 를 사용하여 계정 관리](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-orgs.html)(Security Hub CSPM 설명서)를 참조하세요.
Security Hub CSPM은 리전 서비스입니다. 즉, 분석하려는 각 리전에서 Security Hub CSPM을 활성화하고 AWS Organizations에서 각 리전에 대해 위임된 관리자를 정의해야 합니다.
### 모범 사례
+ [사전 조건 및 권장 사항](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-setup-prereqs.html)(Security Hub CSPM 설명서)을 준수합니다.
+ 모든 리전 내에서 **security-tooling-prod** 계정을 위임하여 조직의 Security Hub CSPM을 관리합니다. 자세한 내용은 [Security Hub CSPM 관리자 계정 지정](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)(Security Hub CSPM 설명서)을 참조하세요.
+ Security Hub CSPM이 조직에 추가될 AWS 계정 때 자동으로 새를 등록하도록 구성합니다.
+ [AWS 기본 보안 모범 사례 표준](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)(Security Hub CSPM 설명서)을 활성화하여 리소스가 보안 모범 사례에서 벗어나는 시점을 감지합니다.
+ 단일 [리전에서 모든 Security Hub CSPM 조사 결과를 보고 관리할 수 있도록 교차 리전 집계](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)(Security Hub CSPM 설명서)를 활성화합니다.