# SEC 1  워크로드를 안전하게 운영하려면 어떻게 해야 합니까?
<a name="w2aac19b7b5b5"></a>

 워크로드를 안전하게 운영하려면 모든 보안 영역에 포괄적 모범 사례를 적용해야 합니다. 조직 및 워크로드 수준에서 운영 우수성에 정의된 요구 사항과 프로세스를 가져와 모든 영역에 적용합니다. AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됩니다. 보안 프로세스, 테스트 및 검증을 자동화함으로써 보안 작업을 확장할 수 있습니다. 

**Topics**
+ [SEC01-BP01 계정을 사용하여 워크로드 분리](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 AWS 계정 보안](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 제어 목표 파악 및 검증](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 최신 보안 위협 정보 파악](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 최신 보안 권장 사항 파악](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 파이프라인에서 보안 제어의 테스트 및 검증 자동화](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 보안 위협 모델을 사용하여 위험 파악 및 우선순위 지정](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 새로운 보안 서비스 및 기능을 정기적으로 평가 및 구현](sec_securely_operate_implement_services_features.md)

# SEC01-BP01 계정을 사용하여 워크로드 분리
<a name="sec_securely_operate_multi_accounts"></a>

워크로드가 증가함에 따라 조직에서 공통 가드레일을 설정할 수 있도록 보안 및 인프라를 염두에 두고 시작해야 합니다. 그러면 여러 워크로드 사이에 경계를 정해 제어할 수 있습니다. 프로덕션 환경을 개발 및 테스트 환경과 격리하거나 외부 규정 준수 요구 사항(예: PCI-DSS 또는 HIPAA)에 정의된 대로 서로 다른 민감도 수준의 데이터를 처리하는 워크로드와 그렇지 않은 워크로드 간에 강력한 논리적 경계를 표시하려는 경우에는 계정 수준의 분리를 권장합니다.

 **이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음

## 구현 가이드
<a name="implementation-guidance"></a>
+  AWS Organizations 사용: AWS Organizations를 사용하여 여러 AWS 계정을 정책 기반으로 관리하는 방식을 중앙 집중식으로 적용합니다. 
  + [AWS Organizations 시작하기 ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) 
  + [AWS Organization의 여러 계정에서 서비스 제어 정책을 사용해 권한 가드레일을 설정하는 방법 ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/) 
+  AWS Control Tower 고려: AWS Control Tower는 모범 사례를 기반으로 안전하고 새로운 다중 계정 AWS 환경을 설정하고 관리할 수 있는 간편한 방법을 제공합니다. 
  +  [AWS Control Tower](https://aws.amazon.com/controltower/) 

## 리소스
<a name="resources"></a>

 **관련 문서:** 
+ [IAM 모범 사례 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+  [보안 공지](https://aws.amazon.com/security/security-bulletins)
+  [AWS 보안 감사 지침](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)

 **관련 동영상:** 
+ [AWS Organizations를 사용하여 다중 계정 AWS 환경 관리 ](https://youtu.be/fxo67UeeN1A) 
+ [Well-Architected 방식의 보안 모범 사례 ](https://youtu.be/u6BCVkXkPnM) 
+ [AWS Control Tower를 사용하여 다중 계정 AWS 환경 제어 ](https://youtu.be/2t-VkWt0rKk) 

# SEC01-BP02 AWS 계정 보안
<a name="sec_securely_operate_aws_account"></a>

AWS 계정을 보호하는 데는 [루트 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)를 사용하지 않고 보안을 확보하는 등 여러 가지 측면이 있습니다. 전용 인프라에서 [AWS Organizations](https://aws.amazon.com/organizations/) 를 사용하면 AWS에서 워크로드가 증가하고 이를 확장함에 따라 계정을 중앙에서 관리할 수 있습니다. AWS Organizations는 계정을 관리하고 제어를 설정하며 여러 계정에 걸쳐 서비스를 구성하는 데 도움을 줍니다. 

 **이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 높음

## 구현 가이드
<a name="implementation-guidance"></a>
+  AWS Organizations 사용: AWS Organizations를 사용하여 여러 AWS 계정을 정책 기반으로 관리하는 방식을 중앙 집중식으로 적용합니다. 
  +  [AWS Organizations 시작하기](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) 
  +  [AWS Organization의 여러 계정에서 서비스 제어 정책을 사용해 권한 가드레일을 설정하는 방법 ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+  AWS 루트 사용자의 사용 제한: 루트 사용자가 꼭 필요한 태스크를 수행할 때만 루트 사용자를 사용합니다. 
  + [AWS 계정 루트 사용자 보안 인증 정보가 필요한 AWS 작업 ](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+  루트 사용자에 다중 인증(MFA) 사용: AWS Organizations가 루트 사용자를 관리하지 않는 경우 AWS 계정 루트 사용자에 MFA를 사용합니다. 
  +  [루트 사용자 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+  주기적으로 루트 사용자 암호 변경: 루트 사용자 암호를 변경하면 저장된 암호가 사용될 위험이 줄어듭니다. AWS Organizations를 사용하지 않고 누구나 물리적으로 액세스할 수 있는 경우 이는 특히 중요합니다. 
  + [AWS 계정 루트 사용자 암호 변경 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+  AWS 계정 루트 사용자를 사용할 때 알림 사용: 알림을 자동으로 받으면 위험이 줄어듭니다. 
  + [AWS 계정의 루트 액세스 키가 사용될 때 알림을 받는 방법 ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+  새로 추가된 리전에 액세스 제한: 새 AWS 리전의 경우 사용자 및 역할과 같은 IAM 리소스는 활성화된 리전으로만 전파됩니다. 
  + [ 이후에 사용할 AWS 리전에 계정을 활성화하는 권한 설정 ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+  AWS CloudFormation StackSets 고려: CloudFormation StackSets를 사용하여 IAM 정책, 역할 및 그룹을 포함한 리소스를 승인된 템플릿에서 다양한 AWS 계정과 리전에 배포할 수 있습니다. 
  + [ CloudFormation StackSets 사용 ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)

## 리소스
<a name="resources"></a>

 **관련 문서:** 
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS 보안 감사 지침 ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ IAM 모범 사례 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+  [보안 공지 ](https://aws.amazon.com/security/security-bulletins/)

 **관련 동영상:** 
+ [ 자동화 및 거버넌스를 통해 대규모 AWS 도입 지원 ](https://youtu.be/GUMSgdB-l6s)
+ [ Well-Architected 방식의 보안 모범 사례 ](https://youtu.be/u6BCVkXkPnM)

 **관련 예시:** 
+ [ 실습: AWS 계정 및 루트 사용자 ](https://youtu.be/u6BCVkXkPnM)

# SEC01-BP03 제어 목표 파악 및 검증
<a name="sec_securely_operate_control_objectives"></a>

 위협 모델에서 식별된 규정 준수 요구 사항 및 위험을 기준으로, 워크로드에 적용해야 하는 제어 목표와 제어 항목을 도출하고 검증합니다. 제어 목표 및 제어에 대한 지속적인 검증은 위험 완화의 효과를 측정하는 데 도움이 됩니다. 

 **이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음 

## 구현 가이드
<a name="implementation-guidance"></a>
+  규정 준수 요구 사항 파악: 워크로드가 준수해야 하는 조직/법적/규정 준수 요구 사항을 파악합니다. 
+  AWS 규정 준수 리소스 파악: 규정 준수를 지원하기 위해 AWS에서 제공하는 리소스를 파악합니다. 
  +  [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
  + [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/) 

## 리소스
<a name="resources"></a>

 **관련 문서:** 
+ [AWS 보안 감사 지침](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+ [ 보안 공지](https://aws.amazon.com/security/security-bulletins/) 

 **관련 동영상:** 
+  [AWS Security Hub CSPM: 보안 알림 관리 및 규정 준수 자동화](https://youtu.be/HsWtPG_rTak) 
+  [Well-Architected 방식의 보안 모범 사례](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP04 최신 보안 위협 정보 파악
<a name="sec_securely_operate_updated_threats"></a>

 적절한 제어 수단을 정의하고 구현하는 데 도움이 되도록 최신 보안 위협 정보를 바탕으로 공격 벡터를 파악합니다. AWS Managed Services를 사용하면 AWS 계정에서 예기치 않거나 일반적이지 않은 동작에 대한 알림을 더 쉽게 받을 수 있습니다. 보안 정보 흐름의 일부로 AWS 파트너 도구 또는 서드 파티 위협 정보 피드를 사용하여 조사합니다. 이 [일반적인 취약점 및 노출(CVE) 목록 ](https://cve.mitre.org/) 에는 최신 정보를 얻기 위해 사용할 수 있는 공개된 사이버 보안 취약점이 수록되어 있습니다. 

 **이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음 

## 구현 가이드
<a name="implementation-guidance"></a>
+  위협 정보 출처 구독: 워크로드에 사용된 기술과 관련이 있는 여러 출처의 위협 정보를 정기적으로 검토합니다. 
  +  [일반적인 취약점 및 노출 목록 ](https://cve.mitre.org/)
+  실시간으로 워크로드를 모니터링하고, 보안 문제를 식별하고, 근본 원인 분석 및 수정을 신속하게 처리할 수 있도록 [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) 서비스: 인터넷을 통해 워크로드에 액세스할 수 있는 경우 인텔리전스 소스에 대한 실시간에 가까운 가시성을 제공합니다. 

## 리소스
<a name="resources"></a>

 **관련 문서:** 
+ [AWS 보안 감사 지침](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [AWS Shield](https://aws.amazon.com/shield/) 
+ [ 보안 공지](https://aws.amazon.com/security/security-bulletins/) 

 **관련 동영상:** 
+ [Well-Architected 방식의 보안 모범 사례 ](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP05 최신 보안 권장 사항 파악
<a name="sec_securely_operate_updated_recommendations"></a>

 워크로드의 보안 태세를 강화하기 위해 최신 AWS 및 업계 보안 권장 사항을 모두 파악합니다. [AWS 보안 공지](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) 에는 보안 및 개인정보 알림에 대한 중요한 정보가 포함되어 있습니다. 

 **이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 높음 

## 구현 가이드
<a name="implementation-guidance"></a>
+  AWS 업데이트 팔로우: 새로운 권장 사항, 팁 및 요령을 구독하거나 정기적으로 확인합니다. 
  +  [AWS Well-Architected 실습](https://wellarchitectedlabs.com/?ref=wellarchitected) 
  +  [AWS 보안 블로그](https://aws.amazon.com/blogs/security/?ref=wellarchitected) 
  +  [AWS 서비스 설명서](https://aws.amazon.com/documentation/?ref=wellarchitected) 
+  업계 뉴스 구독: 워크로드에 사용된 기술과 관련이 있는 여러 출처의 뉴스 피드를 정기적으로 검토합니다. 
  +  [예시: 일반적인 취약점 및 노출 목록](https://cve.mitre.org/cve/?ref=wellarchitected) 

## 리소스
<a name="resources"></a>

 **관련 문서:** 
+  [보안 공지](https://aws.amazon.com/security/security-bulletins/) 

 **관련 동영상:** 
+  [Well-Architected 방식의 보안 모범 사례](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP06 파이프라인에서 보안 제어의 테스트 및 검증 자동화
<a name="sec_securely_operate_test_validate_pipeline"></a>

 빌드, 파이프라인 및 프로세스의 일부로서 테스트 및 검증되는 보안 메커니즘에 대한 보안 기준과 템플릿을 설정합니다. 도구와 자동화를 사용하여 모든 보안 제어를 지속적으로 테스트하고 검증합니다. 예를 들어 시스템 이미지와 인프라 같은 항목을 코드 템플릿으로 삼아 단계마다 설정된 기준에 따라 보안 취약성, 불규칙성, 드리프트를 검사합니다. AWS CloudFormation Guard는 CloudFormation 템플릿이 안전하고 시간을 절약해 주며 구성 오류의 위험을 줄여주는지 확인하는 데 도움이 됩니다. 

프로덕션 환경에 적용되는 잘못된 보안 구성의 수를 줄여야 하므로, 빌드 프로세스에서 품질 관리와 결함 감소 과정을 많이 수행할수록 좋습니다. 가능한 경우 항상 보안 문제를 테스트하도록 지속적 통합 및 지속적 배포(CI/CD) 파이프라인을 설계합니다. CI/CD 파이프라인은 빌드 및 전달의 각 단계에서 보안을 강화할 기회를 제공합니다. 새로운 위협을 완화하기 위해 CI/CD 보안 도구도 업데이트해야 합니다.

워크로드 구성의 변경 사항을 추적하여 규정 준수 감사, 관리 변경, 적용 가능한 조사에 도움을 받습니다. AWS Config를 사용하여 AWS 및 서드 파티 리소스를 기록하고 평가할 수 있습니다. 이를 통해 전체적인 규정 준수를 규칙 및 규정 준수 팩(해결 조치가 포함된 규칙의 모음)으로 지속적으로 감사 및 평가할 수 있습니다.

변경 추적에는 조직의 변화 제어 프로세스에 포함된 정기적 변경 사항(MACD - 이동/추가/변경/삭제라고도 함), 계획하지 않은 변경 사항 또는 사고 등 예기치 않은 변경 사항도 포함됩니다. 인프라에서 변경이 이루어지기도 하지만 코드 리포지토리 변경, 머신 이미지 및 애플리케이션 인벤토리 변경, 프로세스 및 정책 변경 또는 문서 변경 등 다른 카테고리와 관련된 경우도 있을 수 있습니다.

 **이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 보통 

## 구현 가이드
<a name="implementation-guidance"></a>
+  구성 관리 자동화: 구성 관리 서비스 또는 도구를 사용하여 보안 구성을 자동으로 적용하고 확보합니다. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
  +  [AWS에서 CI/CD 파이프라인 설정 ](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)

## 리소스
<a name="resources"></a>

 **관련 문서:** 
+  [AWS Organization의 여러 계정에서 서비스 제어 정책을 사용해 권한 가드레일을 설정하는 방법](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/) 

 **관련 동영상:** 
+  [AWS Organizations를 사용하여 다중 계정 AWS 환경 관리](https://youtu.be/fxo67UeeN1A) 
+  [Well-Architected 방식의 보안 모범 사례](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP07 보안 위협 모델을 사용하여 위험 파악 및 우선순위 지정
<a name="sec_securely_operate_threat_model"></a>

 보안 위협 모델을 사용하여 가장 최근에 등록된 잠재적 위협을 파악하고 유지 관리합니다. 위협 우선순위를 지정하고 보안 제어를 조정하여 방지하고, 탐지하고, 대응합니다. 진화하는 보안 환경에 맞춰 위협 모델을 재검토하고 유지 관리합니다. 

위협 모델링은 설계 프로세스의 초기에 보안 문제를 찾아 해결하는 데 도움을 주는 체계적인 접근법을 제공합니다. 수명 주기의 나중보다 초기에 완화하면 비용이 더 적게 들기 때문에 초기에 보안 문제를 해결하는 것이 더 좋습니다.

위협 모델링 프로세스의 일반적인 핵심 단계는

1. 자산, 행위자, 진입점, 구성 요소, 사용 사례, 신뢰 수준을 찾아 설계 다이어그램에 포함하는 것입니다.

1. 위협의 목록을 파악합니다.

1. 각 위협에 대해 완화 방법을 찾습니다. 여기에 보안 제어 구현이 포함될 수 있습니다.

1. 위협이 적절히 완화되었는지 판단하는 위험 매트릭스를 생성하여 검토합니다.

위협 모델링은 워크로드(또는 워크로드 기능) 수준에서 수행하여 모든 컨텍스트를 평가 가능하도록 해야 가장 효과적입니다. 보안 환경이 변화하면 이 매트릭스를 다시 확인하고 유지 관리합니다.

 **이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 낮음 

## 구현 가이드
<a name="implementation-guidance"></a>
+  위협 모델 생성: 보안 위협 모델을 생성하여 잠재적인 보안 위협을 파악하고 해결합니다. 
  +  [NIST: 데이터 중심 시스템 위협 모델링을 위한 가이드 ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

## 리소스
<a name="resources"></a>

 **관련 문서:** 
+  [AWS 보안 감사 지침 ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+  [보안 공지 ](https://aws.amazon.com/security/security-bulletins/)

 **관련 동영상:** 
+  [Well-Architected 방식의 보안 모범 사례](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP08 새로운 보안 서비스 및 기능을 정기적으로 평가 및 구현
<a name="sec_securely_operate_implement_services_features"></a>

 워크로드의 보안 상태를 개선할 수 있는 AWS 및 AWS 파트너의 보안 서비스와 기능을 평가하고 구현합니다. AWS 보안 블로그에서는 새로운 AWS 서비스 및 기능, 구현 가이드, 일반적인 보안 가이드를 강조합니다. [AWS의 새로운 소식은](https://aws.amazon.com/new) 모든 신규 AWS 기능, 서비스, 공지 사항을 파악하는 유용한 방법입니다. 

 **이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 낮음 

## 구현 가이드
<a name="implementation-guidance"></a>
+  일반 검토 계획: 규정 준수 요구 사항, 새 AWS 보안 기능/서비스 평가, 업계 최신 소식 확인 등의 검토 활동 일정을 생성합니다. 
+  AWS 서비스 및 기능 발견: 사용 중인 서비스에 적용 가능한 보안 기능을 검색하고 새로 릴리스되는 기능을 검토합니다. 
  + [AWS 보안 블로그](https://aws.amazon.com/blogs/security/) 
  + [AWS 보안 공지 ](https://aws.amazon.com/security/security-bulletins/)
  +  [AWS 서비스 설명서 ](https://aws.amazon.com/documentation/)
+  AWS 서비스 온보딩 프로세스 정의: 새로운 AWS 서비스를 온보딩하는 프로세스를 정의합니다. 이 과정에서 새 AWS 서비스의 기능과 워크로드의 규정 준수 요구 사항을 평가할 방법도 정의합니다. 
+  신규 서비스 및 기능 테스트: 프로덕션 환경을 거의 동일하게 복제한 비프로덕션 환경에서, 새로 릴리스하는 서비스 및 기능을 테스트합니다. 
+  다른 방어 메커니즘 구현: 워크로드를 방어하기 위한 자동화된 메커니즘을 구현하고 사용 가능한 옵션을 살펴봅니다. 
  +  [AWS Config 규칙에 따른 규정 미준수 AWS 리소스 문제 해결 ](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)

## 리소스
<a name="resources"></a>

 **관련 동영상:** 
+  [Well-Architected 방식의 보안 모범 사례 ](https://youtu.be/u6BCVkXkPnM)