A business wishes to relocate its accounting system from an on-premises data center to an AWS Region. Priority one should be given to data security and an unalterable audit log. The organization must conduct compliance audits on all AWS operations. Although the organization has activated AWS CloudTrail, it want to ensure that it complies with these criteria.
Which safeguards and security measures should a solutions architect use to safeguard and secure CloudTrail? (Select two.)
- A. Enable CloudTrail log file validation.
- B. Install the CloudTrail Processing Library.
- C. Enable logging of Insights events in CloudTrail.
- D. Enable custom logging from the on-premises resources.
- E. Create an AWS Config rule to monitor whether CloudTrail is configured to use server-side encryption with AWS KMS managed encryption keys (SSE-KMS).
한글 번역
기업에서 회계 시스템을 온프레미스 데이터 센터에서 AWS 리전으로 이전하려고 합니다. 데이터 보안과 변경 불가능한 감사 로그에 우선 순위를 부여해야 합니다. 조직은 모든 AWS 작업에 대해 규정 준수 감사를 수행해야 합니다. 조직에서 AWS CloudTrail을 활성화했지만 이러한 기준을 준수하는지 확인하려고 합니다.
솔루션 설계자는 CloudTrail을 보호하고 보호하기 위해 어떤 보호 장치와 보안 조치를 사용해야 합니까? (2개를 선택하세요.)
- A. CloudTrail 로그 파일 유효성 검사를 활성화합니다.
- B. CloudTrail 처리 라이브러리를 설치합니다.
- C. CloudTrail에서 Insights 이벤트 로깅을 활성화합니다.
- D. 온프레미스 리소스에서 사용자 지정 로깅을 활성화합니다.
- E. CloudTrail이 AWS KMS 관리형 암호화 키(SSE-KMS)와 함께 서버 측 암호화를 사용하도록 구성되었는지 모니터링하는 AWS Config 규칙을 생성합니다.
정답
- A. Enable CloudTrail log file validation.
- E. Create an AWS Config rule to monitor whether CloudTrail is configured to use server-side encryption with AWS KMS managed encryption keys (SSE-KMS)
해설
CloudTrail 예방적 보안 모범 사례
다음과 같은 CloudTrail 모범 사례를 통해 보안 사고를 예방할 수 있습니다.
중앙 집중식 전용 Amazon S3 버킷에 로그
CloudTrail 로그 파일은 사용자, 역할 또는 AWS 서비스가 수행하는 작업의 감사 로그입니다. 이러한 로그의 무결성, 완전성 및 가용성은 과학 수사와 감사를 위해 매우 중요합니다. 중앙 집중식 전용 Amazon S3 버킷에 로그하면 엄격한 보안 제어, 액세스 및 업무 분리를 시행할 수 있습니다.
다음과 같은 몇 가지 단계를 수행할 수 있습니다.
- 별도의 AWS 계정을 로그 아카이브 계정으로 생성합니다. AWS Organizations를 사용하는 경우 이 계정을 조직에 등록하고 조직 추적을 생성하여 조직에 있는 모든 AWS 계정에 대한 데이터를 로그하는 것이 좋습니다.
- Organizations를 사용하지 않지만 여러 AWS 계정에 대한 데이터를 로그하려는 경우 추적을 생성하여 이 로그 아카이브 계정의 활동을 로그합니다. 계정 및 감사 데이터에 액세스할 수 있어야 하는 신뢰할 수 있는 관리 사용자로만 이 계정에 대한 액세스를 제한합니다.
- 추적 생성의 일부로, 조직 추적이든 단일 AWS 계정에 대한 추적이든 상관없이, 이 추적에 대한 로그 파일을 저장할 전용 Amazon S3 버킷을 생성합니다.
- 둘 이상의 AWS 계정에 대한 활동을 로그하려면 AWS 계정 활동을 로그하려는 모든 AWS 계정에 대해 로그 파일을 로그 및 저장할 수 있도록 버킷 정책을 수정합니다.
- 조직 추적을 사용하지 않으려는 경우 로그 아카이브 계정에서 Amazon S3 버킷을 지정하여 모든 AWS 계정에서 추적을 생성합니다.
AWS KMS 관리형 키를 사용한 서버 측 암호화
기본적으로 CloudTrail이 버킷에 제공하는 로그 파일은 Amazon S3가 관리하는 암호화 키(SSE-S3)를 사용하는 서버 측 암호화를 사용하여 암호화됩니다. 직접 관리할 수 있는 보안 계층을 제공하려면 CloudTrail 로그 파일에 대한 AWS KMS 관리형 키(SSE-KMS)를 사용하는 서버 측 암호화를 대신 사용하면 됩니다. CloudTrail과 함께 SSE-KMS를 사용하려면 KMS 키라고도 하는 AWS KMS key를 생성하고 관리합니다.
SSE-KMS 및 로그 파일 검증을 사용하고 SSE-KMS 암호화 파일만 허용하도록 Amazon S3 버킷 정책을 수정한 경우, 다음 예시 정책 라인과 같이 AES256 암호화를 특별히 허용하도록 버킷 정책을 수정하지 않는 한, 해당 버킷을 활용하는 추적을 생성할 수 없습니다.
"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] } 다음과 같은 몇 가지 단계를 수행할 수 있습니다.
- SSE-KMS로 로그 파일을 암호화하는 장점을 검토합니다.
- 로그 파일을 암호화하는 데 사용할 KMS 키를 생성합니다.
- 추적에 대한 로그 파일 암호화를 구성합니다.
- AWS Config의 cloud-trail-encryption-enabled 규칙을 사용하여 모든 추적이 SSE-KMS로 로그 파일을 암호화하는지 확인하는 데 도움이 되도록 지속적인 탐지 제어를 구현하는 것이 좋습니다.
기본 Amazon SNS 주제 정책에 조건 키 추가
Amazon SNS에 알림을 보내도록 추적을 구성하면 CloudTrail은 CloudTrail이 SNS 주제에 콘텐츠를 보낼 수 있도록 허용하는 정책 문을 SNS 주제 액세스 정책에 추가합니다. 보안 모범 사례로 aws:SourceArn(또는 선택적으로 aws:SourceAccount) 조건 키를 CloudTrail 정책 문에 추가하는 것이 좋습니다. 이렇게 하면 SNS 주제에 대한 무단 계정 액세스를 방지할 수 있습니다. 자세한 내용은 섹션을 참조하세요CloudTrail에 대한 Amazon SNS 주제 정책
로그 파일을 저장하는 Amazon S3 버킷에 대한 최소 권한 액세스 구현
CloudTrail은 지정된 Amazon S3 버킷으로 로그 이벤트를 추적합니다. 이러한 로그 파일에는 사용자, 역할 및 AWS 서비스가 수행하는 작업의 감사 로그가 포함됩니다. 이러한 로그 파일의 무결성과 완전성은 감사와 과학 수사를 위해 매우 중요합니다. 무결성을 보장하려면 CloudTrail 로그 파일을 저장하는 데 사용된 모든 Amazon S3 버킷에 대한 액세스 권한을 생성하거나 수정할 때 최소 권한의 원칙을 준수해야 합니다
다음 단계를 따릅니다.
- 로그 파일을 저장하는 모든 버킷에 대한 Amazon S3 버킷 정책을 검토하고 필요한 경우 조정하여 불필요한 액세스를 제거합니다. 이 버킷 정책은 CloudTrail 콘솔을 사용하여 추적을 생성하는 경우 자동으로 생성되지만, 수동으로 생성하고 관리할 수도 있습니다.
- 보안 모범 사례로 반드시 aws:SourceArn 조건 키를 버킷 정책에 수동으로 추가합니다. 자세한 내용은 섹션을 참조하세요CloudTrail에 대한 Amazon S3 버킷 정책
- 동일한 Amazon S3 버킷을 사용하여 여러 AWS 계정에 대한 로그 파일을 저장하는 경우 여러 계정에 대한 로그 파일 수신 지침을 따릅니다.
- 조직 감사를 사용하는 경우 조직 추적에 대한 지침을 준수해야 하며 AWS Command Line Interface를 사용하여 조직에 대한 추적 생성에서 조직 추적의 Amazon S3 버킷에 대한 예시 정책을 검토합니다.
- Amazon S3 보안 설명서 및 버킷 보안을 위한 예시 연습을 검토하세요.
로그 파일을 저장하는 Amazon S3 버킷에서 MFA Delete 사용
Multi-Factor Authentication(MFA)을 구성하면 버킷의 버전 관리 상태를 변경하거나 객체 버전을 영구적으로 삭제하려고 시도할 때 추가 인증이 필요합니다. 이 기능은 사용자가 Amazon S3 객체를 영구적으로 삭제할 수 있는 권한이 있는 사용자의 암호를 획득하더라도 로그 파일의 무결성을 손상시킬 수 있는 작업을 방지하는 데 도움이 됩니다.
다음과 같은 몇 가지 단계를 수행할 수 있습니다.
- MFA Delete 지침을 검토합니다.
- MFA를 요구하는 Amazon S3 버킷 정책을 추가합니다.
로그 파일을 저장하는 Amazon S3 버킷에서 객체 수명 주기 관리 구성
Amazon S3 추적 기본값은 추적을 위해 구성된 Amazon S3 버킷에 로그 파일을 무한정으로 저장하는 것입니다. Amazon S3 객체 수명 주기 관리 규칙을 사용하여 비즈니스 및 감사 필요에 더 적합하게 자체 보존 정책을 정의할 수 있습니다. 예를 들어, 1년보다 오래된 로그 파일을 Amazon Glacier에 보관하거나, 일정 시간이 지난 후 로그 파일을 삭제할 수 있습니다.
참조 문서
AWS CloudTrail의 보안 모범 사례 - AWS CloudTrail
SSE-KMS 및 로그 파일 검증을 사용하고 SSE-KMS 암호화 파일만 허용하도록 Amazon S3 버킷 정책을 수정한 경우, 다음 예시 정책 라인과 같이 AES256 암호화를 특별히 허용하도록 버킷 정책을 수정하지 않
docs.aws.amazon.com
'[AWS] > AWS SAA EXAMTOPICS' 카테고리의 다른 글
| [AWS][SAA][EXAMTOPICS] Question 249 (0) | 2022.07.05 |
|---|---|
| [AWS][SAA][EXAMTOPICS] Question 248 (0) | 2022.07.05 |
| [AWS][SAA][EXAMTOPICS] Question 247 (0) | 2022.07.05 |
| [AWS][SAA][EXAMTOPICS] Question 246 (0) | 2022.07.05 |
| [AWS][SAA][EXAMTOPICS] Question 244 (0) | 2022.07.05 |
| [AWS][SAA][EXAMTOPICS] Question 243 (0) | 2022.07.05 |
| [AWS][SAA][EXAMTOPICS] Question 242 (0) | 2022.07.05 |
| [AWS][SAA][EXAMTOPICS] Question 241 (0) | 2022.07.05 |
댓글