본문 바로가기
[AWS]/AWS SAA EXAMTOPICS

[AWS][SAA][EXAMTOPICS] Question 245

by METAVERSE STORY 2022. 7. 5.
반응형

A business wishes to relocate its accounting system from an on-premises data center to an AWS Region. Priority one should be given to data security and an unalterable audit log. The organization must conduct compliance audits on all AWS operations. Although the organization has activated AWS CloudTrail, it want to ensure that it complies with these criteria.

Which safeguards and security measures should a solutions architect use to safeguard and secure CloudTrail? (Select two.)

  • A. Enable CloudTrail log file validation.
  • B. Install the CloudTrail Processing Library.
  • C. Enable logging of Insights events in CloudTrail.
  • D. Enable custom logging from the on-premises resources.
  • E. Create an AWS Config rule to monitor whether CloudTrail is configured to use server-side encryption with AWS KMS managed encryption keys (SSE-KMS).

한글 번역

기업에서 회계 시스템을 온프레미스 데이터 센터에서 AWS 리전으로 이전하려고 합니다. 데이터 보안과 변경 불가능한 감사 로그에 우선 순위를 부여해야 합니다. 조직은 모든 ​​AWS 작업에 대해 규정 준수 감사를 수행해야 합니다. 조직에서 AWS CloudTrail을 활성화했지만 이러한 기준을 준수하는지 확인하려고 합니다.

솔루션 설계자는 CloudTrail을 보호하고 보호하기 위해 어떤 보호 장치와 보안 조치를 사용해야 합니까? (2개를 선택하세요.)

  • A. CloudTrail 로그 파일 유효성 검사를 활성화합니다.
  • B. CloudTrail 처리 라이브러리를 설치합니다.
  • C. CloudTrail에서 Insights 이벤트 로깅을 활성화합니다.
  • D. 온프레미스 리소스에서 사용자 지정 로깅을 활성화합니다.
  • E. CloudTrail이 AWS KMS 관리형 암호화 키(SSE-KMS)와 함께 서버 측 암호화를 사용하도록 구성되었는지 모니터링하는 AWS Config 규칙을 생성합니다.

 

 

 

 

정답

  • A. Enable CloudTrail log file validation.
  • E. Create an AWS Config rule to monitor whether CloudTrail is configured to use server-side encryption with AWS KMS managed encryption keys (SSE-KMS)

 

해설

CloudTrail 예방적 보안 모범 사례

다음과 같은 CloudTrail 모범 사례를 통해 보안 사고를 예방할 수 있습니다.

중앙 집중식 전용 Amazon S3 버킷에 로그

CloudTrail 로그 파일은 사용자, 역할 또는 AWS 서비스가 수행하는 작업의 감사 로그입니다. 이러한 로그의 무결성, 완전성 및 가용성은 과학 수사와 감사를 위해 매우 중요합니다. 중앙 집중식 전용 Amazon S3 버킷에 로그하면 엄격한 보안 제어, 액세스 및 업무 분리를 시행할 수 있습니다.

다음과 같은 몇 가지 단계를 수행할 수 있습니다.

  • 별도의 AWS 계정을 로그 아카이브 계정으로 생성합니다. AWS Organizations를 사용하는 경우 이 계정을 조직에 등록하고 조직 추적을 생성하여 조직에 있는 모든 AWS 계정에 대한 데이터를 로그하는 것이 좋습니다.
  • Organizations를 사용하지 않지만 여러 AWS 계정에 대한 데이터를 로그하려는 경우 추적을 생성하여 이 로그 아카이브 계정의 활동을 로그합니다. 계정 및 감사 데이터에 액세스할 수 있어야 하는 신뢰할 수 있는 관리 사용자로만 이 계정에 대한 액세스를 제한합니다.
  • 추적 생성의 일부로, 조직 추적이든 단일 AWS 계정에 대한 추적이든 상관없이, 이 추적에 대한 로그 파일을 저장할 전용 Amazon S3 버킷을 생성합니다.
  • 둘 이상의 AWS 계정에 대한 활동을 로그하려면 AWS 계정 활동을 로그하려는 모든 AWS 계정에 대해 로그 파일을 로그 및 저장할 수 있도록 버킷 정책을 수정합니다.
  • 조직 추적을 사용하지 않으려는 경우 로그 아카이브 계정에서 Amazon S3 버킷을 지정하여 모든 AWS 계정에서 추적을 생성합니다.

AWS KMS 관리형 키를 사용한 서버 측 암호화

기본적으로 CloudTrail이 버킷에 제공하는 로그 파일은 Amazon S3가 관리하는 암호화 키(SSE-S3)를 사용하는 서버 측 암호화를 사용하여 암호화됩니다. 직접 관리할 수 있는 보안 계층을 제공하려면 CloudTrail 로그 파일에 대한 AWS KMS 관리형 키(SSE-KMS)를 사용하는 서버 측 암호화를 대신 사용하면 됩니다. CloudTrail과 함께 SSE-KMS를 사용하려면 KMS 키라고도 하는 AWS KMS key를 생성하고 관리합니다.

참고

SSE-KMS 및 로그 파일 검증을 사용하고 SSE-KMS 암호화 파일만 허용하도록 Amazon S3 버킷 정책을 수정한 경우, 다음 예시 정책 라인과 같이 AES256 암호화를 특별히 허용하도록 버킷 정책을 수정하지 않는 한, 해당 버킷을 활용하는 추적을 생성할 수 없습니다.

 
 
"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] } 

다음과 같은 몇 가지 단계를 수행할 수 있습니다.

기본 Amazon SNS 주제 정책에 조건 키 추가

Amazon SNS에 알림을 보내도록 추적을 구성하면 CloudTrail은 CloudTrail이 SNS 주제에 콘텐츠를 보낼 수 있도록 허용하는 정책 문을 SNS 주제 액세스 정책에 추가합니다. 보안 모범 사례로 aws:SourceArn(또는 선택적으로 aws:SourceAccount) 조건 키를 CloudTrail 정책 문에 추가하는 것이 좋습니다. 이렇게 하면 SNS 주제에 대한 무단 계정 액세스를 방지할 수 있습니다. 자세한 내용은 섹션을 참조하세요CloudTrail에 대한 Amazon SNS 주제 정책

로그 파일을 저장하는 Amazon S3 버킷에 대한 최소 권한 액세스 구현

CloudTrail은 지정된 Amazon S3 버킷으로 로그 이벤트를 추적합니다. 이러한 로그 파일에는 사용자, 역할 및 AWS 서비스가 수행하는 작업의 감사 로그가 포함됩니다. 이러한 로그 파일의 무결성과 완전성은 감사와 과학 수사를 위해 매우 중요합니다. 무결성을 보장하려면 CloudTrail 로그 파일을 저장하는 데 사용된 모든 Amazon S3 버킷에 대한 액세스 권한을 생성하거나 수정할 때 최소 권한의 원칙을 준수해야 합니다

다음 단계를 따릅니다.

로그 파일을 저장하는 Amazon S3 버킷에서 MFA Delete 사용

Multi-Factor Authentication(MFA)을 구성하면 버킷의 버전 관리 상태를 변경하거나 객체 버전을 영구적으로 삭제하려고 시도할 때 추가 인증이 필요합니다. 이 기능은 사용자가 Amazon S3 객체를 영구적으로 삭제할 수 있는 권한이 있는 사용자의 암호를 획득하더라도 로그 파일의 무결성을 손상시킬 수 있는 작업을 방지하는 데 도움이 됩니다.

다음과 같은 몇 가지 단계를 수행할 수 있습니다.

로그 파일을 저장하는 Amazon S3 버킷에서 객체 수명 주기 관리 구성

Amazon S3 추적 기본값은 추적을 위해 구성된 Amazon S3 버킷에 로그 파일을 무한정으로 저장하는 것입니다. Amazon S3 객체 수명 주기 관리 규칙을 사용하여 비즈니스 및 감사 필요에 더 적합하게 자체 보존 정책을 정의할 수 있습니다. 예를 들어, 1년보다 오래된 로그 파일을 Amazon Glacier에 보관하거나, 일정 시간이 지난 후 로그 파일을 삭제할 수 있습니다.

 

 

참조 문서

https://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/best-practices-security.html#best-practices-security-detective

 

AWS CloudTrail의 보안 모범 사례 - AWS CloudTrail

SSE-KMS 및 로그 파일 검증을 사용하고 SSE-KMS 암호화 파일만 허용하도록 Amazon S3 버킷 정책을 수정한 경우, 다음 예시 정책 라인과 같이 AES256 암호화를 특별히 허용하도록 버킷 정책을 수정하지 않

docs.aws.amazon.com

 

반응형

댓글