Amazon Web Services 한국 블로그
AWS Control Tower – 디지털 주권 요구 사항을 위한 65개의 새로운 컨트롤 추가
오늘 우리는 디지털 주권 요구 사항을 충족하는 데 도움을 줄 목적별 65개의 제어 세트를 AWS Control Tower에 추가했습니다.
디지털 주권이란 디지털 자산에 대한 제어입니다. 즉, 데이터가 어디에 있고, 어디로 이동하며, 누가 데이터를 통제하는지 결정합니다. 17년 전 AWS 클라우드를 만든 이래로 AWS는 고객이 데이터를 제어할 수 있도록 최선을 다해 왔습니다.
작년 11월, 저는 AWS 디지털 주권 서약을 발표했습니다. 모든 AWS 고객에게 클라우드에서 가용한 가장 수준 높은 주권 제어와 기능을 제공하겠다는 약속이었습니다. 그 이후로 우리는 그 방향으로 나아가는 몇 가지 단계를 발표했습니다. AWS Nitro System에 대한 독립적인 제3자의 검증을 통해 AWS 내 누구나 AWS 호스트의 데이터에 액세스할 수 있는 메커니즘이 이 시스템에 없음을 확인했습니다. 고객 또는 커뮤니티 전용으로 구축되며 고객이 지정한 위치 또는 데이터 센터에 배치되는 완전 관리형 AWS 인프라 유형인 AWS 전용 로컬 영역을 출시했습니다. 그리고 최근에 우리는 유럽에 새로운 독립 주권 리전 건설을 발표했습니다.
디지털 주권을 지원하는 AWS Control Tower 제어의 도입은 데이터 레지던시, 세분화된 액세스 제한, 암호화 및 복원력을 위한 기능 로드맵의 추가 단계입니다.
AWS Control Tower는 안전한 다중 계정 AWS 환경을 설정하고 관리할 수 있는 간단하고 효율적인 방법을 제공합니다. 모범 사례 청사진을 기반으로 랜딩 존을 설정하고, 사전 패키징된 목록에서 선택할 수 있는 제어를 사용하여 거버넌스를 가능하게 합니다. 랜딩 존은 AWS 모범 사례를 따르는 잘 설계된 다중 계정 기준선입니다. 제어는 보안, 규정 준수 및 운영을 위한 거버넌스 규칙을 구현합니다.
디지털 자산에 필요한 제어 수준은 산업과 국가에 따라 크게 다릅니다. 규제가 엄격한 부문에서 사업을 운영하는 고객은 유럽 연합과 같은 특정 국가 또는 리전에 데이터를 보관해야 할 의무가 있을 수 있습니다. 데이터 암호화 및 암호화 키 보관 장소 등과 관련된 의무가 있는 경우도 있을 수 있습니다. 또한 디지털 주권 요구 사항이 빠르게 진화함에 따라 필요한 모든 제어를 정의하고 구현하기가 어렵습니다. 많은 고객들이 모든 기능을 갖춘 AWS, 그리고 혁신, 변화, 성장 능력을 저해할 수 있는 제한된 기능의 주권 클라우드 솔루션 중 하나를 선택해야 한다는 점을 우려하고 있다고 말합니다. AWS는 이러한 선택을 할 필요가 없다는 굳건한 믿음을 가지고 있습니다.
AWS Control Tower는 데이터가 규모별로 저장, 전송 및 처리되는 위치를 통제하는 데 필요한 제어를 정의, 구현 및 관리하는 데 걸리는 시간을 줄이는 데 도움이 됩니다.
AWS Control Tower는 여러 계정의 활성화된 제어, 규정 준수 상태 및 제어 증거에 대한 통합 보기를 제공합니다. 이 정보는 콘솔에서 API를 호출하여 확인할 수 있습니다. 요구 사항과 AWS 서비스가 발전함에 따라 AWS Control Tower는 디지털 주권 요구 사항을 지속적으로 관리하는 데 도움이 되는 업데이트된 제어 기능을 제공합니다.
추가한 제어의 몇 가지 예는 다음과 같습니다.
- 운영자 액세스 – Amazon Elastic Compute Cloud(Amazon EC2) 전용 호스트가 AWS Nitro 인스턴스 유형을 사용해야 합니다.
- 데이터 액세스 제어 – Amazon Elastic Block Store(Amazon EBS) 스냅샷을 공개적으로 복원할 수 없도록 해야 합니다.
- 유휴 상태 및 전송 중 암호화(고급 키 관리 전략 포함) – EC2 인스턴스는
AWS::EC2::Instance
리소스 유형을 사용하여 생성할 때 인스턴스 간 전송 중 암호화를 지원하는 AWS Nitro 인스턴스 유형을 사용해야 합니다. 또한 Amazon Relational Database Service (RDS) 데이터베이스 인스턴스에는 지원되는 엔진 유형에 대해 지정한 AWS KMS 키를 사용하도록 구성된 유휴 상태의 암호화가 있어야 합니다.
이것은 세 가지 범주의 네 가지 예에 불과합니다. 65개의 새로운 제어가 추가되었으며, 디지털 주권 범주 그룹에서는 245개 이상의 제어를 사용할 수 있습니다. 전체 목록은 AWS Control Tower 설명서에서 확인할 수 있습니다.
AWS Control Tower이 리전 내 우발적인 데이터 스토리지 또는 흐름을 방지하기 위해 사용하는 기술적 메커니즘 중 하나는 리전 거부 제어입니다. 이 파라미터를 사용하면 시스템 관리자가 선택한 AWS 리전의 AWS 서비스 및 운영에 대한 액세스를 거부할 수 있습니다. 지금까지 리전 거부 제어는 전체 랜딩 존과 모든 조직 단위(OU) 및 계정에만 적용할 수 있었습니다. 이번 출시를 통해 조직 단위 수준에서 새로운 리전 거부 제어를 구성하고 고유한 비즈니스 요구 사항에 따라 허용할 서비스와 IAM 보안 주체를 선택할 수 있습니다.
시작 방법 알아보기
이 데모에서는 여러 리전에서 AWS 서비스에 대한 액세스를 제한한다고 가정해 보겠습니다.
AWS Management Console을 열고 AWS Control Tower 페이지로 이동합니다. 왼쪽 탐색 창의 제어 라이브러리에서 범주 > 그룹 > 디지털 주권을 선택합니다.
사용 가능한 제어 목록을 검토할 수 있습니다.
활성화하려는 제어를 찾아 선택합니다. 조직 단위에 대해 요청된 AWS 리전에 따라 AWS 액세스를 거부합니다. 여기에는 제어에 대한 설명과 해당 제어가 적용되는 프레임워크 목록(NIST 800 및 PCI DSS)이 있습니다. 제어 활성화를 선택합니다.
다음 페이지에서는 이 제어를 활성화하려는 OU(조직 단위)를 선택합니다.
액세스를 허용할 AWS 리전을 선택합니다. 제어가 시행되면 선택하지 않은 모든 리전의 액세스가 거부됩니다.
그런 다음 서비스 제어 정책(SCP)을 검토합니다. 여기에는 나열된 서비스 또는 API에 대한 액세스를 차단하는 Deny 문구가 포함되어 있습니다. 선택적으로 NotActions를 추가할 수 있습니다. 다음은 예외 목록입니다. NotActions에 나열된 서비스 또는 API가 승인됩니다. 이 예에서는 세 가지 API, 즉 sqs:SendMessage
, ec2:StartInstances
, s3:GetObject
를 제외한 모든 API를 거부합니다.
마지막 페이지에는 제어에서 제외될 IAM 보안 주체(사용자 또는 역할) 목록을 추가합니다. 이 목록은 예외 목록입니다. 또한 평소처럼 AWS 리소스로 제어에 태그를 지정합니다.
마지막 화면(여기에 표시되지 않음)에서 모든 파라미터를 검토하고제어 활성화를 선택합니다.
활성화된 OU 탭에서 제어가 활성화된 OU 목록을 확인할 수 있습니다.
요약 페이지에는 이 OU에 활성화된 모든 리전, API 및 IAM 보안 주체가 표시됩니다. 나머지는 모두 거부됩니다. 언제든지 파라미터를 업데이트할 수 있습니다.
요금 및 가용성
AWS Control Tower는 모든 상용 리전과 미국 GovCloud에서 사용할 수 있습니다.
AWS Control Tower를 사용하는 데는 추가 요금이 부과되지 않습니다. 하지만 AWS Control Tower를 설정하면 랜딩 존과 필수 제어를 설정하도록 구성된 AWS 서비스에 대한 비용이 발생하기 시작합니다.
및 AWS IAM Identity Center 같은 특정 AWS 서비스는 추가 요금 없이 제공됩니다. 하지만 AWS Service Catalog, AWS CloudTrail, AWS Config, Amazon CloudWatch, Amazon Simple Notification Service(SNS), Amazon Simple Storage Service(S3), Amazon Virtual Private Cloud(VPC) 같은 서비스는 해당 서비스 사용량에 따라 요금을 지불하게 됩니다. 사용한 만큼만 비용을 지불하면 됩니다. AWS Control Tower 요금 페이지에 세부 정보가 있습니다.
새로운 AWS Control Tower 제어는 디지털 주권 요구 사항을 충족하는 안전 장치를 식별하고 배포해야 하는 부담을 덜어줍니다. 이 제어 세트는 완전 관리형이며, 시간이 지남에 따라 AWS 서비스 및 디지털 주권 요구 사항이 발전함에 따라 업데이트할 예정입니다.
지금 바로 디지털 주권 요구 사항을 지원하는 데 도움이 되는 AWS Control Tower 제어를 구성해 보세요.