Landing Zone Accelerator on AWS

특정 리전 및 산업 부문 지원

• 리전별 구성

  Landing Zone Accelerator on AWS 솔루션의 다음과 같은 지역별, 리전별 구성은 AWS 모범 사례 및 국가별 규정 준수 프레임워크와 일치하도록 만들어졌습니다. 원하는 리전을 선택하여 배포 지침을 확인하세요.

  참고: 클라우드의 보안에 대한 자세한 정보는 AWS Artifact의 AWS 서드 파티 보안 및 규정 준수 보고서에 나와 있습니다.

  • 미국
  • 영국(UK)
  • 캐나다

  • 미국

  • 미국(US)
    

    AWS GovCloud(미국) 리전에서 이 솔루션을 배포하는 방법에 대한 지침은 구현 가이드를 참조하세요. 이 솔루션을 배포하면 다음 규정을 준수하는 데 도움이 될 수 있습니다.
    

    • 연방 정부 위험 및 인증 관리 프로그램(FedRAMP) High 등급
      
    • Impact Level(IL) 4 및 IL5 워크로드의 호스팅에 대한 국방부(DoD) 클라우드 컴퓨팅 보안 요구 사항 가이드(CC SRG)
    • DoD Cybersecurity Maturity Model Certification(CMMC) 준비 상태
    • M-21-31 로깅 및 보존 요건

    미국 동부 또는 미국 서부 AWS 리전 중 하나에 배포하려는 경우 구현 가이드의 일반 배포 지침을 따르세요.
    
  • 영국(UK)

  • 영국(UK)
    

    국가 사이버 보안 센터(NCSC)는 클라우드 사용자가 클라우드에서 데이터를 저장 및 처리하거나 클라우드 플랫폼을 사용하여 자체 서비스를 안전하게 구축하고 호스팅할 수 있도록 클라우드 보안 지침을 발간했습니다. 아래에서 원칙 중 하나를 선택하여 Landing Zone Accelerator on AWS 샘플 구성이 해당 요건을 충족하는 데 어떻게 도움이 되는지 살펴보세요.
    

    • 원칙 1: 전송 중 데이터 보호
      솔루션의 모범 사례 샘플 구성에 더해서 다음 통제 기능을 구현하면 원칙 1 요구 사항을 충족할 수 있습니다.

      • Amazon S3만 - s3:TLSVersion이 1.2 미만일 경우 모든 작업을 정의하는 서비스 제어 정책(SCP)을 통해 전송 계층 보안(TLS) 1.2의 최소값을 적용합니다.
      • Amazon S3 객체 Lambda만 - s3-object-lambda:TlsVersion이 1.2 미만일 경우 모든 작업을 정의하는 SCP를 통해 TLS 1.2의 최소값을 적용합니다.
      • Amazon ElastiCache만 - elasticache:TransitEncryptionEnabled가 false인 경우 작업을 정의하는 SCP를 통해 CreateReplicationGroup 작업에 TLS를 적용합니다.
        
    • 원칙 2: 자산 보호 및 복원
      이 솔루션의 모범 사례 샘플 구성은 다음 통제 기능을 통해 원칙 2의 요구 사항을 충족합니다.

      • 특정 리전(예: 영국과 데이터 액세스 협정을 체결하지 않은 지역에 위치한 리전)에서 AWS 서비스에 대한 액세스를 금지하도록 AWS Control Tower를 구성합니다.
      • AWS Control Tower는 AWS Config가 AWS 리소스의 배포와 구성을 추적하도록 허용하고 구성합니다. 고객이 가시성을 확보하고 자동화된 특정 감사를 수행하는 데 사용할 수 있는 구성 관리 데이터베이스를 제공하므로 규정 준수 상태를 유지하는 데 도움이 됩니다.
      • 이 솔루션은 자산 보호를 위한 규정에 부합하도록 보장하는 탐지 규정 준수 통제 기능을 구현합니다(예: TLS 암호화 없이 중앙 아카이브 계정 또는 엔드포인트로 액세스 로그를 내보내도록 구성되지 않은, 암호화되지 않은 스토리지 및 로드 밸런서를 식별하는 통제 기능 등).
        

       

      보안을 더욱 강화하기 위해 다음 통제 기능을 구현할 수 있습니다.

      • 특정 AWS 인공 지능 서비스가 다른 AWS 서비스의 개발 및 지속적인 개선을 위해, 해당 서비스가 처리한 고객 콘텐츠를 저장 및 사용하지 못하게 합니다.
      • 암호화되지 않은 특정 리소스의 생성 또는 업데이트를 거부하여 저장 데이터 암호화를 적용합니다. 이렇게 하려면 SCP에 다음 조건을 추가하면 됩니다.
        • "ec2:Encrypted": "true"를 설정하여 Amazon EC2 추가
        • "elasticfilesystem:Encrypted": "true"를 설정하여 Amazon EFS 추가
        • "rds:StorageEncrypted": "true"를 설정하여 Amazon RDS 추가
        • "s3:x-amz-server-side-encryption": "aws:kms"를 설정하여 Amazon S3 추가
        • "elasticache:AtRestEncryptionEnabled": "true"를 설정하여 Amazon ElastiCache 추가
          

       

    • 원칙 3: 고객 간 격리

      AWS 클라우드 보안 구성은 원칙 3 요구 사항을 충족하는 데 도움이 될 수 있습니다. 자세한 구현 방법은 Logical Separation on AWS(AWS에서의 논리적 분리) 백서를 참조하세요. AWS International Organization for Standardization(ISO) 인증서 및 Payment Card Industry(PCI) 인증서 및 System and Organization Control(SOC) 보고서와 같은 AWS 보안 및 규정 준수 문서에서 자세한 내용을 참조할 수 있습니다. 이러한 보고서는 AWS Artifact를 통해 다운로드할 수 있습니다.
      

    • 원칙 4: 거버넌스 프레임워크
      AWS가 서비스 관리를 위해 구현하는 보다 광범위한 거버넌스에 대해 알아보려면 AWS ISO/PCI 인증서 및 SOC 보고서와 같은 AWS 보안 및 규정 준수 문서를 참조하세요. 이러한 보고서는 AWS Artifact를 통해 다운로드할 수 있습니다.

       

      고객 환경에서 원칙 4 요구 사항을 충족하는 데 거버넌스도 마찬가지로 중요합니다. AWS는 AWS 리소스에 대한 가시성을 확보하고 자동화된 제어를 중앙 집중식으로 구현하며 클라우드 환경 전반에 걸쳐 거버넌스를 구축하고 적용할 수 있도록, 이 솔루션에서 구현한 규범적 아키텍처(보안, 로깅 및 핵심 네트워킹 기능을 격리된 계정으로 분리) 및 통제 기능(원칙 5 참조)을 설계했습니다.
    • 원칙 5: 운영 보안
      이 솔루션의 모범 사례 샘플 구성은 위임된 보안 계정이라는 중앙 집중식 보안 계정을 만들어 원칙 5 요구 사항을 충족합니다. 이 계정은 솔루션이 기본적으로 활성화하는 보안 서비스로부터 다음과 같은 정보를 수신합니다.

      • Amazon GuardDuty는 솔루션 환경 내에서 모든 계정에 걸쳐 다음 데이터 소스를 지속적으로 모니터링, 분석 및 처리합니다.
        • Amazon VPC 흐름 로그
        • AWS CloudTrail 관리 이벤트 로그
        • AWS CloudTrail S3 데이터 이벤트 로그
        • Amazon EKS 감사 로그
        • AWS DNS 로그
      • Amazon Macie는 Amazon S3에서 기계 학습과 패턴 매칭을 사용하여 민감한 데이터를 검색, 모니터링 및 보호하도록 지원합니다.
      • AWS Config는 다음을 제공합니다.
        • 솔루션 환경의 모든 계정에 걸쳐 AWS 리소스의 구성을 상세하게 볼 수 있는 보기
        • 규정 준수 규칙에 대한 감사 리소스(예: 저장 중 암호화되지 않는 스토리지 식별)
        • 규정 준수 위반 사항을 점검하기 위한 규정 준수 규칙
      • AWS Security Hub는 위에 나열한 서비스에서 수집되는 피드를 볼 수 있는 단일 대시보드를 제공합니다. 따라서 조직의 보안 팀이 한곳에서 위협 탐지 및 규정 준수 통제 상태를 한눈에 살펴보면서 위협을 완화할 수 있습니다.
      • AWS Audit Manager는 조직 전반의 규정 준수 보고를 지원합니다.
      • Amazon Detective는 보안 인시던트 조사를 지원합니다.
        
    • 원칙 6: 개인 보안

      이 솔루션은 원칙 6을 지원하는 특정한 구성을 제공하지 않습니다. 단, AWS 클라우드 보안 구성은 이 원칙의 요구 사항을 충족하는 데 도움이 됩니다. AWS ISO/PCI 인증서 및 SOC 보고서 같은 AWS 보안 및 규정 준수 문서에서 자세한 내용을 참조할 수 있습니다. 이러한 보고서는 AWS Artifact를 통해 다운로드할 수 있습니다.
      

    • 원칙 7: 보안 개발

      원칙 7을 지원하기 위해, 이 솔루션은 AWS 솔루션스 아키텍트가 강력하고 완전하며 모범 사례에 부합하고 처방적이고 현실적인 Well-Architected 솔루션임을 검증한 아키텍처를 제공합니다. 이 솔루션은 AWS에서 구축할 때 셀프 서비스와 자동화된 설치 및 배포 기능으로 시간과 작업 부담을 덜어줍니다.
      

       

    • 원칙 8: 공급망 보안

      이 솔루션은 원칙 8을 지원하는 특정한 구성을 제공하지 않습니다. 단, AWS 클라우드 보안 구성은 이 원칙의 요구 사항을 충족하는 데 도움이 됩니다. AWS ISO/PCI 인증서 및 SOC 보고서 같은 AWS 보안 및 규정 준수 문서에서 자세한 내용을 참조할 수 있습니다. 이러한 보고서는 AWS Artifact를 통해 다운로드할 수 있습니다.
      

    • 원칙 9: 사용자 관리 보안
      이 솔루션의 모범 사례 샘플 구성은 다음 통제 기능을 통해 원칙 9의 요구 사항을 충족합니다.

      • 솔루션 환경 내에서 모든 AWS 계정에 걸쳐 액세스와 사용자 권한을 관리하는 데 도움이 되도록 AWS IAM Identity Center를 설정합니다.
      • 솔루션 관리 계정 루트 사용자의 기존 액세스 키를 삭제합니다.
      • AWS Identity and Access Management(IAM)를 적용합니다.
        
      • IAM Access Analyzer가 권한이 과도하게 부여된 액세스를 보고하고 최소 권한 액세스 정책을 생성하도록 허용합니다.
        

      이 솔루션은 Access Analyzer의 제안에 따라 IAM 정책을 배포하는 데 도움이 됩니다. AWS 보안 블로그에서 자세한 방법을 확인할 수 있습니다.
      

    • 원칙 10: 자격 증명 및 인증

      이 솔루션은 원칙 10을 지원하는 특정한 구성을 제공하지 않습니다. 단, AWS 클라우드 보안 구성은 이 원칙의 요구 사항을 충족하는 데 도움이 됩니다. AWS ISO/PCI 인증서 및 SOC 보고서 같은 AWS 보안 및 규정 준수 문서에서 자세한 내용을 참조할 수 있습니다. 이러한 보고서는 AWS Artifact를 통해 다운로드할 수 있습니다.
      

    • 원칙 11: 외부 인터페이스 보호
      이 솔루션의 모범 사례 샘플 구성은 다음 통제 기능을 통해 원칙 11의 요구 사항을 충족합니다.

      • AWS 서비스 간의 트래픽이 퍼블릭 인터넷을 통해 이동하지 않도록 AWS PrivateLink를 설정합니다.
    • 원칙 12: 서비스 관리 보안

      이 솔루션은 원칙 12를 지원하는 특정한 구성을 제공하지 않습니다. 단, AWS 클라우드 보안 구성은 이 원칙의 요구 사항을 충족하는 데 도움이 됩니다. AWS ISO/PCI 인증서 및 SOC 보고서 같은 AWS 보안 및 규정 준수 문서에서 자세한 내용을 참조할 수 있습니다. 이러한 보고서는 AWS Artifact를 통해 다운로드할 수 있습니다.
      

    • 원칙 13: 고객을 위한 감사 정보 및 알림

      이 솔루션의 모범 사례 샘플 구성은 다음 통제 기능을 통해 원칙 13의 요구 사항을 충족합니다.

      • 솔루션 환경 내에서 모든 계정에 걸쳐 사용자, 역할 또는 AWS 서비스가 수행하는 모든 작업을 365일 기록하고 안전하게 저장하도록 AWS CloudTrail을 설정합니다.
      • 무단 수정을 방지하기 위한 보안 조치로서, CloudTrail 로그를 제한적인 읽기 전용 액세스 권한만 있는 별도의 AWS 계정에 저장합니다.
      • AWS Security Hub가 다음 심각도 수준의 이벤트를 탐지한 경우 이메일 알림을 보냅니다.
        • 낮음
        • 중간
        • 높음
          
    • 원칙 14: 서비스 사용 보안

      원칙 14를 지원하기 위해, AWS에서 처방 보안 모범 사례를 도입하려는 고객에게 도움이 되는 이 솔루션을 제공합니다. 이 솔루션을 AWS Well Architected Framework 및 AWS Trusted Advisor와 같은 다른 리소스 및 서비스와 함께 사용하면 설계부터 보안이 적용된 아키텍처를 빠르게 구현하는 데 도움이 됩니다.
      

       

  • 캐나다

  • 캐나다
    

    AWS는 표준화되고 규범적인 아키텍처를 배포하기 위해 캐나다 사이버 보안 센터(CCCS) Cloud Medium[이전 Protected B, Medium Integrity, Medium Availability(PBMM)] 구성을 만들었습니다. 이 아키텍처는 고객이 ITSP.50.105에서 설명하는 대로 Authority to Operate(ATO)를 취득하기 위해 요구되는 통제 요건을 해결하는 데 도움을 주도록 설계되었습니다.
    

    이 구성을 배포하면 CCCS Cloud Medium 통제 수단을 갖추는 데 필요한 시간을 90여 일에서 단 2일로 단축할 수 있습니다. CCCS Cloud Medium 평가에서 제시된 통제 수단을 그대로 적용하는 동시에 Landing Zone Accelerator on AWS 솔루션을 활용하여 고객에게 책임이 있는 일반적인 통제 요건을 해결한다면, 보안 평가 및 승인(SA&A) 프로세스를 빠르게 진행할 수 있습니다.

    아울러 GC 클라우드 운영화 프레임워크의 일환으로 시행되는 캐나다 정부(GC)의 최소 가드레일 요건도 충족할 수 있습니다. 최소 가드레일 요건을 충족하는 데 Landing Zone Accelerator on AWS 솔루션을 활용하면 워크로드의 민감도가 바뀔 경우에 그에 따른 CCCS Cloud Medium 통제 요건을 지원하는 데에도 도움이 됩니다. 구성 파일 내에서 파라미터를 조정함으로써, 다양한 정부 및 공공 부문 조직의 요건을 충족하도록 맞춤화된 아키텍처를 배포할 수 있습니다.

    이 구성을 설치하려면 GitHub의 Landing Zone Accelerator for CCCS Cloud Medium 샘플 구성 파일과 지침을 사용하세요.

    참고: CCCS Cloud Medium 프로필의 요건에 부합하도록 AWS 환경을 배포하려는 공공 부문 조직을 위한 권장 솔루션은 이제 Landing Zone Accelerator on AWS 솔루션입니다. 이전에는 CCCS Cloud Medium 프로필을 준수하려는 캐나다 공공 부문 고객들이 공동 책임 모델에서 고객의 책임인 통제와 관련한 문제를 해결하기 위해 AWS 보안 환경 액셀러레이터를 배포했습니다. Landing Zone Accelerator on AWS 솔루션의 릴리스 버전 1.3.0 이상은 AWS 보안 환경 액셀러레이터 솔루션과 동일한 통제 지원 범위를 제공합니다. 현재 AWS 보안 환경 액셀러레이터 솔루션을 사용하고 있다면, 정해진 기한 없이 언제든지 Landing Zone Accelerator on AWS 솔루션으로 마이그레이션할 수 있습니다.

• 산업별 구성

  Landing Zone Accelerator on AWS 솔루션의 다음 산업별 구성은 AWS 모범 사례 및 산업별 규정 준수 프레임워크와 일치하도록 만들어졌습니다. 원하는 산업 부문을 선택하여 배포 지침을 확인하세요.

  참고: 클라우드의 보안에 대한 자세한 정보는 AWS Artifact의 AWS 서드 파티 보안 및 규정 준수 보고서에 나와 있습니다.

  • 항공우주
  • 중앙 IT(미국 주 정부 및 지방 정부)
  • 교육
  • 재무(세무)
  • 의료 서비스
  • 국가 안보, 국방 및 국가 법 집행(미국 외부)

  • 항공우주
  • 동영상

    닫기

    AWS Summit DC 2022 - Scaling automated governance with Landing Zone Accelerator on AWS(Landing Zone Accelerator on AWS로 자동화된 거버넌스 확장)

    동영상 보기 

    항공우주(미국)
    

    미국의 항공우주 사용 사례를 지원하려면 구현 가이드를 통해 AWS GovCloud(미국) 리전에서 이 솔루션을 배포하는 방법에 대한 지침을 참조하세요. 이 솔루션을 배포하면 다음 규정을 준수하는 데 도움이 될 수 있습니다.
    

    • 연방 정부 위험 및 인증 관리 프로그램(FedRAMP) High 등급
      
    • Impact Level(IL) 4 및 IL5 워크로드의 호스팅에 대한 국방부(DoD) 클라우드 컴퓨팅 보안 요구 사항 가이드(CC SRG)
    • DoD Cybersecurity Maturity Model Certification(CMMC) 준비 상태
    • M-21-31 로깅 및 보존 요건

    미국 동부 또는 미국 서부 AWS 리전 중 하나에 배포하려는 경우 구현 가이드의 일반 배포 지침을 따르세요.
    
  • 중앙 IT(미국 주 정부 및 지방 정부)

  • 중앙 IT(미국 주 정부 및 지방 정부)
    

    AWS는 중앙의 IT 조직이 직면한 위협을 완화할 수 있는 가드레일을 제공하기 위해 미국 주 정부 및 지방 정부용 중앙 IT 구성을 만들었습니다. 이 구성에서는 다음 프레임워크의 통제 기능을 사용하여 이들 조직을 지원합니다.
    

    • 미국 국립 표준 기술 연구소(NIST) 사이버 보안 프레임워크의 AWS 통제 기능
    • 선택적인 미국 건강 보험 양도 및 책임에 관한 법(HIPAA) 준수 통제 구성
      

    1단계. 스택 시작

    고객의 AWS 계정에서 AWS CloudFormation 템플릿을 시작합니다. 템플릿 파라미터를 검토하고 필요에 따라 기본값을 입력하거나 조정합니다. 자세한 지침은 솔루션 구현 가이드를 참조하세요.

    2단계. 초기 환경 배포 기다리기

    AWSAccelerator-Pipeline 파이프라인의 배포가 완료될 때까지 기다립니다.

    3단계 및 4단계. 구성 파일 복사 및 업데이트
    

    GitHub에 있는 Landing Zone Accelerator on AWS for State and Local Government Central IT(주 정부 및 지방 정부 중앙 IT를 위한 Landing Zone Accelerator on AWS) 샘플 구성에 대한 배포 개요의 3단계와 4단계를 따릅니다.

  • 교육

  • 교육
    

    교육 구성은 교육 기관이 직면한 위협을 완화하는 데 필요한 가드레일을 제공하기 위해 만들어졌습니다. 이 구성에서는 다음 프레임워크의 통제 기능을 사용하여 이들 조직을 지원합니다.

    • 국제 무기 거래 규정(ITAR)
    • 국립표준기술연구소(NIST) 800-171
    • NIST 800-53
    • 사이버보안 성숙도 모델 인증(CMMC)
      

    1단계. 스택 시작

    고객의 AWS 계정에서 AWS CloudFormation 템플릿을 시작합니다. 템플릿 파라미터를 검토하고 필요에 따라 기본값을 입력하거나 조정합니다. 자세한 지침은 솔루션 구현 가이드를 참조하세요.

    2단계. 초기 환경 배포 기다리기

    AWSAccelerator-Pipeline 파이프라인의 배포가 완료될 때까지 기다립니다.

    3단계 및 4단계. 구성 파일 복사 및 업데이트

    GitHub에 있는 Landing Zone Accelerator on AWS for Education(교육 기관을 위한 Landing Zone Accelerator on AWS) 샘플 구성에 대한 배포 개요의 3단계와 4단계를 따릅니다.

  • 재무(세무)

  • 재무(세무)
    

    재무(세무) 구성은 세무 워크로드에 일반적으로 사용되는 계정 구조와 연방 세금 정보(FTI) 데이터의 보안을 위한 보안 통제 및 네트워크 구성을 배포합니다. 이 구성은 FTI 데이터를 호스팅하는 Amazon S3, Amazon EBS 및 Amazon FSx를 고객 관리형 키(CMK)로 암호화해야 한다는 미 국세청(IRS)-1075 요건을 준수합니다.
    

    1단계. 스택 시작

    고객의 AWS 계정에서 AWS CloudFormation 템플릿을 시작합니다. 템플릿 파라미터를 검토하고 필요에 따라 기본값을 입력하거나 조정합니다. 자세한 지침은 솔루션 구현 가이드를 참조하세요.

    2단계. 초기 환경 배포 기다리기

    AWSAccelerator-Pipeline 파이프라인의 배포가 완료될 때까지 기다립니다.

    3단계 및 4단계. 구성 파일 복사 및 업데이트

    GitHub에 있는 Landing Zone Accelerator on AWS for Finance (Tax)(재무(세무)를 위한 Landing Zone Accelerator on AWS) 샘플 구성에 대한 배포 개요의 3단계와 4단계를 따릅니다.

  • 의료 서비스

  • 의료
    

    의료 구성은 의료 기관이 직면한 위협을 완화하는 데 필요한 가드레일을 제공하기 위해 만들어졌습니다. 이 구성에서는 다음 프레임워크의 통제 기능을 사용하여 이들 조직을 지원합니다.
    

    • Health Insurance Portability and Accountability Act(HIPAA)
    • 국립사이버안보센터(NCSC)
    • Esquema Nacional de Seguridad(ENS) High
    • Cloud Computing Compliance Controls Catalog(C5)
    • Fascicolo Sanitario Elettronico
      

    1단계. 스택 시작

    고객의 AWS 계정에서 AWS CloudFormation 템플릿을 시작합니다. 템플릿 파라미터를 검토하고 필요에 따라 기본값을 입력하거나 조정합니다. 자세한 지침은 솔루션 구현 가이드를 참조하세요.

    2단계. 초기 환경 배포 기다리기

    AWSAccelerator-Pipeline 파이프라인의 배포가 완료될 때까지 기다립니다.

    3단계 및 4단계. 구성 파일 복사 및 업데이트

    GitHub에 있는 Landing Zone Accelerator on AWS for Healthcare(의료 기관을 위한 Landing Zone Accelerator on AWS) 샘플 구성에 대한 배포 개요의 3단계와 4단계를 따릅니다.

  • 국가 안보, 국방 및 국가 법 집행(미국 외부)

  • 국가 안보, 국방 및 국가 법 집행(미국 외부)
    

    전 세계의 국가 안보, 국방 및 국가 법 집행 기관들이 맡은 바 사명을 다하려면 클라우드가 제공하는 확장성, 전 세계적인 지원 범위, 민첩성, 서비스가 필요할 뿐만 아니라, 이들 기관은 데이터에 대한 엄격한 보안 및 규정 준수 요건을 충족해야 합니다. 이로 인해, 이들 조직 중에는 AWS 글로벌 하이퍼스케일 클라우드를 활용하여 본래의 사명을 이행하면서 민감한 데이터와 워크로드를 안전하게 보호하는 조직이 갈수록 늘어나고 있습니다.
    

    이러한 중요한 사명을 클라우드에서 빠르게 수행할 수 있도록 AWS는 국가 안보, 국방 및 국가 법 집행을 위한 Trusted Secure Enclaves Sensitive Edition(TSE-SE)을 만들었습니다. TSE-SE 참조 아키텍처는 민감한 수준의 워크로드를 대상으로 한 포괄적인 다중 계정 AWS 클라우드 아키텍처입니다. 이 아키텍처는 AWS와 국가 안보, 국방, 국가 법 집행, 연방 정부, 주 정부,및 지방 정부 고객의 협업을 통해 개발되었으며, 엄격하고 고유한 보안 및 규정 준수 요건을 빠르게 간단히 충족할 수 있도록 설계되었습니다.
    

    이 아키텍처는 고객이 국립표준기술연구소(NIST) 800-53, 정보 기술 표준 지침(ITSG)-33, 연방 정부 위험 및 인증 관리 프로그램(FedRAMP) Moderate, 정보 보안 등록 평가자 프로그램(IRAP), 기타 Sensitive, Protected 또는 Medium 등급의 보안 프로필 등의 보안 프레임워크에 준하여, 중앙의 자격 증명 및 액세스 관리, 거버넌스, 데이터 보안, 포괄적인 로깅, 네트워크 설계 및 세분화와 관련한 과제를 해결하는 데 도움이 되도록 설계되었습니다.
    

    이 참조 아키텍처는 다음 설계 원칙에 따라 개발되었습니다.
    

    • Medium 등급의 보안 통제 프로필에 준하는 보안 결과를 제공합니다.
    • 민첩성, 확장성 및 가용성을 극대화하면서 비용을 최소화합니다.
    • AWS 클라우드의 전체 기능을 사용하도록 허용합니다.
    • AWS의 혁신 속도와 최신 기술 기능을 지원하고 통합하는 데에 있어 개방적인 태도를 견지합니다.
    • 고객의 실제 로드에 따라 대역폭 요구 사항이 증가(또는 감소)하면 원활하게 오토 스케일링되고 무제한 대역폭을 제공하도록 합니다(클라우드 컴퓨팅 가치 제안의 핵심 측면).
    • 고가용성을 제공하도록 설계: 가용 영역 중 하나에서 장애가 발생하더라도 애플리케이션 가용성에는 영향을 미치지 않도록 여러 AWS 가용 영역을 사용하여 설계합니다.
    • 최소 권한으로 작동: 계정의 모든 보안 주체가 가능한 최소 권한 세트로 작업을 수행하게 합니다.
    • 고객 데이터 주권과 관련한 문제를 해결하는 데 도움을 줍니다.

    아키텍처에 대한 자세한 내용은 TSE-SE 참조 아키텍처를 참조하세요. 구성 파일과 지침을 사용하여 아키텍처를 설치합니다.

• AWS 옵트인 리전

  일부 AWS 리전은 기본적으로 비활성화되어 있습니다. 이들 AWS 리전 중 하나에 Landing Zone Accelerator on AWS 솔루션을 배포하려면 구현 가이드를 참조하세요.

  참고: 클라우드의 보안에 대한 자세한 정보는 AWS Artifact의 AWS 서드 파티 보안 및 규정 준수 보고서에 나와 있습니다.