본 문서는 총 5부로 구성되어 있으며 이 글은 2부입니다.
1부 링크 : Amazon Web Services에서 Microsoft 플랫폼 보호 1/5
2부 링크 : Amazon Web Services에서 Microsoft 플랫폼 보호 2/5
AWS 관리 형 Microsoft AD에 대한 액세스 제한
AWS 관리 마이크로소프트 AD가 서비스 수준 관리 권한을 제공하지 않더라도 디렉토리를 관리하는 사용자 계정을 보호하는 것은 여전히 중요합니다. 별도의 AWS 계정을 생성하여 전체 조직에서 사용하는 공통 리소스(즉, 공유 서비스)를 중앙 집중화하는 것이 좋습니다. 이 계정에 Active Directory 서비스를 배포하고 조직의 다른 계정과 공유합니다.
제한된 사용자 그룹만 이 계정의 서비스를 관리할 수 있어야 합니다. 추가 보호 계층에 대해 MFA(다단계 인증)를 사용하는 것이 좋습니다.
일반적으로 Active Directory를 사내와 동일한 방식으로 클라우드에서 처리하고 Active Directory 도메인 컨트롤러를 사용하여 물리적 데이터 센터에 대한 액세스를 제어하는 것과 동일한 방식으로 AWS 계정에 대한 관리 액세스를 제한해야 합니다.
조직의 개발자 및 IT 전문가 그룹에 대한 추가 AWS 계정을 생성하고 AWS Managed Microsoft AD를 공유하십시오. Active Directory를 성공적으로 공유하고 라우팅을 구성한 후에는 그룹에서이를 사용하여 EC2 인스턴스에 참여할 수 있지만 여전히 모든 관리 작업을 제어 할 수 있습니다.
Active Directory 권한 위임
AWS 관리 마이크로소프트 AD를 사용하는 경우 AWS가 서비스 소유자의 책임 중 일부를 부담하므로 다른 비즈니스 크리티컬 작업에 집중할 수 있습니다. 서비스 수준 태스크는 AWS 관리 서비스에 의해 자동으로 수행됩니다.
AWS 관리 마이크로소프트 AD를 사용하면 조직의 일부 그룹에 관리 권한을 위임할 수 있습니다. 이러한 권한에는 사용자 계정 관리, 컴퓨터에 도메인 가입, 그룹 정책 및 암호 정책 관리, DNS, DHCP, DFS, RAS, CA 및 기타 서비스 관리 등이 포함됩니다. 위임된 권한의 전체 목록은 AWS 디렉토리 서비스 관리 가이드에 설명되어 있습니다.
조직의 Active Directory 서비스를 사용하는 모든 팀과 협력하고 위임해야 하는 모든 권한이 있는 목록을 만듭니다. 다양한 관리 역할에 대한 보안 그룹을 계획하고 AWS 마이크로소프트 관리 위임 그룹을 사용하여 사용 권한을 할당합니다. AWS 디렉토리 서비스 관리 가이드를 확인하여 필요한 모든 권한을 위임할 수 있는지 확인합니다.
다단계 인증
MFA(Multi-Factor Authentication)는 사용자 이름과 암호 위에 추가적인 보호 계층을 추가하는 모범 사례입니다. MFA를 사용하도록 설정한 상태에서 사용자가 AWS 콘솔에 로그인하면 사용자 이름 및 암호(첫 번째 요인)와 AWS MFA 장치(두 번째 요인)의 인증 응답을 입력하라는 메시지가 표시됩니다. 이러한 여러 요소를 종합하면 AWS 계정에 대한 보안이 향상됩니다. IAM을 사용하든 AWS SSO(Single Sign-On)를 통해 연합하든 모든 권한 있는 계정에 MFA를 사용하도록 설정하는 것이 좋습니다.
MFA를 사용하려면 RADIUS(Remote Authentication Dial-In User Service) 서버인 MFA 솔루션이 있어야 하며, 그렇지 않으면 사내 인프라에서 이미 구현된 RADIUS 서버에 대한 MFA 플러그인이 있어야 합니다. MFA 솔루션은 사용자가 하드웨어 장치 또는 모바일과 같은 장치에서 실행되는 소프트웨어에서 얻는 OTP(One Time Passcode)를 구현해야 합니다.
AWS Managed Microsoft AD에 대한 MFA를 활성화하기 위한 요구 사항 및 설정에 대한 자세한 내용은 기술 문서 페이지에서 확인할 수 있습니다.
자체 관리 Microsoft Active Directory
자체 관리 AD(Active Directory) 도메인 컨트롤러는 Amazon EC2 인스턴스에서 실행될 수 있으며 VPN- VPC 또는 AWS DX(Direct Connect) 연결을 사용하여 사내 도메인 컨트롤러에서 복제할 수 있습니다. 이 설정을 통해 EC2 인스턴스는 로컬 도메인 컨트롤러로 인증할 수 있지만 회사 ID 및 자격 증명은 인증할 수 있습니다. VPN-VPC 또는 DX(Direct Connect) 연결을 통해 회사 도메인 컨트롤러에 직접 인증할 수 있지만 AWS에 복제하면 성능이 향상됩니다. 단일 보안 경계가 있는 단일 플랫 도메인을 계획하는 경우에도 권장됩니다. 다른 리소스와 마찬가지로 가용성 영역에 걸쳐 DC를 복제하고 배포하여 고가용성을 제공하는 것이 좋습니다.
VPN-VPC 또는 DX(Direct Connect) 연결을 통해 로컬 또는 원격으로 인증하는 경우 Active Directory Security Group에 할당된 권한이 필요한 권한보다 더 많은 권한을 부여하지 않는지 확인합니다. 이렇게 하면 AD 그룹에 불필요한 권한 있는 사용자 또는 권한이 없는 사용자가 포함되어 있지 않으므로 Active Directory, 도메인 구성원 서버, 워크스테이션, 애플리케이션 및 데이터 저장소에 대한 위험 노출이 증가할 수 있습니다.
AD (Active Directory) 커넥터
AD Connector는 AWS 디렉터리 서비스의 또 다른 구성 요소로, 고객이 사내 AD 자격 증명을 사용하여 AWS 기반 리소스에 인증할 수 있도록 합니다. AD Connector는 인증 정보를 캐슁하거나 디렉토리 데이터를 복제하지 않고 AWS Cloud의 인증 요청을 기존 Active Directory 도메인으로 리디렉션하는 디렉토리 게이트웨이입니다.
VPN-VPC 또는 DX(Direct Connect) 연결 모두에 대해 사내 도메인 컨트롤러와 AD 커넥터 구성 요소 간의 네트워크 연결이 필요합니다.
Active Directory 도메인 컨트롤러 보안
도메인 컨트롤러는 기업이 서버, 워크스테이션, 사용자 및 애플리케이션을 효과적으로 관리할 수 있는 서비스와 데이터를 제공하는 것 외에도 AD DS 데이터베이스에 대한 물리적 스토리지를 제공합니다. 권한이 없거나 악의적인 사용자가 도메인 컨트롤러에 대한 권한 있는 액세스를 획득한 경우 해당 사용자는 AD DS 데이터베이스를 수정, 손상 또는 파기할 수 있으며, 확장에 따라 Active Directory에서 관리하는 모든 시스템과 계정을 수정할 수 있습니다. 도메인 컨트롤러는 AD DS 데이터베이스에 있는 모든 것을 읽고 쓸 수 있으므로 도메인 컨트롤러의 손상 때문에 알려진 양호한 백업을 사용하여 복구할 수 없고 프로세스에서 손상될 수 있는 간격을 좁히지 않는 한 Active Directory 포리스트를 다시 신뢰할 수 없는 것으로 간주할 수 없습니다. 다음은 AWS에서 실행되는 도메인 컨트롤러를 보호하는 모범 사례입니다.
· EBS 스냅샷 생성/액세스, EC2 인스턴스 시작/종료, EBS 볼륨 생성/복사에 대해 인가된 사용자만 AWS 사용자 계정(IAM) 권한을 제한합니다.
· 개인 서브넷에 도메인 컨트롤러를 배포합니다. 경로 테이블이 아웃바운드 인터넷 액세스를 제공하는 NAT 게이트웨이 또는 기타 장치로 라우팅되지 않도록 합니다.
· Security Group을 사용하여 허용된 포트 및 프로토콜을 도메인 컨트롤러로 제한합니다. 신뢰할 수 있는 네트워크에서만 원격 관리(RDP, WinRM)를 허용합니다.
· AWS KMS(AWS Key Management Service)를 사용하여 루트 및 추가 볼륨에서 EBS 암호화를 활용합니다.
· 백업 루틴을 구현하고 액세스가 제한된 장소에 백업을 보관합니다.
· 보안 패치를 최신 상태로 유지합니다. 프로덕션 환경에 패치를 설치하기 전에 비 프로덕션 환경에서 패치를 테스트합니다. 환경의 동작을 변경할 수 있으므로 보안 패치 테스트에 집중할 수 있습니다.
· Microsoft의 보안 모범 사례를 최신 상태로 유지하는 것은 환경 또는 시사점을 보호하기 위한 새로운 기술을 파악할 수 있기 때문입니다.
Active Directory에서 관리 계정 보호
기본적으로 Active Directory 도메인 컨트롤러에는 보안 구성이 있습니다. 도메인에 가입 한 컴퓨터와 관리 워크 스테이션을 손상 시키거나 다른 기술을 사용하여 자격 증명을 도용하는 것으로부터 손상이 시작될 수 있습니다.
손상 가능성을 제한하려면 다음 모범 사례를 따르십시오.
· 가능한 공격 통과를 방지하려면 Active Directory 관리에만 사용되는 격리된 보안 워크스테이션 및 점프 박스를 사용합니다.
· 도메인 기반 계정에서 계정이 중요하므로 중요한 계정에 대한 계정 위임을 사용하지 않도록 하려면 계정을 사용하도록 설정 속성을 위임할 수 없습니다.
· 관리 계정에 스마트 카드를 사용합니다.
· 도메인 사용자의 일일 계정을 AD 관리 그룹에 추가하지 않습니다. AD 관리 작업에만 사용해야 하는 별도의 계정을 생성합니다.
· 필요한 경우 역할 기반 액세스 제어(RBAC)를 사용하여 사용자 그룹에 관리 권한을 위임합니다. 예를 들어 DNS 관리자 보안 그룹을 사용하여 네트워크 관리자에게 도메인 컨트롤러의 DNS 영역을 관리할 수 있는 권한을 부여합니다.
페더레이션과의 IAM
Active Directory 페더레이션 서비스
회사 환경에서 AD를 사용하지 않고 다른 LDAP (Lightweight Directory Access Protocol) 기반 디렉토리 서비스를 사용하는 시나리오를 지원할 수도 있습니다. 이 경우 AD FS (Active Directory Federation Services)를 사용하여 Security Assertion Markup Language 1.1을 사용하여 페더레이션 인증을 용이하게 할 수 있습니다. 2.0 (SAML), OAuth 또는 OpenID Connect. AWS는 페더레이션 인증을 지원하기 위해 AWS에서 AD FS를 설정 및 구성하는 방법에 대한 자세한 블로그 게시물을 제공합니다. AD FS는 AWS 관리형 Microsoft AD 및 자체 관리형 Active Directory와 함께 사용할 수 있습니다.
또한 SharePoint 2013 및 2016과 같은 SAML 2.0을 지원하지 않는 응용 프로그램을 사용하는 경우 ADFS가 유용 할 수 있습니다.
AWS Single Sign-On
AWS Single Sign-On (SSO)은 AD FS와 유사합니다. AWS SSO는 클라우드이기 때문에 페더레이션 서비스 인프라를 관리하거나 유지할 필요가 없다는 점에서 Active Directory 기반 자격 증명에 대한 페더레이션 인증 서비스를 제공한다는 점입니다. 기반 서비스-여러 AWS 계정 및 비즈니스 애플리케이션에 대한 SSO 액세스를 중앙에서 쉽게 관리 할 수 있습니다. 사용자가 AWS SSO에서 구성한 자격 증명으로 사용자 포털에 로그인하거나 기존 회사 자격 증명을 사용하여 할당 된 모든 계정과 애플리케이션을 한 곳에서 액세스 할 수 있습니다.
AWS SSO를 사용하면 AWS Organizations의 모든 계정에 대한 SSO 액세스 및 사용자 권한을 중앙에서 쉽게 관리 할 수 있습니다. AWS SSO 애플리케이션 구성 마법사를 사용하여 SAML (Security Assertion Markup Language) 2.0 통합을 생성하고 모든 SAML 지원 애플리케이션에 대한 SSO 액세스를 확장 할 수 있습니다. 또한 AWS SDK 및 CLI와 함께 사용할 자격 증명을 획득하고 사전 구성된 SAML 통합을 사용하여 많은 클라우드 애플리케이션에 로그인 할 수 있습니다. Azure AD Connect 및 선택적으로 AD FS (Active Directory Federation Service)를 추가하면 AWS Managed Microsoft AD에 저장된 자격 증명을 사용하여 Microsoft Office 365 및 기타 클라우드 애플리케이션에 로그인 할 수 있습니다.
Office 365와 통합
AWS Managed Microsoft AD를 사용하면 AD 도메인 컨트롤러를 생성 및 관리 할 필요 없이 AWS에서 Windows 환경을 구축하고 AWS Microsoft AD 사용자를 Microsoft Azure AD로 동기화하며 Office 365를 사용할 수 있습니다. 자세한 내용은 AWS 보안 블로그 게시물 사용자가 AWS Managed Microsoft AD로 Office 365에 액세스 할 수 있게 하는 방법을 참조하십시오.
인프라 보안
VPC 네트워킹
AWS 환경의 중요한 구성 요소 중 하나는 네트워킹 인프라입니다. Amazon Virtual Private Cloud (Amazon VPC)를 사용하면 AWS 리소스를 정의 된 가상 네트워크에 배포 할 수 있습니다. Microsoft 워크로드는 자연스럽게 적합하며 기존 환경에서와 동일한 기능을 수행 할 수 있습니다.
각 Amazon VPC는 네트워크를 격리하고 보호하기위한 네트워킹 구성 요소로 구성됩니다. 여기에는 서브넷으로 나눌 수 있는 선택한 범위 (예 : 10.0.0.0/16)의 IPv4 및 / 또는 IPv6 개인 네트워크 (RFC 1918) 주소가 포함됩니다. 각 서브넷에는 구성 가능한 라우팅 테이블 및 네트워크 ACL이 있습니다. 게이트웨이 및 엔드 포인트가 공용 및 개인용 자원에 대한 액세스를 허용하거나 제한 할 수 있습니다. Amazon VPC에는 VPN 및 원격 위치 연결을 위한 솔루션도 포함되어 있습니다. DHCP 옵션 세트를 사용하면 Microsoft Active Directory와이 응용 프로그램을 사용하는 많은 응용 프로그램에 친숙한 방식으로 사용자 지정 도메인 및 DNS 설정을 지정할 수 있습니다. 정적으로 또는 DHCP를 통해 IP를 할당하거나 AWS 제공 퍼블릭 IP를 사용하거나 직접 가져올 수도 있습니다.
Amazon VPC는 격리 및 친숙한 멀티 레이어 네트워크를 제공하며 여러 연결 옵션도 지원합니다. 이에 대한 몇 가지 예는 다음과 같습니다.
· 서브넷의 리소스는 인터넷에서 트래픽을 보내고 받거나 보내거나받을 수 있습니다.
· VPC 피어링을 통해 다른 VPC, 리전 및 AWS 계정으로 트래픽을 라우팅 할 수 있습니다.
· AWS 클라우드를 라우터로 사용하여 사이트 간 VPN 터널을 통해 여러 사무실 위치를 연결할 수 있습니다.
· 회사 데이터 센터를 AWS 클라우드로 확장하기 위해 VPN-VPC 연결이 지원됩니다. 기업 사용자는 비교적 투명한 방식으로 AWS 리소스 및 애플리케이션과 상호 작용할 수 있습니다.
퍼블릭 및 프라이빗 서브넷
그림 7에서는 인프라의 계층을 분리하기 위해 여러 서브넷이 정의되어 있습니다. 두 개의 퍼블릭 서브넷이 인터넷 게이트웨이로 라우팅됩니다. ELB (Elastic Load Balancer)는 공용 인터넷 트래픽을 제공하기 때문에 이 인터넷 게이트웨이에 배치됩니다. 다른 모든 서브넷은 인터넷이나 인터넷 게이트웨이로 직접 연결되지 않으며 리소스에 퍼블릭 IP가 할당되지 않는다는 점에서 프라이빗입니다. 개인 서브넷에는 NAT 게이트웨이 또는 장치를 사용하여 인터넷 액세스 권한을 부여하는 동시에 공용 인바운드 연결을 제한 할 수 있습니다.
빌드업웍스에서 AWS 무료 컨설팅을 진행합니다.
AWS에 대하여 궁금하신 내용이 있으시거나, 도입을 검토 중이시라면 편하게 신청해주세요.
[ 고지 사항 (Disclaimer) ]
본 컨텐츠는 고객의 편의를 위하여 AWS 서비스 설명을 위해 제작, 제공된 것입니다. 만약 AWS 사이트와 컨텐츠 상에서 차이나 불일치가 있을 경우 AWS 사이트 (AWS.amazon.com)가 우선합니다. 또한 AWS 사이트 상에서 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다.
본 문서는 Securing the Microsoft Platform on Amazon Web Services (2019년, 영문) 내용에 기반하여 작성 되었습니다.
이 문서는 정보 제공의 목적으로만 제공됩니다. 본 문서의 발행일 당시 AWS의 현재 제품 오퍼링 및 실행방법 등을 설명하며, 예고 없이 변경될 수 있습니다. 고객은 본 문서에 포함된 정보나 AWS 제품 또는 서비스의 사용을 독립적으로 평가할 책임이 있으며, 각 정보 및 제품은 명시적이든 묵시적이든 어떠한 종류의 보증 없이 “있는 그대로” 제공됩니다. 본 문서는 AWS, 그 자회사, 공급업체 또는 라이선스 제공자로부터 어떠한 보증, 표현, 계약 약속, 조건 또는 보장을 구성하지 않습니다. 고객에 대한 AWS의 책임 및 의무는 AWS 계약에 의해 관리되며 본 문서는 AWS와 고객 사이의 어떠한 계약에도 속하지 않으며 계약을 변경하지도 않습니다.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
