Chapter 4 / Security

보안
방식 설계

보안은 보호 대상을 나누고 권한을 좁히며 기록을 남기면 정리하기 쉬워집니다. 나중이 아니라 처음부터 설계에 포함합니다.

3 Guidelines

이 장에서 다루는 3개 항목

1클라우드 보안보호 대상과 대책을 나눕니다.
2감사/거버넌스규칙과 기록으로 나중에 추적할 수 있게 합니다.
3ID/액세스 권한필요한 권한만 필요한 기간만 부여합니다.
보안 기본 개념도
기밀성, 무결성, 가용성을 의식하여 보호 대상을 나눕니다.
Cloud Security

보호 대상을 나누기

데이터, ID, 권한, 비밀 정보, 로그를 별도 관점으로 정리합니다. 무엇을 지킬지 명확해지면 필요한 대책을 고르기 쉬워집니다.

기밀성, 무결성, 가용성을 확인한다.비밀 정보는 안전한 보관 위치에 둔다.위협 탐지와 지속 진단을 활성화한다.
Identity / Audit

권한을 좁히고 기록을 남기기

ID와 권한은 보안의 입구입니다. 최소 권한으로 부여하고 중요 작업은 일시적으로 승격하며 작업 기록을 남깁니다.

RBAC와 PIM을 구분해 사용한다.Key Vault로 비밀 정보를 관리한다.감사 로그와 규칙을 지속적으로 확인한다.
보안과 ID 도해
누가 무엇을 할 수 있는지를 최소 권한으로 지킵니다.
감사와 거버넌스 도해

감사와 거버넌스

Policy, RBAC, 감사 로그로 위험한 구성을 줄이고 추적 가능한 상태로 만듭니다.

네트워크 방어 도해

네트워크 방어

입구를 좁히고 경로를 제어하며 내부를 분리해 지킵니다.