Embed Size (px)
Citation preview
AWS의 PCI DSS에 대해 표준화된 아키텍처퀵 스타트 배포 참조 가이드
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
AWS의 PCI DSS에 대해 표준화된 아키텍처: 퀵 스타트 배포 참조 가이드Copyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
Table of Contents홈 ..................................................................................................................................................... 1
Quick Start 정보 ......................................................................................................................... 2개요 .................................................................................................................................................. 3
Enterprise Accelerator - Compliance 아키텍처 ................................................................................ 3아키텍처 .................................................................................................................................... 3AWS 서비스 .............................................................................................................................. 5모범 사례 .................................................................................................................................. 5Quick Start 사용 방법 .................................................................................................................. 6비용 .......................................................................................................................................... 6
AWS CloudFormation 템플릿 ............................................................................................................... 7AWS CloudFormation 스택 ........................................................................................................... 7이 Quick Start에서 사용되는 템플릿 .............................................................................................. 7
소스 파일 관리 ................................................................................................................................... 9Amazon S3로 템플릿 업로드 ........................................................................................................ 9
콘솔 사용 .......................................................................................................................... 9AWS CLI 사용 ................................................................................................................... 9
Amazon S3 URL 업데이트 ........................................................................................................... 9배포 계획 ......................................................................................................................................... 10
사전 조건 ................................................................................................................................. 10전문 지식 ......................................................................................................................... 10AWS 계정 ........................................................................................................................ 10기술 요구 사항 ................................................................................................................. 10
배포 방법 ................................................................................................................................. 12배포 전 단계 .................................................................................................................................... 13
서비스 제한 검토 ...................................................................................................................... 13키 페어 생성 ............................................................................................................................ 15AWS Config 설정 ...................................................................................................................... 15
배포 단계 ......................................................................................................................................... 18주요 내용 ................................................................................................................................. 181단계. AWS 계정에 로그인합니다 ............................................................................................... 182단계. 스택 시작 ....................................................................................................................... 193단계. 테스트 ........................................................................................................................... 21
스택 삭제 ......................................................................................................................................... 26문제 해결 ......................................................................................................................................... 27AWS Service Catalog와 통합 .............................................................................................................. 28리소스 ............................................................................................................................................. 29부록: 이 릴리스의 개선 사항 ............................................................................................................... 30피드백 ............................................................................................................................................. 31추가 지원을 받으려면 ........................................................................................................................ 32문서 수정 ......................................................................................................................................... 33
.............................................................................................................................................. 33
iii
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
AWS 클라우드의 PCI DSS 표준화 아키텍처: 퀵 스타트 레퍼런스 배포
배포 가이드
AWS Enterprise Accelerator - Compliance 제공 유형
AWS Envision Engineering, AWS Professional Services, AWS Quick Start Reference 팀
2016년 5월(마지막 업데이트 날짜 (p. 33): 2016년 12월)
이 퀵 스타트 배포 참조 가이드에서는 Amazon Web Services(AWS) 클라우드에서 보안 중심 기준 환경을 배포하기 위한 아키텍처 고려 사항과 단계에 대해 설명합니다. 특히, 이 퀵 스타트는 신용카드 업계(PCI) 데이터 보안 표준(DSS) 규정 준수 범위에 해당하는 워크로드가 있는 조직을 지원하는 표준화된 환경을 배포합니다. 이 템플릿은 PCI DSS 버전 3.2의 요구 사항을 준수합니다. 이 배포 가이드에는 배포를 자동화하는 AWSCloudFormation 템플릿을 살펴보고 시작할 수 있는 링크가 포함되어 있습니다.
이 퀵 스타트는 표준화된 보안 중심 아키텍처 솔루션을 제공하는 AWS Enterprise Accelerator - Compliance제공 유형 세트의 일부입니다. 이러한 솔루션은 관리형 서비스 제공업체(MSP), 클라우드 프로비저닝 팀, 개발자, 통합업체 및 정보 보안 팀이 엄격한 보안, 규정 준수 및 위험 관리 제어를 준수하도록 지원합니다.
다음 링크는 사용자의 편의를 위해 제공됩니다. 시작 버튼은 중첩 템플릿을 사용하여 Linux 기반 다중 티어웹 애플리케이션을 설치하는 기본 퀵 스타트 템플릿을 실행합니다. 이 퀵 스타트에 포함된 템플릿에 대한 설명과 중첩 템플릿 사용에 대한 정보는 각각 이 설명서의 퀵 스타트에 사용된 템플릿 (p. 7) 단원을 참조하십시오.
• PCI 배포에 대한 기술적 요구 사항 (p. 10)을 이미 충족하는 AWS 계정이 있는 경우 퀵 스타트를 시작하여 그림 2 (p. 3)에 표시된 아키텍처를 빌드할 수 있습니다. 이 템플릿은 기본적으로 미국 동부(버지니아 북부)에서 시작됩니다. AWS GovCloud (US) 계정이 있는 경우 AWS GovCloud (US) 리전에서 템플릿을 시작할 수 있습니다.
배포에는 대략 30분 가량 걸립니다. AWS 또는 AWS에서의 PCI-호환 아키텍처를 처음 사용하는 경우 개요 (p. 3)를 읽어보고 이 가이드에서 설명하는 자세한 배포 전 단계 (p. 13) 및 배포 (p. 18) 단계를 따르십시오.
• 좀 더 자세히 살펴보고 싶다면 이 배포를 자동화하는 기본 템플릿을 볼 수 있습니다. 기본 템플릿은 하위템플릿에 대한 참조를 포함하고 있고 이 설명서의 지침에 따라 사용자 지정할 수 있는 기본 설정을 제공합니다. 템플릿에 대한 설명과 중첩 템플릿 사용에 대한 지침은 각각 이 설명서의 퀵 스타트에 사용된 템플릿 (p. 7) 단원을 참조하십시오.
• PCI DSS 컨트롤이 퀵 스타트 아키텍처 결정 사항, 구성 요소 및 구성으로 어떻게 매핑되는지 확인하려면보안 제어 참조(Microsoft Excel 스프레드시트)를 살펴보십시오. 그림 1의 발췌 부분에서 사용 가능한 정보샘플을 확인하십시오.
1
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
Quick Start 정보
그림 1: PCI DSS 보안 제어 참조의 발췌 내용
우리는 여러분의 의견을 환영합니다.
이 퀵 스타트를 배포한 후에는 몇 분 동안 설문조사를 작성해 주십시오. 여러분의 응답은 익명으로처리되며 이번 및 기타 AWS Enterprise Accelerator - Compliance 레퍼런스 배포를 개선하는 데 도움이 됩니다.
Quick Start 정보Quick Start는 AWS 클라우드의 주요 워크로드에 대한 자동화된 레퍼런스 배포입니다. 각 퀵 스타트는 보안및 가용성을 위한 AWS 모범 사례에 따라 AWS에서 특정 워크로드를 배포하는 데 필요한 AWS 컴퓨팅, 네트워크, 스토리지 및 기타 서비스를 시작, 구성 및 실행합니다.
2
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
Enterprise Accelerator - Compliance 아키텍처
개요AWS Enterprise Accelerator - Compliance 아키텍처
AWS Enterprise Accelerator - Compliance 솔루션을 통해 AWS에서 초기 설계에서 운영상의 보안 대비에 이르기까지 보안 기본 사항을 간소화, 자동화 및 구현할 수 있습니다. 이를 통해 AWS 솔루션 아키텍트, 보안 및규정 준수 담당자의 전문 지식을 반영함으로써 안전하고 안정적인 아키텍처를 쉽게 자동 빌드할 수 있습니다.
이 퀵 스타트에는 AWS Service Catalog와 통합할 수 있는 AWS CloudFormation 템플릿이 포함되어 있어PCI DSS에 대한 요구 사항에 따라 표준화된 참조 아키텍처 빌드를 자동화할 수 있습니다. 또한 보안 제어 참조도 포함되어 있어 보안 제어를 아키텍처 결정, 기능 및 기준 구성에 매핑하여 보여줍니다.
AWS의 PCI DSS를 위한 아키텍처이 Quick Start를 배포하면 AWS 클라우드에서 Linux 기반 다중 티어 애플리케이션이 빌드됩니다. 그림 2 및3은 해당 아키텍처를 보여줍니다.
Note
또한 다음 다이어그램을 Microsoft PowerPoint 형식으로 다운로드하여 특정 워크로드를 반영하도록아이콘을 편집할 수 있습니다.
3
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
아키텍처
그림 2: 여러 VPC(개념적 배포 VPC가 표시됨)와의 통합을 보여주는 AWS의 PCI DSS를 위한 표준 3티어 웹아키텍처
그림 3: AWS의 PCI DSS를 위한 프로덕션 VPC 설계
샘플 아키텍처에는 다음 구성 요소와 기능이 포함되어 있습니다.
• 기본 AWS Identity and Access Management(IAM) 구성(사용자 지정 (IAM) 정책, 연결된 그룹, 역할 및 인스턴스 프로파일 포함)
• 외부로 연결되는 표준 Amazon Virtual Private Cloud(Amazon VPC) 다중 AZ 아키텍처(다른 애플리케이션티어를 위한 개별 서브넷과 애플리케이션 및 데이터베이스를 위한 프라이빗(백엔드) 서브넷 포함)
• 암호화된 웹 콘텐츠, 로깅 및 백업 데이터를 위한 Amazon Simple Storage Service(Amazon S3) 버킷• 샘플 애플리케이션 스택에서 사용되는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 및 로드
밸런서를 위한 표준 Amazon VPC 보안 그룹• 고객 애플리케이션으로 수정 및/또는 부트스트랩 가능한 Amazon EC2 Auto Scaling 및 Elastic Load
Balancing을 사용하는 3티어 Linux 웹 애플리케이션• 문제 해결 및 시스템 관리 활동을 위해 Amazon EC2 인스턴스에 대한 명령줄 SSH(Secure Shell) 액세스를
촉진하는 보안 접속 로그인 호스트• 암호화된 다중 AZ Amazon Relational Database Service(Amazon RDS) MySQL 데이터베이스• AWS CloudTrail, Amazon CloudWatch 및 AWS Config 규칙을 사용하는 로깅, 모니터링 및 알림
4
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
AWS 서비스
AWS 서비스이 Quick Start에서 사용하는 핵심 AWS 구성 요소에는 다음 AWS 서비스가 포함됩니다. AWS가 생소하다면AWS 설명서의 시작하기 단원을 참조하십시오.
• AWS CloudTrail - AWS CloudTrail은 AWS API 호출을 기록하고 호출자 자격 증명, 시간, 소스 IP 주소, 요청 파라미터 및 응답 요소가 포함된 로그 파일을 전달합니다. CloudTrail 에서 제공하는 호출 기록 및 세부정보를 통해 보안 분석, 리소스 변경 사항 추적 및 규정 준수 감사를 수행할 수 있습니다.
• Amazon CloudWatch - Amazon CloudWatch는 AWS 클라우드 리소스 및 AWS에서 실행하는 애플리케이션을 모니터링합니다. CloudWatch를 사용하여 지표를 수집 및 추적하고, 로그 파일을 수집 및 모니터링하며, 경보를 설정하고, AWS 리소스 변경에 자동으로 대응할 수 있습니다.
• AWS Config - AWS Config는 AWS 리소스 인벤토리, 구성 기록, 구성 변경 알림을 제공하여 보안 및 거버넌스를 실현하는 종합 관리형 서비스입니다. AWS Config 규칙을 통해 AWS Config에서 기록하는 AWS 리소스의 구성을 자동으로 검사할 수 있습니다.
Note
AWS Config 규칙 기능은 현재 AWS 리전 및 엔드포인트 웹페이지에 나열된 AWS 리전에서만 사용할 수 있습니다.
• Amazon EBS - Amazon Elastic Block Store(Amazon EBS)는 AWS 클라우드의 Amazon EC2 인스턴스에사용할 영구적인 블록 수준 스토리지 볼륨을 제공합니다. 각 Amazon EBS 볼륨은 가용 영역 내에 자동으로 복제되어 구성 요소 장애로부터 보호하고, 고가용성 및 내구성을 제공합니다. Amazon EBS 볼륨은 워크로드 실행에 필요한 지연 시간이 짧고 일관된 성능을 제공합니다.
• Amazon EC2 - Amazon Elastic Compute Cloud(Amazon EC2) 서비스를 통해 다양한 운영 체제에서 가상머신 인스턴스를 시작할 수 있습니다. 기존의 AMI(Amazon 머신 이미지) 중에서 선택하거나 자체 가상 머신 이미지를 가져올 수 있습니다.
• Elastic Load Balancing - Elastic Load Balancing은 여러 EC2 인스턴스 간에 트래픽을 자동으로 분산시켜내결함성 및 가용성을 높여 줍니다.
• Amazon Glacier - Amazon Glacier는 데이터 보관 및 자주 사용되지 않는 데이터의 장기 백업을 위한 스토리지 서비스입니다. 이 서비스는 안전하고, 내구성이 뛰어나며, 매우 저렴한 스토리지를 제공하고, SSL을통한 데이터 전송을 지원하며, 저장 데이터를 자동으로 암호화합니다. Amazon Glacier를 사용하면 데이터를 몇 개월, 몇 년 혹은 수십 년 동안 매우 저렴한 비용으로 저장할 수 있습니다.
• Amazon RDS - Amazon Relational Database Service(Amazon RDS)를 이용해 AWS 클라우드에서 관계형 데이터베이스를 설치, 운영 및 확장할 수 있습니다. 또한 데이터베이스 제품(예: MySQL, MariaDB,PostgreSQL, Oracle, Microsoft SQL Server 및 Amazon Aurora)에 대한 데이터베이스 백업, 소프트웨어 패치 적용, 자동 실패 감지 및 복구 등의 여러 데이터베이스 관리 작업을 처리할 수 있습니다. 이 퀵 스타트에는 기본적으로 MySQL 데이터베이스가 포함되어 있습니다.
• Amazon VPC - Amazon Virtual Private Cloud(Amazon VPC) 서비스를 통해 AWS 클라우드의 격리된 프라이빗 섹션을 프로비저닝하고, 이곳에 정의된 가상 네트워크에서 AWS 서비스 및 기타 리소스를 실행할 수있습니다. IP 주소 범위, 서브넷 생성, 라우팅 테이블 및 네트워크 게이트웨이 구성 선택 등 가상 네트워킹환경을 완벽하게 제어할 수 있습니다. VPC를 사용해 구현할 수 있는 것들의 예는 다음과 같습니다.
모범 사례이 Quick Start로 빌드된 아키텍처는 고가용성 및 보안 강화를 위한 다음 AWS 모범 사례를 지원합니다.
• 고가용성을 위해 마련된 다중 AZ 아키텍처• 프라이빗/퍼블릭 서브넷 간의 인스턴스 격리• 필수 서비스로만 액세스를 제한하는 보안 그룹• 서브넷으로의 트래픽을 필터링하는 네트워크 ACL(액세스 제어 목록) 규칙(네트워크 보안의 추가 계층임)• 시스템 관리자 작업에 대해 제한된 로그인 액세스를 촉진하는 보안 접속 호스트 인스턴스• 최소 권한을 실행하는 연결된 그룹, 역할이 있는 표준 IAM 정책
5
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
Quick Start 사용 방법
• 중요 이벤트에 대한 모니터링, 로깅 및 알림• 애플리케이션 데이터 로깅, 보관을 위한 S3 버킷(보안 기능이 활성화되어 있음)• 적절한 로드 밸런싱 및 Auto Scaling 기능의 구현• 보안 정책이 강화된 HTTPS 지원 Elastic Load Balancing(ELB) 로드 밸런서• Amazon RDS 데이터베이스 백업 및 암호화
이 Quick Start 사용 방법학습을 위한 예제, 프로토타입 환경 또는 사용자 지정을 위한 기준으로 사용되는 환경을 빌드할 수 있습니다.
AWS는 구성 옵션의 완전한 세트(정기적으로 릴리스되고 있는 새로운 서비스 포함)를 제공하므로, 이퀵 스타트는 사용자 고유 환경에 사용할 수 있는 보안 템플릿을 제공합니다. 이러한 보안 템플릿(AWSCloudFormation 템플릿 형식)에는 시스템적으로 설정할 수 있는 보다 포괄적인 규칙 세트가 들어 있습니다.이러한 템플릿을 시작점으로 사용하고 특정 사용 사례와 일치하도록 사용자 지정할 수 있습니다.
비용이 Quick Start 레퍼런스 배포 실행 중 사용하는 AWS 서비스에 대해 부과되는 요금은 여러분이 지불해야 합니다. 퀵 스타트 사용에 따르는 추가 비용은 없습니다.
이 퀵 스타트의 AWS CloudFormation 템플릿에는 사용자 지정할 수 있는 구성 파라미터가 포함되어 있습니다. 이러한 설정 중 일부는 배포 비용에 영향을 미칩니다. 예상 비용은 사용 중인 각 AWS 서비스의 요금 페이지 또는 AWS 월 사용량 계산기를 참조하십시오. 요금은 변경될 수 있습니다.
6
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
AWS CloudFormation 스택
AWS CloudFormation 템플릿AWS CloudFormation 템플릿은 인프라 구성 요소 간의 상호 연결과 함께 애플리케이션 또는 서비스를 실행하는 데 필요한 AWS 인프라를 설명하는 JSON(JavaScript Object Notation) 또는 YAML 형식의 텍스트 파일입니다. AWS Management Console, AWS Command Line Interface(AWS CLI) 또는 AWS CloudFormationAPI를 사용하여 템플릿 및 관련 리소스 모음(스택이라고 함)을 배포할 수 있습니다. AWS CloudFormation에는 추가 요금이 없으며 애플리케이션 실행에 필요한 AWS 리소스 요금만 지불하면 됩니다. 템플릿에 정의된모든 AWS 리소스를 사용할 수 있습니다. AWS CloudFormation 템플릿에 정의할 수 있는 전체 리소스 목록은 AWS 설명서의 AWS 리소스 유형 참조를 참조하십시오.
AWS CloudFormation 스택AWS CloudFormation을 사용할 경우 스택이라는 하나의 단위로 관련 리소스를 관리합니다. 다시 말해서 스택을 생성, 업데이트 또는 삭제하여 리소스 모음을 생성, 업데이트 및 삭제합니다. 스택의 모든 리소스는 스택의 AWS CloudFormation 템플릿으로 정의합니다.
리소스를 업데이트하려면 우선 스택 템플릿을 수정한 다음 수정된 템플릿을 제출하여 스택을 업데이트합니다. AWS CloudFormation 콘솔, AWS CloudFormation API 또는 AWS CLI를 사용하여 스택으로 작업할 수있습니다.
AWS CloudFormation 및 스택에 대한 자세한 내용은 AWS CloudFormation 설명서의 시작하기를 참조하십시오.
이 Quick Start에서 사용되는 템플릿이 Quick Start에서는 중첩된 AWS CloudFormation 템플릿을 사용해 Linux 기반 다중 티어 애플리케이션을위한 아키텍처 (p. 3)를 배포합니다.
퀵 스타트는 마스터 템플릿과 7개의 하위 템플릿(IAM, 로깅, 프로덕션 VPC, 관리 VPC, Config 규칙, NAT 인스턴스 및 애플리케이션)으로 구성됩니다. 이러한 템플릿은 AWS 모범 사례 및 보안 규정 준수 프레임워크에부합하는 스택 내에서 아키텍처를 배포하도록 설계되어 있습니다. 다음 표에 각 템플릿과 그 종속성이 나와있습니다.
템플릿 설명 종속성
기본 스택
(main.template — 또는 GovCloud버전 참조)
나머지 스택을 배포하고 중첩 템플릿 간에 파라미터를 자동으로전달하는 기본 템플릿 파일입니다.
없음
IAM 스택
(iam.template)
사용자 지정 정책, 그룹 및 역할이포함된 기본 IAM 구성을 생성합니다.
없음
스택 로깅
(logging.template)
모니터링을 위한 기준 AWSConfig 규칙을 설정합니다. 데이터를 로깅하고 보관하기 위한AWS CloudTrail, S3 버킷 및 버킷 정책을 활성화합니다. 보안 관련 CloudTrail 이벤트에 대한 표준Amazon CloudWatch 경보를 생성합니다.
없음
7
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드이 Quick Start에서 사용되는 템플릿
템플릿 설명 종속성
프로덕션 VPC 스택
(vpc-production.template)
서브넷, NAT 인스턴스 또는 NAT게이트웨이, 라우팅 테이블 및 사용자 지정 네트워크 액세스 제어목록(네트워크 ACL) 규칙을 포함한 퍼블릭 애플리케이션을 위한보안 Amazon VPC를 구성합니다.
없음
관리 VPC 스택
(vpc-management.template)
프로덕션 VPC를 지원하는 관리기능을 위해 보안 Amazon VPC를구성합니다. 여기 포함된 서브넷,NAT, 라우팅 테이블, 사용자 지정네트워크 액세스 제어 목록(네트워크 ACL) 규칙 및 제한적 퍼블릭접속 호스트를 사용하여 안전한관리자 액세스용 로그인 경로를지원할 수 있습니다.
프로덕션 VPC 스택
Config 규칙 스택
(config-rules.template)
모니터링을 위한 기준 AWSConfig 규칙을 설정합니다.
IAM, 프로덕션 VPC 및 관리 VPC스택
NAT 인스턴스 스택
(nat-instance.template)
관리 및 프로덕션 VPC 템플릿에서 조건부로 시작하여 관리 NAT게이트웨이 기능을 아직 사용할수 없는 AWS 리전에서 NAT용EC2 인스턴스를 설정합니다.
없음
애플리케이션 스택
(application.template)
역방향 프록시 및 웹 애플리케이션, Amazon RDS 데이터베이스,HTTPS Elastic Load Balancing,Amazon CloudWatch 경보 및Auto Scaling 그룹을 위한 EC2 인스턴스를 설정합니다.
프로덕션 VPC 스택
AWS CloudFormation 템플릿 main.template은 전체 아키텍처 실행을 위한 진입점으로 파라미터를 각 중첩스택으로 전달하도록 허용합니다. 이러한 중첩 스택의 YAML 템플릿에서 아키텍처에 필요한 리소스를 배포합니다.
전체 아키텍처(IAM 및 Amazon VPC 포함)를 배포하려면 스택 시작 시 main.template을 사용합니다. 전체 패키지를 배포하려면 그룹 및 역할에 대한 IAM 구성을 포함하고 있는 각 템플릿에서 생성하는 리소스를 배포할 수 있는 권한이 IAM 사용자에게 있어야 합니다.
또한 main.template을 편집하여 스택을 사용자 지정하거나 배포할 스택을 생략할 수 있습니다. 이는 애플리케이션 소유자의 계정에서 초기 기본 아키텍처를 배포해야 하는 프로비저닝 팀에 유용할 수 있습니다. 배포옵션 및 사용 사례에 대한 자세한 내용은 배포 방법 (p. 12)을 참조하십시오.
또한 각 스택은 독립적으로 배포할 수 있습니다. 그러나 이렇게 하려면 기본 템플릿을 사용해 파라미터 값을자동으로 전달하는 대신 시작 시 각 템플릿에 개별 파라미터를 전달해야 합니다.
8
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
Amazon S3로 템플릿 업로드
Quick Start 소스 파일 관리이 퀵 스타트에 필요한 도구 및 템플릿을 위한 GitHub 리포지토리를 제공했으므로 필요에 따라 이러한 도구및 템플릿을 수정, 확장 및 사용자 지정할 수 있습니다. 또한 고유한 Git 또는 Apache Subversion 소스 코드리포지토리를 사용하거나 AWS CodeCommit을 사용할 수 있습니다. 이는 적절한 버전 관리, 개발자 협업 및업데이트 문서화를 보장하기 위해 권장됩니다.
이 퀵 스타트의 GitHub 리포지토리에는 다음 디렉터리가 포함됩니다.
• assets - 보안 제어 매트릭스, 아키텍처 다이어그램 및 랜딩 페이지 자산• templates - 배포에 필요한 AWS CloudFormation 템플릿 파일• submodules - 퀵 스타트 템플릿에서 사용하는 스크립트 및 하위 스크립트
Amazon S3로 템플릿 업로드이 Quick Start 템플릿은 Quick Start의 Amazon S3 버킷에서 제공됩니다. 고유한 S3 버킷을 사용하는 경우AWS Management Console 또는 AWS CLI를 사용하여 다음 지침에 따라 AWS CloudFormation 템플릿을 업로드할 수 있습니다.
콘솔 사용
1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.
2. 템플릿을 저장하려는 버킷을 선택합니다.3. [Upload]를 선택하고 업로드할 파일의 로컬 위치를 지정합니다.4. 모든 템플릿 파일을 동일한 S3 버킷으로 업로드합니다.5. 각 템플릿 파일을 선택한 다음 [Properties]를 선택하여 템플릿 URL을 찾습니다. URL을 적어둡니다.
AWS CLI 사용
1. http://aws.amazon.com/cli/에서 AWS CLI 도구를 다운로드합니다.2. 다음 AWS CLI 명령을 사용하여 각 템플릿 파일을 업로드합니다.
aws s3 cp <template file>.template s3://<s3bucketname>/
Amazon S3 URL 업데이트기본 스택에 대한 템플릿에는 중첩 스택에 대한 Amazon S3 URL이 나열되어 있습니다. 자체 S3 버킷에 템플릿을 업로드하고 여기서 템플릿을 배포하려는 경우 main.template 파일의 Resources 섹션을 수정해야 합니다.
9
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
사전 조건
배포 계획사전 조건
전문 지식이 Quick Start에는 기존 호스팅 환경에서 PCI DSS 제어 요구 사항 및 규정 준수 프로그램을 달성 및 관리하기 위한 프로세스에 대해 중간~높은 수준의 이해도가 필요합니다.
또한 이 솔루션은 IT(정보 기술) PCI DSS 평가자 및 보안 담당자를 대상으로 하며, 이들이 네트워킹, 운영 체제, 데이터 암호화, 운영 제어 및 클라우드 컴퓨팅 서비스 분야의 기본 보안 개념에 대해 잘 알고 있다고 가정합니다.
또한 이 배포 가이드를 활용하려면 AWS 서비스에 대한 중간 수준의 이해도가 필요하고 최소한 다음 사항이필요합니다.
• IAM 관리자 수준 권한으로 현재 AWS 계정에 액세스• AWS 서비스, AWS 서비스 제한 및 AWS CloudFormation에 대한 기본적인 이해• AWS에서 애플리케이션 설계에 대한 지식• 고객 조직에서 보안 및 규정 준수 요구 사항의 이해
AWS에서는 AWS 클라우드에서 인프라 및 애플리케이션을 설계, 배포 및 운영하는 기술을 발전시킬 수 있는교육 및 인증 프로그램을 제공하고 있습니다. 방금 시작한 사람이든 아니면 기술적 전문 지식을 심화하려는사람이든 간에, AWS에는 사용자의 필요에 맞는 다양한 리소스가 있습니다. 자세한 내용은 AWS 교육 및 인증 웹사이트를 참조하거나 AWS 교육 및 인증 개요를 읽어보십시오.
AWS 계정AWS 계정이 아직 없는 경우에는 http://aws.amazon.com에서 다음과 같이 화면상의 지침에 따라 계정을 만드십시오. 가입이 진행되는 동안 전화를 받아 전화 키패드로 PIN을 입력하는 단계를 수행하게 됩니다.
기술 요구 사항Quick Start를 시작하기 전에 다음 표에 지정된 것처럼 계정을 구성해야 합니다. 그렇지 않으면 배포에 실패합니다. 단계별 구성 지침은 배포 전 단계 (p. 13) 단원을 참조하십시오.
리소스리소스 기본값 (기본적으로)
이 배포에서 사용되는 개수
VPC 리전당 5개 2
EIP 리전당 5개 3
IAM 그룹 계정당 100개 6
IAM 역할 계정당 250개 5
10
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
기술 요구 사항
리소스 기본값 (기본적으로)이 배포에서 사용되는 개수
Amazon EC2Auto Scaling그룹
리전당 20개 2
ELB 로드 밸런서
리전당 20개 2
리전 이 퀵 스타트에서 사용되는 AWS 서비스는 모든 사용 리전에서 이용할 수 있지만 구성 적용에 사용되는 AWS Config 규칙은 현재 AWS 리전 및 엔드포인트에 나열된 리전에서만 사용할 수 있습니다. 이 기능이 필요한 경우 AWS Config 규칙을 더욱 광범위하게 사용할 수 있을 때까지 나열된 리전 중 한 곳에배포해야 합니다.
배포하기 위해 선택한 리전에서 사용할 수 있는 것이 무엇인지 알아야 합니다. 리전당 지원되는 최신서비스 목록을 보려면 AWS 설명서의 AWS 리전및 엔드포인트를 참조하십시오. AWS GovCloud(US)의 서비스 차이점에 대한 자세한 내용은 AWSGovCloud 설명서의 지원되는 서비스를 참조하십시오.
AWS Config 및 AWS Config 규칙 AWS Config 및 AWS Config 규칙을 사용할 수있는 AWS 리전에 퀵 스타트를 배포하면 AWSCloudFormation 템플릿인 config-rules.template이이 서비스를 자동으로 사용하려고 시도합니다. 그러나 해당 리전에서 이전에 AWS Config를 수동으로설정한 적이 없으면 배포에 실패합니다. 퀵 스타트를 배포하기 전에 AWS Config 콘솔로 이동해 [GetStarted Now] 버튼을 선택합니다. 이 기능은 현재AWS 리전 및 엔드포인트에 나열된 AWS 리전에서만 사용할 수 있습니다.
Amazon S3 URL 배포를 위해 자체 S3 버킷으로 템플릿을 복사하는경우 main.template 파일의 Resources 섹션을 액세스 가능하고 유효한 URL로 업데이트해야 합니다.그렇지 않으면 배포에 실패합니다.
IAM 권한 콘솔을 사용하여 퀵 스타트를 배포하려면 템플릿이배포할 리소스 및 작업에 대한 IAM 권한을 사용하여AWS Management Console에 로그인한 상태여야합니다. 제한 사항이 더 많은 사용자 정의 정책을 사용할 수도 있지만, IAM의 AdministratorAccess 관리형 정책도 충분한 권한을 제공합니다.
S3 버킷 계정 번호 및 리전을 기반으로 고유한 S3 버킷 이름이 자동으로 생성됩니다. 스택을 삭제하더라도 (보안 리뷰를 지원하기 위해) 로깅 버킷은 삭제되지 않습니다. 이 퀵 스타트를 동일한 리전에 다시 배포하려면 먼저 이전에 생성한 S3 버킷을 수동으로 삭제해야 합니다. 그렇지 않으면 다시 배포에 실패합니다.
11
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
배포 방법
배포 방법AWS CLI 명령을 사용하거나 AWS Management Console에서 직접 Quick Start 템플릿을 배포할 수 있습니다. 템플릿 패키지는 AWS Service Catalog 제품으로 배포할 수도 있습니다. AWS Service Catalog는 AWS에서 애플리케이션 및 아키텍처 배포를 위한 셀프 서비스 모델을 활성화합니다. AWS CloudFormation 템플릿으로 정의되는 하나 이상의 제품을 포함하는 포트폴리오를 생성할 수 있습니다. 특정 포트폴리오에 IAM 사용자, 그룹 또는 역할 액세스 권한을 부여할 수 있고, 그런 다음 개별 인스턴스에서 이러한 포트폴리오를 시작할 수 있습니다. 이어지는 단원에서는 AWS Management Console 배포 옵션에 대한 단계별 지침을 제공합니다.
12
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
서비스 제한 검토
배포 전 단계PCI DSS 퀵 스타트 템플릿을 배포하기 전에 이 단원의 지침에 따라 계정이 올바르게 설정되어 있는지 확인합니다.
• 계정에 리소스를 시작하는 데 사용할 수 있는 용량이 있도록 AWS 계정에 대한 서비스 제한 및 서비스 사용량을 검토하고 필요한 경우 증가를 요청합니다.
• 배포하려는 AWS 리전에서 AWS 계정이 하나 이상의 SSH 키 페어(그러나 가급적 별개의 키 페어 2개)로설정되어 있는지 확인합니다. 이러한 키 페어는 접속 로그인 호스트와 기타 Amazon EC2 호스트에 사용합니다.
• AWS Config를 사용할 수 있는 AWS 리전에서 배포하는 경우 AWS Config 콘솔에서 AWS Config를 수동으로 설정해야 합니다. AWS Config는 현재 나열된 리전에서만 사용할 수 있습니다.
AWS 서비스 제한 검토PCI Quick Start 배포에 필요한 리소스에 대한 서비스 제한을 검토하여 (필요한 경우) 늘리려면 AWS TrustedAdvisor 콘솔 및 Amazon EC2 콘솔을 사용합니다. 기술 요구 사항 표 (p. 10)에 지정된 리소스가 필요합니다.
Trusted Advisor를 사용하여 계정 내 Amazon VPC, IAM 그룹 및 IAM 역할에 대한 기존 서비스 제한을 살펴보고 추가 리소스를 배포하기 위한 가용성이 충분한지 확인합니다.
1. https://console.aws.amazon.com/trustedadvisor/에서 Trusted Advisor 콘솔을 엽니다.2. 탐색 창에서 [Performance]를 선택합니다.3. [Performance] 페이지에서 [Service Limits]를 찾을 때까지 성능 점검 목록을 스크롤하고 해당 섹션을 확
장합니다.4. 스크롤하여 서비스 제한 이름을 찾고 [Limit Amount] 열과 [Current Usage] 열을 비교해 이 퀵 스타트를
배포할 AWS 리전(미국 동부(버지니아 북부) 지역 권장)에서 기본 제한을 초과하지 않고 다음 항목을 할당할 수 있는지 확인합니다.
• VPC 2개 더• IAM 그룹 6개 더• IAM 역할 5개 더
증가가 필요한 경우 그림 4에 표시된 제한 증가 요청을 개설하기 위한 제한 이름을 선택할 수 있습니다.
13
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
서비스 제한 검토
그림 4: 서비스 제한 증가 요청
이제 Amazon EC2 콘솔을 사용하여 다음과 같이 탄력적 IP 주소, 로드 밸런서 및 Auto Scaling 그룹에 대한제한을 확인합니다.
14
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
키 페어 생성
1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 창의 [Network & Security]에서 [Elastic IPs]를 선택합니다.3. 목록에 표시되는 할당된 탄력적 IP(있는 경우) 수를 세어 보고 기본 제한값 5개(또는 이전에 요청한 제한
증가)를 초과하지 않고 탄력적 IP를 3개 더 할당할 수 있는지 확인합니다.4. 탐색 창의 [Load Balancing]에서 [Load Balancers]를 선택합니다.5. 목록에 표시되는 기존 로드 밸런서(있는 경우) 수를 세어 보고 기본 제한값 20개(또는 이전에 요청한 제
한 증가)를 초과하지 않고 로드 밸런서를 2개 더 생성할 수 있는지 확인합니다.6. 탐색 창의 [Auto Scaling] 아래에서 [Auto Scaling Groups]를 선택합니다.7. 목록에 표시되는 기존 Auto Scaling 그룹(있는 경우) 수를 세어 보고 기본 제한값 20개(또는 이전에 요청
한 제한 증가)를 초과하지 않고 그룹을 2개 더 생성할 수 있는지 확인합니다.
Amazon EC2 키 페어 생성Quick Start를 배포하려는 리전에서 AWS 계정에 Amazon EC2 키 페어가 하나 이상 있는지 확인합니다.
1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 모음에서 리전 선택기를 사용하여 배포하려는 AWS 리전을 선택합니다.3. 탐색 창의 [Network & Security]에서 [Key Pairs]를 선택합니다.4. 키 페어 목록에서 사용 가능한 키 페어가 한 개 이상(그러나 사용 가능한 키 페어는 가급적 2개) 있는지
확인하고 키 페어 이름을 적어 둡니다. 퀵 스타트를 시작할 때 파라미터 [pEC2KeyPairBastion](접속 호스트 로그인 액세스용) 및 [pEC2KeyPair](기타 모든 Amazon EC2 호스트 로그인 액세스용)에 대한 키페어 이름을 입력해야 합니다. 두 파라미터에 대해 동일한 키 페어 이름을 사용할 수 있긴 하지만 각각다른 키 페어를 사용하는 것이 좋습니다.
새로운 키 페어를 만들려는 경우 [Create Key Pair]를 선택합니다. 추가 정보는 Amazon EC2 문서를 참조하십시오.
그림 5: 키 페어 만들기
Note
테스트 또는 개념 증명을 위해 퀵 스타트를 배포하는 경우 프로덕션 인스턴스에서 이미 사용 중인키 페어를 지정하는 대신 새 키 페어를 만드는 것이 좋습니다.
AWS Config 설정이 Quick Start를 배포하려는 리전에서 아직 AWS Config가 초기화되지 않은 경우 해당 리전에서 아래 단계를 수행합니다.
1. https://console.aws.amazon.com/config/에서 AWS Config 콘솔을 엽니다.
15
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
AWS Config 설정
2. 탐색 모음에서 리전 선택기를 사용하여 배포하려는 AWS 리전을 선택합니다.3. AWS Config 콘솔에서 [Get Started](또는[Get Started Now])를 선택합니다.
그림 6: AWS Config 콘솔4. [Set up AWS Config] 화면에서 모든 기본값을 그대로 두거나 적절하게 수정한 다음 [Continue]를 선택합
니다.
그림 7: AWS Config 설정 화면5. 다음 화면에서는 AWS Config에 대한 IAM 역할을 선택하거나 생성하라는 메시지가 표시됩니다. 모든 기
본값을 그대로 두거나 적절하게 수정한 다음 [Allow]를 선택합니다.
16
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
AWS Config 설정
그림 8: AWS Config에 대한 IAM 역할 지정6. [Resource Inventory] 화면의 오른쪽 상단 모서리에 [Recording is on]이 표시되어야 합니다. 이 표시는
AWS Config가 이제 이 AWS 리전에서 활성 상태임을 나타냅니다.
그림 9: AWS Config 정품 인증
17
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
주요 내용
배포 단계이 단원의 단계별 지침에 따라 AWS 계정에 로그인하고, 퀵 스타트 템플릿을 사용자 지정하고, 소프트웨어를자신의 계정으로 배포합니다.
주요 내용AWS에 Quick Start 아키텍처를 배포하기 위한 절차는 아래 단계로 구성되며 이러한 단계는 다음 단원에서자세히 설명합니다.
• 1단계. AWS 계정에 로그인합니다 (p. 18)• AWS 계정으로 로그인하여 올바르게 구성되어 있는지 확인합니다.
• 2단계. 스택 시작 (p. 19)• AWS 계정으로 기본 AWS CloudFormation 템플릿을 시작합니다.• 필요한 파라미터의 값을 입력합니다.• 템플릿 파라미터를 검토하고 필요한 경우 해당 값을 사용자 지정합니다.
• 3단계. 배포 테스트 (p. 21)• 기본 스택에서 배포를 테스트하도록 하려면 [Outputs] 탭에서 제공하는 URL을 사용합니다.• 기본 스택에는 [Outputs] 탭에서 제공하는 접속 호스트의 IP 주소를 사용하고 SSH를 통해 접속 호스트
에 연결하려면 프라이빗 키를 사용합니다.
단계 1. AWS 계정에 로그인1. 적절한 권한이 있는 IAM 사용자 역할을 사용하여 http://aws.amazon.com에서 AWS 계정에 로그인합니
다(본 문서의 앞 부분에 나오는 IAM 권한 (p. 11) 참조).2. AWS 계정이 올바르게 구성되어 있는지 확인합니다. 자세한 내용은 기술 요구 사항 (p. 10) 및 배포 전 단
계 (p. 13) 단원을 참조하십시오. AWS Config의 선택적 기능과 함께 AWS 리전을 사용하려는 경우 이전단원 (p. 15)의 지침에 따라 먼저 AWS Config 서비스를 수동으로 설치해야 합니다.
3. 탐색 모음에서 리전 선택기를 사용하여 AWS에서 PCI DSS 아키텍처를 배포하려는 AWS 리전을 선택합니다.
Amazon EC2 위치는 리전과 가용 영역으로 구성됩니다. 리전은 개별 지리적 영역에 분산 배치되어 있습니다. 퀵 스타트에서는 배포의 WordPress 및 Nginx 부분에 m3.large 인스턴스 유형을 사용합니다.m3.large 인스턴스는 현재 중국(베이징)을 제외한 모든 AWS 리전에서 사용할 수 있습니다. AWS Config규칙 서비스는 현재 AWS 리전 및 엔드포인트에 나열된 AWS 리전에서만 사용할 수 있습니다.
18
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
2단계. 스택 시작
그림 10: AWS 리전 선택
도움말
AWS에서 실행되는 시스템과 회사 네트워크 상의 시스템 및 사용자 간에 네트워크 지연 시간을 줄이려면 데이터 센터 또는 회사 네트워크에 가장 가까운 리전을 선택합니다. 선택적 AWSConfig 규칙 기능을 사용하려는 경우 AWS 리전 및 엔드포인트에 나열된 AWS 리전 중 하나를선택해야 합니다.
4. 앞에서 (p. 15) 생성한 키 페어를 선택합니다. Amazon EC2 콘솔의 탐색 창에서 [Key Pairs]를 선택한 다음 목록에서 키 페어를 선택합니다.
단계 2. 스택 시작
자동화된 AWS CloudFormation 템플릿은 Quick Start 아키텍처를 여러 가용 영역의 Amazon VPC에 배포합니다. 스택을 시작하기 전에 기술 요구 사항 (p. 10) 및 배포 전 단계 (p. 13)를 검토하십시오.
1. AWS 계정으로 AWS CloudFormation 템플릿을 시작합니다.
템플릿은 AWS Management Console의 오른쪽 상단 모서리에 있는 탐색 모음의 AWS 리전에 배포됩니다. 탐색 모음에서 리전 선택기를 사용하여 리전을 변경할 수 있습니다. AWS Config를 사용할 수 있는리전을 선택하는 경우 해당 리전에서 AWS Config 서비스를 수동으로 시작해야 합니다.
AWS GovCloud (US) 계정이 있는 경우 AWS GovCloud (US) 리전에서 템플릿을 시작할 수 있습니다.
스택 생성에는 약 30분 가량 걸립니다.
19
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
2단계. 스택 시작
Note
이 퀵 스타트 레퍼런스 배포 실행 중 사용하는 AWS 서비스에 대해 부과되는 요금은 여러분이지불해야 합니다. 퀵 스타트 사용에 따르는 추가 비용은 없습니다. 자세한 내용은 이 퀵 스타트에서 사용 중인 각 AWS 서비스의 요금 페이지 또는 AWS 월 사용량 계산기를 참조하십시오.요금은 변경될 수 있습니다.
또한 구현의 시작점으로 사용할 템플릿을 다운로드할 수도 있습니다.2. [Select Template] 페이지에서 템플릿 URL에 대한 기본 설정을 유지하고 [Next]를 선택합니다.3. [Specify Details] 페이지에서는 템플릿에 필요한 파라미터 값 7개를 입력합니다. 이러한 옵션은 다음 표
에 설명되어 있습니다.
레이블 파라미터 기본값 설명
데이터베이스 암호 pDBPassword 입입 입입 데이터베이스 관리자계정용 비밀번호입니다. 영숫자가 혼합된8~28자의 복잡한 암호여야 합니다.
알림 이메일 주소 pNotifyEmail [email protected] 보안 이벤트에 대한 알림 이메일 주소(확인 이메일 수신)입니다.
접속 인스턴스의 기존SSH 키
pEC2KeyPairBastion 입입 입입 접속 호스트 로그인에사용하는 계정의 SSH키 페어입니다(배포 전단계 (p. 15) 참조).
기타 인스턴스의 기존SSH 키
pEC2KeyPair 입입 입입 기타 모든 호스트 로그인에 사용하는 계정의SSH 키 페어입니다(배포 전 단계 (p. 15) 참조).
Config 지원 pSupportsConfig 입입 입입 AWS Config를 사용할수 있는 AWS 리전에서 배포하는데 AWSConfig를 사용하려는 경우 [Yes]를 선택합니다(배포 전 단계 (p. 15) 참조).
첫 번째 가용 영역 pAvailabilityZoneA 입입 입입 원하는 첫 번째 가용 영역을 선택합니다. 참고:일부 가용 영역은 제한되어 있을 수 있습니다.배포에 실패하면 다른가용 영역을 사용해야할 수 있습니다.
두 번째 가용 영역 pAvailabilityZoneB 입입 입입 원하는 두 번째 가용 영역을 선택합니다. 참고:일부 가용 영역은 제한되어 있을 수 있습니다.
20
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
3단계. 테스트
레이블 파라미터 기본값 설명배포에 실패하면 다른가용 영역을 사용해야할 수 있습니다.
Note
기본 템플릿을 다운로드한 다음 편집해 특정 배포 시나리오에 맞는 고유한 파라미터를 생성할수도 있습니다.
4. [Options] 페이지에서 스택의 리소스에 대한 태그(키-값 페어)를 지정하고 추가 옵션을 설정할 수 있습니다. 완료했으면 [Next]를 선택합니다.
5. [Review] 페이지에서 설정을 검토하고 승인 확인란을 선택합니다. 이렇게 하면 템플릿이 IAM 리소스를생성합니다.
그림 11: IAM 리소스 승인6. [Create]를 선택하여 스택을 배포합니다.7. 배포 중인 스택의 상태를 모니터링합니다. 배포된 모든 스택에 대해 그림 12에 표시된 상태 필드에
CREATE_COMPLETE가 표시되면 이 레퍼런스 아키텍처의 클러스터가 준비된 것입니다. 전체 아키텍처를 배포했으므로 목록에 스택 8개나 표시됩니다(기본 템플릿 1개와 중첩 템플릿 7개).
그림 12: 배포에 대한 상태 메시지
단계 3. 배포 테스트배포를 테스트하려면 그림 13에서처럼 [LandingPageURL]에 대한 링크를 선택합니다. 이 URL은 아래와 같이 기본 스택의 [Outputs] 탭에서 사용할 수 있습니다.
21
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
3단계. 테스트
그림 13: 랜딩 페이지 열기
이 링크를 클릭하면 그림 14와 유사한 모양의 새 페이지가 브라우저에서 시작됩니다.
22
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
3단계. 테스트
23
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
3단계. 테스트
그림 14: AWS에서 PCI 아키텍처의 랜딩 페이지
이 배포는 다중 AZ WordPress 사이트의 적용 가능한 데모를 빌드합니다. WordPress 사이트에 연결하려면그림 14에 표시된 랜딩 페이지에 WordPress 애플리케이션에 대해 제공된 URL을 선택합니다. 이 URL은 기본 스택의 [Outputs] 탭에 표시되는 [WebsiteURL]을 보고 확인할 수도 있습니다.
Note
WordPress는 테스트와 개념 증명만을 위해 제공되며 프로덕션용이 아닙니다. 따라서 WordPress는선택한 다른 애플리케이션으로 대체할 수 있습니다.
이 URL을 클릭하면 그림 15에 표시된 페이지가 나타납니다. 여기서 WordPress 배포를 설치 및 테스트할 수있습니다.
그림 15: WordPress 설치
24
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
3단계. 테스트
Important
퀵 스타트 배포에 포함된 WordPress 애플리케이션은 데모 전용입니다. 패치 적용, 운영 체제 업데이트 및 애플리케이션 취약점 해결을 비롯한 애플리케이션 수준 보안은 고객의 책임입니다(AWS 공동 책임 모델 참조). 이 퀵 스타트의 경우 개념 증명 데모 또는 테스트를 완료한 후 AWSCloudFormation 스택을 삭제하는 것이 좋습니다.
이제 AWS에서 PCI 아키텍처를 배포 및 테스트했으므로 몇 분 정도 시간을 내서 이 퀵 스타트에 대한 설문조사를 작성해 주십시오. 여러분의 응답은 익명으로 처리되며 AWS Enterprise Accelerator - Compliance 레퍼런스 배포를 개선하는 데 도움이 됩니다.
25
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
스택 삭제기준 환경의 사용을 마치면 스택을 삭제할 수 있습니다. CLI 및 API 혹은 AWS CloudFormation 콘솔을 통해스택을 삭제하면 해당 스택에 대해 템플릿에서 생성한 모든 리소스가 제거됩니다. 로깅 및 백업을 위한 S3버킷만 제거되지 않습니다. 기본적으로 이러한 버킷에 대한 삭제 정책은 "보관"으로 설정되어 있으므로 제거하려면 수동으로 삭제해야 합니다.
중요
이 퀵 스타트 배포에서는 중첩된 AWS CloudFormation 템플릿을 사용하므로 기본 스택을 삭제하면중첩 스택 및 연결된 모든 리소스가 제거됩니다.
26
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
문제 해결퀵 스타트 배포 시 CREATE_FAILED 오류가 발생하면 다음 표에서 알려진 문제 및 해결 방법을 참조하십시오.
오류 메시지 가능한 원인 수행할 작업
The following resource(s)failed to create:[rConfigRuleForRequiredTags,rConfigRuleForUnrestrictedPorts,rConfigRuleForSSH,rConfigRulesLambdaRole]
[Support Config] 파라미터가[Yes]로 설정되어 있지만 선택한리전에서 AWS Config를 사용할수 없거나 AWS Config가 아직 초기화되지 않았습니다.
[Support Config] 파라미터를[No]로 설정하거나 다른 리전을선택하십시오. 또한 배포 전 단계 (p. 15)의 설명에 따라 AWSConfig가 제대로 설정되어 있는지도 확인하십시오.
Maximum VPCs limit reached 계정에서 허용되는 VPC 수를 초과했습니다.
VPC를 삭제하고 제한 증가를 요청하십시오. 스택을 다시 생성해봅니다. 자세한 내용은 기술 요구사항 (p. 10)을 참조하십시오.
Maximum EIPs limit reached 계정의 탄력적 IP 주소 제한을 초과했습니다.
탄력적 IP의 연결을 해제하거나EIP 제한 증가를 요청한 다음 스택을 다시 생성해 봅니다. 자세한내용은 기술 요구 사항 (p. 10)을참조하십시오.
Other limits exceeded AWS 계정의 리소스 수를 초과했습니다.
기술 요구 사항 (p. 10)을 참조하고 필요에 따라 서비스 제한 증가를 요청하십시오.
발생한 문제가 위의 표에 나와 있지 않은 경우 [Rollback on failure]를 [No]로 설정한 상태에서(AWSCloudFormation 콘솔의 [Options] 페이지에 있는 [Advanced]에서 이 설정을 찾을 수 있음) 템플릿을 다시 시작해 보고 추가 문제 해결을 위해서는 AWS 지원 센터에서 지원 사례를 개설해 보십시오. 롤백이 비활성화된경우 스택 상태가 유지되고 인스턴스가 실행 중인 상태로 남아 있으므로 지원 팀에서 문제 해결을 지원할 수있습니다.
중요
[Rollback on failure]를 [No]로 설정하면 이 스택에 대한 AWS 요금이 계속해서 발생합니다. 따라서문제 해결을 완료하면 스택을 삭제하십시오.
27
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
AWS Service Catalog와 통합이 퀵 스타트를 위한 AWS CloudFormation 템플릿을 AWS Service Catalog에 포트폴리오 또는 제품으로 추가하여 중앙에서 관리할 수 있습니다. 이렇게 하면 일관된 거버넌스, 보안 및 규정 준수 요구 사항을 충족할수 있습니다. 또한 사용자가 필요로 하는 승인된 IT 서비스만 신속하게 배포하도록 할 수 있습니다.
AWS Service Catalog 사용에 대한 전체적인 내용은 AWS 설명서를 참조하십시오. 다음 표에는 특정 작업을위한 링크가 나와 있습니다.
끝 섹션을 참조하십시오.
새 포트폴리오 생성 포트폴리오 생성 및 삭제
새 제품 생성 제품 추가 및 제거
사용자에게 액세스 권한 부여 사용자에게 액세스 권한 부여
스택 배포를 위해 IAM 역할 할당 시작 제약 적용
IAM 역할에 정책 및 신뢰 관계가 정의되어 있는지확인합니다.
리소스 소유권, 액세스 및 비용 할당을 추적할 수 있도록 포트폴리오에 태그 할당
포트폴리오 태그 지정
기타 관리 작업 수행 AWS Service Catalog 관리자 안내서
AWS Service Catalog에서 제품 시작 AWS Service Catalog 사용 설명서
28
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
추가 리소스AWS 서비스
• AWS CloudFormation• Linux용 Amazon EC2 사용 설명서• Amazon VPC• AWS CloudTrail• AWS Config• Amazon CloudWatch• AWS Identity and Access Management• Amazon RDS• AWS CLI• AWS Service Catalog
PCI DSS
• PCI 데이터 보안 표준 버전 3.1• AWS 클라우드에서 PCI 규정 준수를 위한 기술 워크북
퀵 스타트 레퍼런스 배포
• AWS 퀵 스타트 홈 페이지
29
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
부록: 이번 AWS EnterpriseAccelerator - Compliance 릴리스의 개선 사항
이번이 AWS Enterprise Accelerator - Compliance 퀵 스타트 세트의 두 번째 릴리스입니다. AWS는 이러한솔루션의 설계, 편의성 및 보안 기능을 개선하기 위해 지속적으로 노력하고 있습니다. PCI DSS에 대한 이번최신 규정 준수 퀵 스타트에는 다음과 같은 보안 및 규정 준수 개선 사항이 포함되어 있습니다.
• TLS를 사용하는 사용자 지정 보안 정책이 적용된 HTTPS 로드 밸런서와 테스트용 자체 서명 인증서 자동생성
• 수신/발신 트래픽을 필터링하는 네트워크 ACL(액세스 제어 목록) 규칙(네트워크 보안의 추가 계층임)• 인바운드 및 아웃바운드 트래픽은 사용 가능한 포트 및 프로토콜로만 제한하는 보안 그룹• 규정 준수와 가장 크게 관련된 특정 리소스를 모니터링하기 위해 자동으로 배포되는 AWS Config 규칙• Amazon Glacier에 객체 보관 및 버전 관리 사용을 위한 사용자 지정 수명 주기 정책을 비롯하여 로깅 및 애
플리케이션 버킷을 위한 안전한 Amazon S3 정책• 루트 활동, IAM 변경 사항 및 로깅 정책 변경 사항에 대한 CloudTrail 로깅에서 특정 보안 관련 이벤트에 대
한 사용자 지정 CloudWatch 경보 및 알림• VPC를 비롯한 구성 요소를 분리해 수정 및 재사용을 더욱 손쉽게 만드는 AWS CloudFormation 템플릿 간
소화• 배포 프로세스 중 콘솔 사용을 간소화하기 위해 AWS CloudFormation 파라미터 그룹 및 레이블 세트가 줄
어듦• 애플리케이션 계층에 대해 Elastic Load Balancing 및 Amazon S3 액세스 로깅 가능• 아키텍처 내에서 Amazon EC2 인스턴스에 SSH 액세스하기 위한 보안 로그인 접속 호스트 배포
30
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
의견 보내기GitHub 리포지토리에서 이 퀵 스타트를 위한 템플릿과 스크립을 다운로드할 수 있으며, 피드백을 남기고 사용자 지정한 내용을 다른 사용자와 공유할 수 있습니다.
아직 설문조사를 작성하지 않은 경우 몇 분 정도 시간을 들여 작성해 주시기 바랍니다. 여러분의 응답은 익명으로 처리되며 이번 PCI DSS 퀵 스타트 및 기타 AWS Enterprise Accelerator - Compliance 레퍼런스 배포의품질을 개선하는 데 도움이 됩니다.
31
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
추가 지원을 받으려면이 퀵 스타트를 통해 소개된 기능을 기업에서 구현하기 위해 지원이 필요한 경우, AWS ProfessionalServices에서 제공하는 Enterprise Accelerator-Compliance 서비스를 통해 관련된 교육, 사용자 정의, 배포구현 및 유지 관리 프로세스를 안내 및 지원받아 보십시오. 자세한 정보는 AWS 계정 관리자에게 문의하거나[email protected]으로 문의 사항을 보내 주시기 바랍니다.
32
AWS의 PCI DSS에 대해 표준화된 아키텍처 퀵 스타트 배포 참조 가이드
문서 수정날짜 변경 사항 위치
2016년 12월 모듈성을 개선하기 위해 템플릿을재구성하고, PCI DSS 3.2에 대해업데이트했습니다.
템플릿 업데이트
2016년 6월 새로운 아시아 태평양(뭄바이) 리전에 대한 지원
템플릿 업데이트
2016년 5월 AWS CloudFormation 템플릿에맞춰 변경하고 사용자 지정 요구사항을 줄여 달라는 사용자 피드백을 기반으로 한 주요 업데이트입니다.
템플릿 업데이트 및 가이드 전체에 걸친 변경 사항
2016년 3월 시험판 -
고지 사항이 배포 가이드는 정보 제공 목적으로만 제공됩니다. 본 문서의 발행일 당시 AWS의 현재 제품 및 실행방법을 설명하며, 예고 없이 변경될 수 있습니다. 고객은 본 문서에 포함된 정보나 AWS 제품 또는 서비스의 사용을 독립적으로 평가할 책임이 있으며, 각 정보 및 제품은 명시적이든 묵시적이든 어떠한 종류의 보증 없이"있는 그대로" 제공됩니다. 본 문서는 AWS, 그 계열사, 공급업체 또는 라이선스 제공자로부터 어떠한 보증,표현, 계약 약속, 조건 또는 보증을 구성하지 않습니다. 고객에 대한 AWS의 책임 및 채무는 AWS 계약에 준거합니다. 본 문서는 AWS와 고객 간의 어떠한 계약도 구성하지 않으며 이를 변경하지도 않습니다.
본 문서와 함께 포함된 소프트웨어는 Apache 라이선스, 버전 2.0(이하 "라이선스")에 따라 사용이 허가되었습니다. 라이선스에 따르지 않는 경우 이 파일을 사용할 수 없습니다. 라이선스 사본은 http://aws.amazon.com/apache2.0/ 또는 본 파일과 함께 제공되는 "라이선스" 파일에서 확인할 수 있습니다. 이 코드는 어떠한 명시적 또는 묵시적 보증도 없이 "있는 그대로" 배포됩니다. 라이선스에 따른 구체적인 언어 관리 권한과 제한 사항은 라이선스를 참조하십시오.
33
