AWS Backup, 논리적 에어 갭 저장소에 대한 새로운 다자간 승인 추가

오늘은 우발적이거나 악의적인 이벤트로 인해 AWS 계정에 액세스할 수 없는 경우에도 백업에 액세스할 수 있도록 AWS Backup 논리적 에어 갭 저장소를 다자간 승인과 통합하는 새로운 기능의 정식 출시를 발표할 예정입니다. AWS Backup은 AWS 서비스와 하이브리드 워크로드 전반에서 데이터 보호를 중앙 집중화하고 자동화하는 완전 관리형 서비스입니다. 핵심 데이터 보호 기능, 랜섬웨어 복구 기능, 데이터 보호 정책 및 운영을 위한 규정 준수 인사이트 및 분석을 제공합니다.

백업 관리자는 AWS Backup의 논리적 에어 갭 저장소를 사용하여 계정 및 조직 전체에서 백업을 안전하게 공유하고, 백업 스토리지를 논리적으로 격리하고, 직접 복원을 지원하여 우발적이거나 악의적인 이벤트가 발생한 이후의 복구 시간을 줄일 수 있습니다. 그러나 악의적이거나 의도치 않은 행위자가 사용자의 백업 계정 또는 조직의 관리 계정에 대한 루트 액세스 권한을 얻으면 논리적 에어 갭 저장소에 안전하게 저장되어 있더라도 백업에 갑자기 액세스할 수 없게 됩니다. 기존 계정 복구에는 지원 채널을 통한 작업이 필요했지만, 다자간 승인을 받은 AWS Backup은 복구 도구에 대한 즉각적인 액세스를 제공하므로 해결 시간을 단축하고 복구 일정을 보다 효과적으로 제어할 수 있도록 합니다.

논리적 에어 갭 저장소에 대한 AWS Backup의 다자간 승인은 AWS 계정에 완전히 액세스할 수 없는 경우에도 애플리케이션 데이터를 복구할 수 있는 추가 보호 계층을 추가합니다. 다자간 승인을 사용하면 조직 내에서 신뢰도가 높은 개인으로 구성된 승인 팀을 생성한 다음, 논리적 에어 갭 저장소에 연결할 수 있습니다. 우발적이거나 악의적인 행동으로 인해 AWS 계정이 잠긴 경우, AWS Organizations 계정 외부의 저장소를 포함하여 모든 계정의 저장소 공유를 승인하도록 자체 승인 팀에 요청할 수 있습니다. 승인이 완료되면 백업에 대한 권한이 부여되고 복구 프로세스를 시작할 수 있습니다.

작동 방식
AWS Backup 논리적 에어갭 저장소에 대한 다자간 승인은 논리적 에어갭 저장소의 보안과 다자간 승인 거버넌스를 결합하여 AWS 계정이 손상된 경우에도 작동하는 복구 메커니즘을 생성합니다. 작동 방식은 다음과 같습니다.

1. 승인 팀 생성
먼저 AWS Organizations 관리 계정에 승인 팀을 생성합니다. 관리 계정이 신규 계정인 경우 승인 팀을 만들기 전에 먼저 AWS Identity and Access Management(IAM) ID 센터 인스턴스를 생성합니다. 승인 팀은 저장소 공유 요청을 승인할 권한이 있는 신뢰할 수 있는 개인(IAM Identity Center 사용자)으로 구성됩니다. 각 승인자는 새 승인 포털을 통해 승인 팀에 참여하라는 초대를 받습니다.

2. 저장소 연결
승인 팀이 활성화되면 AWS Resource Access Manager(AWS RAM)를 사용하여 논리적 에어 갭 저장소를 소유한 계정과 공유하여 임의 계정의 승인 요청을 방지할 수 있습니다. 그런 다음, 백업 관리자는 이 승인 팀을 새 저장소 또는 기존의 논리적 에어 갭 저장소에 연결할 수 있습니다.

3. 손상으로부터 보호
AWS 계정이 손상되거나 액세스할 수 없는 경우 다른 계정(클린 복구 계정)에서 백업에 대한 액세스를 요청할 수 있습니다. 이 요청에는 arn:aws:backup:<region>:<account>:backup-vault:<name> 형식으로 된 논리적 에어 갭 저장소의 Amazon 리소스 이름(ARN)과 선택적 저장소 이름 및 설명이 포함됩니다.

4. 다자간 승인
요청은 승인 팀에 전송되며, 승인 팀은 승인 포털을 통해 요청을 검토합니다. 필요한 최소 승인자 수가 요청을 승인하면 요청 계정과 저장소가 자동으로 공유됩니다. 모든 요청과 승인은 AWS CloudTrail에 종합적으로 기록됩니다.

5. 복구 프로세스
액세스 권한이 부여되면 손상된 계정이 수정될 때까지 기다릴 필요 없이 새 복구 계정에서 데이터를 즉시 복원하거나 복사할 수 있습니다.

이 접근 방식은 AWS 계정 자격 증명과는 완전히 독립적으로 백업에 액세스하고 복구할 수 있는 완전히 분리된 인증 경로를 제공합니다. 악의적인 행위자가 계정에 대한 루트 액세스 권한을 가지고 있더라도 승인 팀 기반 복구 프로세스를 막을 수는 없습니다.

1. 새로운 논리적 에어 갭 저장소 생성
논리적 에어 갭 저장소를 새로 생성하려면 이름, 태그(선택 사항) 및 저장소 잠금 특성을 제공합니다.

2. 승인 팀 할당
저장소가 생성되면 승인 팀 할당을 선택하여 기존 승인 팀에 저장소를 할당합니다.

드롭다운 메뉴에서 기존 승인 팀을 선택한 다음, 제출을 선택하여 할당을 완료합니다.

이제 승인 팀이 논리적 에어 갭 저장소에 할당됩니다.

알아두면 좋은 정보
실제 응급 상황이 발생하기 전에 복구 프로세스를 테스트하는 것이 중요합니다.

1. 다른 AWS 계정에서 AWS Backup 콘솔 또는 API를 통해 저장소 ID 및 ARN을 제공하여 논리적 에어 갭 저장소의 공유를 요청합니다.
2. 승인 팀에 요청 승인을 요청하세요.
3. 승인이 완료되면 테스트 계정의 저장소에서 백업을 액세스하고 복원할 수 있는지 확인하세요.

가장 좋은 방법은 AWS Backup Audit Manager를 통해 승인 팀의 상태를 정기적으로 모니터링하여 승인 기준을 충족할 수 있을 만큼 충분한 활성 참여자가 있는지 확인하는 것입니다.

향상된 클라우드 거버넌스를 위한 다자간 승인
또한 오늘은 AWS 계정 관리자가 제품 오퍼링에 다자간 승인을 추가하는 데 사용할 수 있는 새로운 기능의 정식 출시도 발표할 예정입니다. 이 게시물에서 강조한 바와 같이, AWS Backup은 이 기능을 통합한 최초의 서비스입니다. 관리자는 다자간 승인을 통해 애플리케이션 소유자가 분산 검토 프로세스를 통해 민감한 서비스 운영을 보호하도록 할 수 있습니다.

알아두면 좋은 정보
다자간 승인은 다음과 같은 몇 가지 중요한 보안 이점을 제공합니다.

• 분산 의사 결정, 단일 장애 지점 제거
• AWS CloudTrail 통합을 통한 완전한 감사 가능성
• 자격 증명 손상으로부터 보호
• 규정 준수에 민감한 운영을 위한 공식 거버넌스
• 통합 서비스 전반에서 일관된 승인 환경 제공

정식 출시

다자간 승인은 현재 AWS Oraganizations를 이용할 수 있는 모든 AWS 리전에서 이용할 수 있습니다. AWS Backup이 제공되는 모든 AWS 리전에서 AWS Backup 논리적 에어갭 저장소에 대한 다자간 승인이 가능합니다.

– Veliswa.