참고
AWS Certificate Manager(ACM)
NOTE
TLS인증서를 AWS에서 프로비저닝, 관리 및 배포하게 해준다!
HTTPS 인증서 가져옴! CA의 역할?
•
TLS/SSL은 웹 사이트에서 전송 중 암호화를 제공하는데 사용된다.(HTTPS)
•
퍼블릭, 파리이빗 TLS인증서를 모두 지원하고 퍼블릭 TLS 인증서 사용시 무료로 이용
•
여러 AWS서비스 (ELB, CloudFront, API Gateway 등)와 통합
•
EC2 인스턴스에서는 사용이 불가 (퍼블릭 인증서의 경우 추출이 불가능해서)
ACM서비스가 ALB와 통합되는 과정 ⇒ ALB에서 HTTP로 접근하면 HTTPS로 다시 오라고함
⇒ HTTPS로 오면 ACM의 TLS를 사용하도록함!
ACM - 퍼블릭 인증서 요청 과정
NOTE
1.
인증서에 포함할 도메인 이름을 나열
•
전체 주소 도메인 이름(FQDN) - corp.example.com
•
와일드카드 도메인 - *.example.com
•
도메인 수에는 제한이 없음
2.
유효성 검증 방법, DNS 검증과 이메일 검증 중 하나를 선택
•
자동화를 목적으로 SSL 인증서를 자동 갱신하려면 DNS 검증
•
DNS검증을 사용하면, DNS 구성에서 CNAME 레코드를 생성해 도메인 소유권 증명
•
Route53이 있다면 ACM과 자동으로 통합해 소유권 증명
•
이메일 검증을 사용하면 ACM이 도메인에 등록된 연락처로 이메일을 보내 여부확인
3.
유효성 검증이 완료되면 인증서가 발행
4.
퍼블릭 인증서 자동 갱신 목록에 추가
•
AMC에서 스스로 생성된 모든 인증서를 만료 60일 전에 자동으로 갱신
•
ACM 만료 45일전부터 이벤트를 EventBridge 서비스에 전송
ACM - Endpoint Types
NOTE
•
엣지 최적화
◦
기본값으로 글로벌 클라이언트를 위한 유형
◦
CloudFront 엣지 로케이션으로 요청을 라우팅하여 지연을 줄이는 방법
•
리전 엔드포인트
◦
클라이언트가 API Gateway와 같은 리전에 있을 때 사용
◦
자체 CloudFront 배포를 생성하여 캐싱 및 배포전략 제어가능
•
프라이빗 엔드포인트
◦
ENI를 통해 VPC내부에만 접근
•
ACM은 엣지 최저고하 및 리전 엔드포인트에 적합
기타 보안 리소트
AWS WAF - Web Application Firewall
NOTE
L7에서 일어나는 웹 취약점 공격으로부터 웹 어플리케이션을 보호한다!
ALB에 배포할때 고정 IP가 없으므로 Global Accleratro로 고정 IP를 받은다음 ALB에서 WAF활성화!
•
HTTP, HTTPS취약점을 막아줌
•
ALB, API Gateway, CloudFront, 등이 WAF를 배포할 수 있다.
•
NLB(L4)는 지원하지 않는다.
•
방화벽을 배포한 후에는 ACL과 규칙을 정의
◦
IP주소를 기반으로 필터링
◦
HTTP헤더와 본문에 기반한 필터링 (URI문자열을 통해 SQL 주입이나 XSS등의 공격차단)
◦
용량에 제약을 걸거나 지리적 일치조건을 걸어 특정국가 차단
•
웹 ACL은 리전에 적용되고 CloudFront는 글로벌로 정의
AWS Shield (디도스 공격방지)
NOTE
디도스 공격으로부터 스스로를 보호하기 위한 서비스!
DDos 공격을 막는 가장 최적의 방안! (쉴드 비싸니깐 그냥 설계잘하라고..)
•
DDos(Distributed Denial of Service) ⇒ 분산 서비스 거부 공격
•
디도스는 동시에 엄청난 양의 트래픽이 세계 곳곳의 여러 컴퓨터에서 유입되는 공격!
•
AWS Shield Standard
◦
모든 AWS고객에게 무료로 활성화
◦
SYN/UDP Floods나 반사 공격 및 L3/L4 공격으로부터 보호
•
AWS Shield Advanced
◦
월 3,000달러 발생 (존나비싸다)
◦
AWS 디도스 대응 팀이 항시 대기중
AWS Firewall Manager
NOTE
AWS Organization에 있는 모든 계정의 방화벽 규칙을 관리하는 서비스!
•
여러 계정의 규칙을 동시에 관리
•
보안 규칙의 집합인 보안 정책을 설정할 수 있음
◦
VPC 수준의 Firewall
◦
EC2, ALB, ENI 리소스를 위한 보안 그룹을 표준화하는 정책
AWS GuardDuty
NOTE
AWS 계정을 보호하는 지능형 위협 탐지 서비스!
우리 리소스들은 언제나 감시당한다..
•
머신 러닝 알고리즘을 사용하여 탐지를 수행하고 타사 데이터를 이용하여 공격 탐지
•
클릭 한번으로 활성화되고 30일 평가판 제공!
•
CloudWatch 이벤트 규칙을 활성화해서 알람받을 수 있음!
AWS Inspector
NOTE
AWS 인프라의 자동 보안 평가!
보안레벨을 평가해준다
•
EC2 인스턴스 분석
◦
SSM 에이전트를 활용하면 EC2인스턴스의 보안을 평가해준다.
◦
의도되지 않은 네트워크 접근 가능성에 대해 분석
◦
실행 중인 운영체제에서 알려진 취약점 분석
•
ECR로 푸시되는 컨테이너 분석
•
Lambda 함수 분석
•
작업을 완료하면 AWS 보안 허브에 보고하고 결과를 Event Bridge에 전송한다
AWS Macie
NOTE
완전 관리형의 데이터 보안 및 데이터 프라이버시 서비스!
•
머신 러닝과 패턴 일치를 사용하여 AWS의 민감한 정보를 검색하고 보호
•
개인 식별 정보를 보호함