참고
보안
AWS 공동 책임 모델 (shared responsibility model)
NOTE
주거시설로 비유
AWS → 건물을 튼튼하게 지어 외부 침입을 막음
고객 → 현관 자물쇠를 잘 간수해서 외부 사람이 들어오지 못하게함
•
고객은 클라우드 내부의 보안을 책임진다
•
AWS는 클라우드 자체의 보안에 책임진다. (AWS는 고객의 OS에 접근하지 못한다.)
◦
데이터 센터의 물리적 보안
◦
네트워크/가상화 인프라
공유된 책임
•
패치 관리
◦
AWS는 인프라와 관련된 결함 수정과 패치에 대한 책임
◦
고객은 게스트 OS와 애플리케이션 패치에 대한 책임
•
구성 관리
◦
AWS는 디바이스의 구성을 유지 및 관리
◦
고객은 자체 게스트 운영체제, 데이터베이스, 애플리케이션의 구성
•
인지 및 교육
◦
AWS는 AWS 직원을 교육
◦
고객은 지사의 직원을 교육한다.
AWS Identity and Access Management(IAM)
NOTE
AWS 서비스에 접근하기 위한 권한을 제어하기 위한 서비스이다!
•
IAM을 사용하여 특정 서비스 ,리소스에만 접근을 허용 or 차단하도록 구성할 수 있다.
•
IAM 기능
◦
IAM 사용자, 그룹 및 역할
◦
IAM 정책
◦
Multi-Factor Authentication
AWS 계정 루트 사용자
•
AWS 계정을 처음 만들면 루트 사용자라고 하는 자격증명으로 시작!
IAM 사용자
•
AWS에서 생성하는 자격증명
•
이 사용자는 AWS 서비스 및 리소스와 상호작용하는 사람 또는 애플리케이션을 말한다.
IAM 그룹
•
그룹 수준에서 IAM 정책을 할당하면, 직원의 직무를 전환하는 경우 권한을 손쉽게 조정할 수 있다.
IAM 역할
•
임시로 권한에 엑세스하기 위해 수임할 수 있는 자격증명
IAM 정책
예시 이미지
AWSDOC-EXAMPLE-BUCKET인 S3 버킷 객체에 접근하는 권한을 허용한다.
권장사항
•
AWS 계정 루트 사용자 액세스 키 잠금
•
개별 IAM 사용자 만들기
•
그룹을 사용하여 IAM 사용자에게 권한을 할당합니다.
•
최소 권한 부여
•
AWS 관리형 정책으로 권한 사용 시작
•
인라인 정책 대신 고객 관리형 정책 사용
•
액세스 레벨을 이용한 IAM 권한 검토
•
MFA 활성화
AWS Organizations
NOTE
여러 AWS 계정을 통합하고 관리하는 서비스!
•
조직을 생성하면 AWS Organizations가 조직의 모든 계정에 대한 상위 컨테이너 루트를 자동으로 생성한다.
•
서비스 제어 정책(SCP)
◦
조직의 계정에 대한 권한을 중앙에서 제어할 수 있다.
조직 단위(OU)
•
Organization 내부의 계정을 그룹화한다.
AWS Artifact - 규정준수
NOTE
AWS 보안 및 규정 준수 보고서 및 일부 온라인 계약에 대한 온디맨드 액세스를 제공한다.
AWS Artifact Agreement
•
AWS Artifact Agreements에서 개별 계정 및 AWS Organizations 내 모든 계정에 대한 계약을 검토 수락 및 관리할 수 있다.
AWS Artifact Reports
•
외부 감시 시관이 작성한 규정 준수 보고서를 제공한다.
서비스 거부 공격
NOTE
사용자들이 웹 사이트 또는 애플리케이션을 이용할 수 없게 만들려는 의도적인 시도이다.
목표로 삼은 웹사이트에 과부하를 걸어 트래픽을 처리하지 못하게 한다!
분산 서비스 거부(DDOS) 공격
여러 소스를 활용하여 웹 사이트를 사용할 수 없게한다.
AWS Shield
•
DDos 공격으로부터 애플리케이션을 보호하는 서비스이다.
•
AWS Shield는 2가지 보호 수준인 Standart와 Advanced를 제공한다
◦
Standard
▪
모든 AWS고객을 자동으로 보호하는 무료 서비스
▪
네트워크 트래픽이 들어오면, 다양한 분석 기법을 사용해 실시간으로 악성 트래픽을 탐지하고 완화한다.
◦
Advanced
▪
상세한 공격 진단 및, 정교한 DDos공격을 탐지한다.
▪
CloundFront, Route 53, Load Balancing과 같은 다른 서비스와도 통합된다.
추가 보안 서비스
NOTE
•
AWS Key Management Service(AWS KMS)
◦
암호화 키를 사용하여 암호화 작업을 수행한다.
•
AWS WAF
◦
웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 웹 어플리케이션 방화벽이다.
◦
AWS CloundFront, Application Load Balnacer와 함께 동작한다.
•
Amazon Inspector
◦
자동화된 보안 평가를 실행하여 애플리케이션을 보안 및 규정 준수에 맞게 개선할 수 있는 서비스
◦
애플리케이션 노출, 취약성, 및 모범 사례의 편차를 자동으로 평가해 심각도 순위에 따라 결과목록 작성
•
Amazon GuardDuty
◦
AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스