AWS Certified Cloud Practitioner - 보안, 자격증명 및 규정 준수

AWS 공동책임 모델

• 고객 책임
  • 고객이 구성을 하고 사용하는 부분
  • 고객 데이터, 애플리케이션, 접근권한, ID 관리, 암호화
  • 패치관리(게스트 OS, 애플리케이션 패치)
  • 구성관리(자체 게스트 운영체제, 데이터베이스 및 애플리케이션 구성)
  • 인지 및 교육(자사 직원 교육)
• AWS 책임
  • 고객이 변경, 구성이 불가능한 AWS에서 관리하는 부분
  • AWS 클라우드 인프라(하드웨어 시설), AWS 관리 소프트웨어
  • 패치관리(인프라 관련 결함 수정과 패치)
  • 구성관리(인프라 디바이스 구성을 유지관리)
  • 인지 및 교육(AWS 직원교육)

Shield

• AWS 웹 애플리케이션을 DDoS 공격으로부터 보호해준다.
• 유형
  • Shield Standard
    • 모든 AWS 사용자에게 적용(무료)
    • SYN/UDP Flood 등 기본적인 DDoS 보호
  • Shield Advanced
    • 스탠다드 서비스보다 많은 보호 제공(유료)
    • EC2, ELB, CloudFront, Route53 등에서 정교한 DDoS 보호 제공

WAF(Web Application Firewall)

• 웹 애플리케이션을 보호하는 방화벽이다.
• HTTP(OSI 7계층)에서 동작
• Application Load Balancer, API Gateway, CloudFront에 적용 가능
• WAF의 기능
  • 악성 IP 주소 차단
  • 특정 국가의 액세스 제어
  • SQL Injection, Cross-Site-Scripting(XSS) 방어
  • 속도기반규칙으로 DDoS 공격 방어
  • 손상된 자격증명을 이용하는 악의적인 사용자의 비정상적인 로그인 시도에 대한 방지
  • AWS WAF Bot Control : 스크래퍼, 스캐너 및 크롤러와 같은 봇을 쉽게 차단하거나 비율을 제한
  • AWS WAF Fraud Control(계정 탈취 방지)

AWS Firewall Manager

• 방화벽 규칙을 중앙에서 구성 및 관리할 수 있는 서비스
• 중앙의 관리자 계정에서 방화벽 규칙을 수립하고, 보안 정책을 생성하며, 전체 인프라에 걸쳐 중앙에서 적용 가능
• 방화벽 규칙 종류
  • WAF 규칙
  • Shield Advanced 보호
  • VPC 보안 그룹
  • AWS Network Firewall 규칙
  • Amazon Route 53 Resolver DNS Firewall 규칙
  • AWS Marketplace 서드 파티 방화벽 규칙

Key management Service(KMS)

• AWS에서 관리하는 소프트웨어 방식의 암호화로 암호화 키를 생성 및 관리하는 서비스이다.
• 키는 암호화를 하고 암호를 해독하는 역할이다.
• AWS에서 암호화에 관련된 서비스는 대부분 KMS와 관련되어 있다.
• 키를 자동교체하는 기능을 지원한다.
• 감사를 위해 AWS CloudTrail과도 통합되어 모든 키 사용에 관한 로그를 제공한다.
• 3가지 키 유형 제공
  • 고객 관리형 키
  • AWS 관리형 키
  • AWS의 키

Cloud HSM

• CloudHSM은 AWS에서 제공하는 하드웨어 암호화 장비를 통한 하드웨어 방식의 암호화이다.
• KMS와 다르게 암호화 키관리는 사용자가 해야한다.
• 고객 제공 키에 적합한 방식이다.

AWS Certification Manager(ACM)

• AWS 리소스에 사용할 공인 및 사설 SSL/TLS 인증서를 관리 및 배포하는 서비스이다.
• SSL/TLS 인증서는 SSL/TLS 프로토콜을 사용하여 웹 브라우저가 웹 사이트에 대해 암호화된 네읕워크 연결을 확인하고 설정할 수 있게 해준다.
• 인증서 를 구매, 업로드 및 갱신하는 수동 프로세스를 간편히 처리 가능이다.
• 인증서가 만료되기 전에 ACM에서 자동으로 갱신 가능하다.

AWS Secrets Manager

• 보안 정보를 중앙 집중식으로 저장, 검색, 액세스 제어, 교체, 감사 및 모니터링하는 서비스이다.
• 보안정보는 데이터베이스 자격증명, 오프레미스 리소스 자격증명, SaaS 애플리케이션 자격 증명, 타사 API 키 및 SSH 키 등이 될 수 있다.
• 보안정보를 유지하는 방법
  • KMS에 저장한 암호화 키를 사용해 저장 보안 정보를 암호화
  • IAM 정책을 사용하여 보안 정보에 대한 액세스를 제어
  • Secrets manager가 해당 보안 정보를 복호화하여 TLS를 통해 안전하게 로컬 환경으로 전송
• 보안 정보를 자동으로 교체 및 관리가 가능하다.

기타

1. AWS Artifact : AWS의 규정 준수 문서와 계약에 대한 문서를 제공하는 사이트
2. Amazon Guard Duty : AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하는 위협탐지 서비스이다.
3. Amazon Macie : 머신러닝 및 패턴 일치를 활용하여 AWS에서 민감한 데이터를 검색하고 보호
4. Amazon Inspector : EC2 및 컨테이너 워크로드에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 지속적으로 스캔하는 자동화된 취약성 관리 서비스
5. Security Hub
   • AWS에서 보안 상태에 대한 통합 보기를 제공해준다.
   • AWS 환경에서 보안검사를 자동화 하고, 보안 분석 결과를 관리하며, 우선순위가 가장 높은 보안 문제를 식별한다.
6. Amazon Detective : 잠재적 보안 문제나 의심스러운 활동의 근본 원인을 쉽고 빠르게 분석, 조사 및 식별하는 서비스이다.
7. AWS Abuse : 악의적이거나 불법적인 용도로 AWS 리소스가 사용되고 있다고 의심될 경우 AWS에 알릴 수 있는 기능이다.
8. AWS Cognito : 웹 및 모바일 앱을 위한 자격 증명 서비스
9. AWS IAM Identity Center
   • SSO 서비스
   • SSO는 중앙에서 관리하는 하나의 계정으로 여러 애플리케이션에 로그인하는 기능
   • 모든 사용자 및 애플리케이션에 대한 액세스를 중앙에서 관리
10. AWS Directory Services
    • Microsoft Active Directory : 사용자, 컴퓨터, 서버 등의 정보와 인증을 중앙에서 관리하기 위한 서비스 집합이다.
    • 사용자, 그룹 및 디바이스에 대한 정보를 저장하고, 관리자는 이를 사용하여 정보 및 리소스에 대한 액세스를 관리한다.

출처