728x90
반응형
핵심 내용
- 공동 책임 모델의 이점 설명
- Multi-Factor Authentication(MFA) 설명
- AWS Identity and Access Management(IAM) 보안 수준 구별
- AWS Organizations의 주요 이점 설명
- 보안 정책을 기본 수준에서 설명
- AWS를 사용한 규정 준수의 이점 요약
- 추가 AWS 보안 서비스를 기본 수준에서 설명
AWS 공동 책임 모델
- AWS는 사용자 환경의 일부분을 책임지고 고객은 다른 부분을 책임
AWS Identity and Access Management(IAM)
- AWS 서비스와 리소스에 대한 액세스를 안전하게 관리
- IAM은 회사의 고유한 운영 및 보안 요구 사항에 따라 액세스 권한을 구성할 수 있는 유연성을 제공
AWS 계정 루트 사용자
- AWS 계정을 만들 때 사용한 이메일 주소 및 암호로 로그인하여 액세스
- 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한 가짐
- 일상 작업에는 루트 사용자를 두지 않는 것이 좋음
IAM 사용자
- 사용자가 AWS에서 생성하는 자격 증명
- AWS 서비스 및 리소스와 상호 작용하는 사람 또는 애플리케이션
- 이름과 자격 증명으로 구성
- 기본적으로 AWS에서 새 IAM 사용자를 생성하면 해당 사용자와 연결된 권한이 없음
- 특정 작업을 수행할 수 있도록 허용하려면 필요한 권한을 부여해야함
- AWS에 액세스해야 하는 각 사용자마다 개별 IAM 사용자를 생성하는 것이 좋음
IAM 정책
- AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서
- 사용자가 리소스에 액세스할 수 있는 수준을 사용자 지정
- 권한을 부여할 때 최소 권한 보안 원칙을 따르는 것이 좋음
IAM 그룹
- IAM 사용자의 모음
- 그룹에 IAM 정책을 할당하면 해당 그룹의 모든 사용자에게 정책에 지정된 권한이 부여
- 그룹 수준에서 IAM 정책을 할당하면 직원이 직무를 전환하는 경우 권한을 손쉽게 조정할 수 있음
IAM 역할
- 임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명
- IAM 역할을 수임한다는 것은 이전 역할에 지정된 모든 권한을 포기하고 새 역할에 지정된 권한을 수임하는 것
- IAM 역할을 수임하려면 먼저 해당 역할로 전환할 수 있는 권한을 부여받아야 함
- 서비스 또는 리소스에 대한 액세스 권한을 장기적이 아니라 일시적으로 부여해야 하는 상황에 이상적
Multi-Factor Authentication
- AWS 계정에 추가 보안 계층을 제공
- 루트 사용자 및 계정 내 모든 IAM 사용자에 대해 MFA를 활성화하는 것이 가장 좋음
- AWS 계정을 무단 액세스로부터 안전하게 보호
AWS Organizations
- 중앙 위치에서 여러 AWS 계정을 통합하고 관리
- 조직을 생성하면 AWS Organizations가 조직의 모든 계정에 대한 상위 컨테이너 루트를 자동으로 생성
- 서비스 제어 정책(SCP)을 사용하여 조직의 계정에 대한 권한을 중앙에서 제어
- SCP를 사용하면 각 계정의 사용자 및 역할이 액세스할 수 있는 AWS 서비스, 리소스 및 개별 API 작업을 제한
- 개별 멤버 계정, 조직단위(OU)에 SCP 적용 가능
조직 단위
- 조직 단위(OU)로 그룹화하여 비슷한 비즈니스 또는 보안 요구 사항이 있는 계정을 손쉽게 관리
- OU에 정책을 적용하면 OU의 모든 계정이 정책에 지정된 권한을 자동으로 상속
- 개별 계정을 OU로 구성하면 특정 보안 요구 사항이 있는 워크로드 또는 애플리케이션을 보다 간편하게 격리
AWS Artifact
- AWS 보안 및 규정 준수 보고서 및 일부 온라인 계약에 대한 온디맨드 액세스를 제공하는 서비스
1. AWS Artifact Agreements
- 회사에서 AWS 서비스 전체에서 특정 유형의 정보를 사용하기 위해 AWS와 계약을 체결해야 할 때 이를 통해 수행 가능
- 개별 계정 및 AWS Organizations 내 모든 계정에 대한 계약을 검토, 수락 및 관리
- HIPAA(미국 건강 보험 양도 및 책임에 관한 법)와 같은 특정 규정의 적용을 받는 고객의 요구 사항을 해결하기 위한 다양한 유형의 계약이 제공
2. AWS Artifact Reports
- 회사의 개발 팀원 한 명이 애플리케이션을 빌드하는 도중 특정 규제 표준을 준수하기 위한 책임에 대한 추가 정보가 필요할 때 이를 통해 수행 가능
- 외부 감사 기관이 작성한 규정 준수 보고서를 제공
- 감사 기관에서 AWS가 다양한 글로벌, 지역별, 산업별 보안 표준 및 규정을 준수했음을 검증
- 릴리스된 최신 보고서가 반영되어 항상 최신 상태로 유지
- 감사 또는 규제 기관에 AWS 보안 제어 항목의 증거로서 AWS 감사 아티팩트를 제공하면 됨
3. 고객 규정 준수 센터
- 고객 규정 준수 센터에서 고객 규정 준수 사례를 읽고 규제 대상 업종의 기업들이 다양한 규정 준수, 거버넌스 및 감사 과제를 어떻게 해결했는지 확인
- 주요 규정 준수 질문에 대한 AWS 답변, AWS 위험 및 규정 준수 개요, 보안 감사 체크리스트 같은 주제에 관한 규정 준수 잭서 및 설명서에 액세스 할 수 있음
- 내부 운영에서 AWS 클라우드를 사용한 규정 준수를 입증할 수 있는 방법을 자세히 알아보려는 감사, 규정 준수 및 법무 담당자를 위해 고안된 감사자 학습 경로가 포함
서비스 거부 공격
- 사용자들이 웹 사이트 또는 애플리케이션을 이용할 수 없게 만들려는 의도적인 시도
- 공격자는 목표로 삼은 웹 사이트 또는 애플리케이션이 과부하가 걸려 더 이상 응답할 수 없을 때까지 웹 사이트 또는 애플리케이션을 과도한 네트워크 트래픽으로 플러드시킬 수 있음
- 웹 사이트 또는 애플리케이션을 사용할 수 없게 되면 합법적인 요청을 시도하는 사용자에게 서비스를 거부
분산 서비스 거부(DDoS) 공격
- 여러 소스를 사용하여 웹 사이트 또는 애플리케이션을 사용할 수 없게 만드는 공격을 시작
- 단일 공격자는 감염된 여러 컴퓨터(‘봇’이라고도 함)를 사용하여 과도한 트래픽을 웹 사이트 또는 애플리케이션으로 전송할 수 있음
AWS Shield
- DDoS 공격으로부터 애플리케이션을 보호하는 서비스
1. AWS Shield Standard
- 모든 AWS 고객을 자동으로 보호하는 무료 서비스
- AWS 리소스를 가장 자주 발생하는 일반적인 DDoS 공격으로부터 보호
- 네트워크 트래픽이 애플리케이션으로 들어오면 AWS Shield Standard는 다양한 분석 기법을 사용하여 실시간으로 악성 트래픽을 탐지하고 자동으로 완화
2. AWS Shield Advanced
- 상세한 공격 진단 및 정교한 DDoS 공격을 탐지하고 완화할 수 있는 기능을 제공하는 유료 서비스
- Amazon CloudFront, Amazon Route 53, Elastic Load Balancing과 같은 다른 서비스와도 통합
- 복잡한 DDoS 공격을 완화하기 위한 사용자 지정 규칙을 작성하여 AWS Shield를 AWS WAF와 통합할 수 있음
AWS Key Management Service(AWS KMS)
- 암호화 키를 사용하여 암호화 작업을 수행할 수 있음
- 암호화 키는 데이터 잠금(암호화) 및 잠금 해제(암호 해독)에 사용되는 임의의 숫자 문자열
- 암호화 키를 생성, 관리 및 사용
- 광범위한 서비스 및 애플리케이션에서 키 사용을 제어
- 키에 필요한 액세스 제어를 특정 수준으로 선택 - 키를 관리할 수 있는 IAM 사용자 및 역할을 지정
- 더 이상 사용되지 않도록 일시적으로 키를 비활성화 - 키는 AWS KMS를 벗어나지 않으며, 사용자가 항상 키를 제어할 수 있음
AWS WAF
- 웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽
- amazon CloudFront 및 Application Load Balancer와 함께 작동
- AWS 리소스를 보호하기 위해 웹 ACL(액세스 제어 목록)을 사용
- 애플리케이션이 여러 IP 주소에서 악의적인 네트워크 요청을 받고 있다고 가정 → 지정한 IP 주소에서 나온 요청을 제외한 모든 요청을 허용하도록 웹 ACL을 구성 → AWS WAF는 요청이 들어오면 웹 ACL에서 구성한 규칙 목록을 확인 → 요청이 차단된 IP 주소 중 하나에서 나온 것이 아니면 애플리케이션에 대한 액세스가 허용
Amazon Inspector
- 자동화된 보안 평가를 실행하여 애플리케이션의 보안 및 규정 준수를 개선할 수 있는 서비스
- Amazon EC2 인스턴스에 대한 오픈 액세스, 취약한 소프트웨어 버전 설치와 같은 보안 모범 사례 위반 및 보안 취약성을 애플리케이션에서 검사
- 평가를 수행한 후에 보안 탐지 결과 목록을 제공
- 심각도 수준에 따라 우선 순위가 결정되고 각 보안 문제에 대한 자세한 설명 및 권장 해결 방법이 포함
- 제공된 권장 사항으로 모든 잠재적 보안 문제가 해결됨을 보장하지 않음
Amazon GuardDuty
- AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스
- AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별
- AWS 계정에서 GuardDuty를 활성화하면 GuardDuty가 네트워크 및 계정 활동을 모니터링하기 시작 → GuardDuty는 VPC Flow Logs 및 DNS 로그를 비롯한 여러 AWS 소스의 데이터를 지속적으로 분석
- GuardDuty가 위협을 탐지한 경우 AWS Management Console에서 위협에 대한 자세한 탐지 결과(탐지 결과에는 문제 해결을 위한 권장 단계가 포함)를 검토
- GuardDuty 보안 탐지 결과에 대한 응답으로 자동으로 문제 해결 단계를 수행하도록 AWS Lambda 함수를 구성할 수 있음
출처
728x90
반응형
