공동 책임 모델
AWS는 클라우드 자체의 보안을 책임
고객은 클라우드 내부의 보안을 책임
단일 객체는 서로 다른 두 존재가 최종적으로 책임질 수 없지만 고객의 환경은 다른 부분들이 서로를 기반으로 구축된 일종의 모음
EC2 인스턴스는 물리적 공간 안에 있으며 데이터 센터의 보안 유지되어야 하며 고객의 인스턴스를 지원하는 네트워크와 하이퍼바이저가 있음.
고객 레이어에는 운영체제/애플리케이션/데이터
고객
- 고객 데이터
- 플랫폼, 애플리케이션, 자격 증명 및 액세스 관리
- 운영 체제, 네트워크, 방화벽 구성
- 클라이언트 측 데이터 암호화/서버 측 암호화/네트워킹 트래픽 보호
AWS
- 컴퓨팅/스토리지/데이터베이스/네트워킹
- 하드웨어/글로벌 인프라: 리전, 가용영역, 엣지 로케이션
사용자 권한 및 액세스
AWS 계정을 생성하면 AWS 계정 루트 사용자 자격 부여(계정의 소유자): 계정의 모든 리소스에 액세스/제어(데이터베이스, EC2, 블록체인 서비스 등)
따라서 MFA(Multi Factor authentication) 활성화해 이메일과 비밀번호 뿐 아니라 일회용 토큰까지 있어야 로그인할수 있도록 하는 것이 좋음
IAM(Identity and Access Management) 을 사용하면 액세스를 세부적으로 제어 가능
IAM 사용자를 만들면 기본적으로는 아무 권한도 없지만, 필요한 것에만 사용자 권한을 명시적으로 부여해야 함(최소 권한의 원칙)
IAM 정책(사용자가 할 수 있거나 할 수 없는 API호출을 설명하는 JSON 문서)을 IAM 사용자에 연결
Effect: Allow/deny
Action: AWS API호출 나열
Resource: 특정 API호출에 대한 AWS 리소스 나열
IAM 그룹으로 분류(사용자 모음)해 그룹에 IAM 정책을 할당 가능
역할: 관련 권한 허용 또는 거부, 일시적으로 역할 할당, 사용자 이름 또는 암호가 없으며 맡으면 임시 권한을 이용할 수 있는 자격 증명. 맡으면 이전 권한 폐기하고 해당 역할의 권한 수임
AWS Organizations
개발자는 개발 리소스 액세스/회계 직원은 결제 정보 액세스
여러 AWS계정을 관리하는 중앙 위치: 통합 결제/계정의 계층적 그룹화/AWS 서비스 및 API작업 액세스 제어
SCP(Service control policy-서비스 제어 정책)
IAM 정책은 IAM 사용자/그룹/역할에 적용
SCP 서비스제어정책은 조직루트/개별멤버계정/조직단위(OU)에 적용
규정 준수
일반 데이터 보호 규정(GDPR): EU 데이터
HIPAA: 미국 건강데이터
선택한 운영 리전이 규정 준수 요구사항 충족에 도움이 될 수 있음
적절한 리전 선택시 AWS에서 자동으로 리전의 데이터 복제
AWS Artifact
다양한 규정 준수 표준을 충족함이 입증된, 제3자가 작성한 규정 준수 보고서를 확인할 수 있음
AWS Artifact Agreements: 개별 계정 및 AWS Organizations 내 모든 계정에 대한 계약을 검토/수락/관리
AWS Artifact Reports: 다양한 글로벌, 지역별, 산업별 보안 표준 및 규정을 준수했음을 검증한 규정 준수 보고서
서비스 거부 공격
DDoS: 분산 서비스 거부 공격
작동하지 못할 때까지 시스템에 과부하를 걸어 애플리케이션의 기능 정지
인터넷에 연결된 다른 장치를 활용해 그 장치가 자신도 모르는 사이에 사용자의 인프라 공격
UDP Flood: 공격자가 서버에 요청할 때 가짜 회신 주소를 적는다(좀비PC) -> 솔루션: 보안 그룹으로 적절한 요청 트래픽만 허용. 날씨 보소서 같은 요소에는 고객이 사용하는 것과 완전히 다른 프로토콜을 사용. 목록에 없다면 서버와 통신하지 않음
HTTP 수준 공격: 정상적인 고객과 같은 공격자가 평범한 정보(제품 검색)를 계속 요구. 일반 고객이 들어갈 수 없음 -> ELB(Elastic load balancer) 통해 http 트래픽 요청을 먼저 처리하며 속도에 상관없이 모든 메시지가 완료될 때까지 기다린 다음 웹 서버로 전송
SLOWLORIS 공격: 연결이 대단히 느린 것처럼 가정. 전체 패킷을 얻기 전까지 다음 스레드(고객)으로 이동할 수 없음
AWS WAF 사용 AWS SHIELD: 웹 어플리케이션 방화벽을 사용해 수신 트래픽을 필터링해 해커의 서명을 찾음. 계속 증가하는 벡터 공격으로부터 사전 예방적으로 방어
암호화: 권한 있는 당사자만 액세스할 수 있는 방식으로 메시지/데이터 보안
저장 중 암호화: 데이터가 유휴 상태(저장된 상태에서 이동하지 않는 것)
전송 중 암호화
Amazon KMS(key management service): 테이블을 암호화하는데 사용되는 암호화 키 관리
Amazon Inspector: 인프라에 대해 자동화된 보안 평가 실행
Amazon GuardDuty: 위협 탐지. 계정에서 생성된 메타데이터의 연속 스트림 등에서 발견된 네트워크 활동 분석
