AWS Cognito, AWS Single Sing-On
AWS Cognito
• 애플리케이션에 대한 로그인 및 인증을 제공하는 기능
• 웹과 모바일 앱에 빠르고 사용자 가입, 로그인 및 액세스 제어 기능
• 애플, 구글, 페이스북 등의 계정과 통합 가능
AWS Single Sing-On(SSO)
• SSO는 중앙에서 관리하는 하나의 계정으로 여러 애플리케이션에 로그인하는 기능
• AWS Organization, Active Directory, SAML 2.0 과 통합 가능
• SAML은 인증을 지원하기 위한 표준 데이터 포맷
Key Management Service(KMS)
암호화 (Encryption)
• 데이터를 도난이나 해킹으로부터 보호하기 위한 방법
• 3가지 암호화 방법
✓ 전송중 암호화: 네트워크로 전송하는 트래픽을 암호화
✓ 서버측 암호화: 서버에 저장된 데이터를 암호화
✓ 클라이언트측 암호화: 데이터를 보내기전에 암호화
Key Management System (KMS) 소프트웨어 방식의 암호화
• 암호화 키를 생성 및 관리하는 서비스
• 키(Key)는 암호화를 하고 암호를 해독하는 역할
• AWS에서 암호화에 관련된 서비스는 대부분 KMS와 관련되어 있음
• EBS, S3, RDS등의 AWS 서비스 데이터 암호화에 KMS 사용
• 키를 자동교체 하는 기능 지원
• 감사를 위해 AWS CloudTrail과도 통합되어 모든 키 사용에 관한 로그를 제공
• 3가지 유형의 키 제공
고객 관리형 키(Customer managed keys)
✓ 사용자가 생성, 소유 및 관리하는 AWS 계정의 KMS 키
✓ 키 정책, IAM 정책 및 권한 부여, 암호화 구성요소 등의 제어 권한을 사용자가 가짐
AWS 관리형 키(AWS managed keys)
✓ AWS 서비스가 고객의 계정에서 고객 대신 생성, 관리 및 사용하는 KMS 키
✓ 키 정책, 키 삭제 등의 제어 권한이 없거나 제한이 있음
AWS의 키(AWS owned keys)
✓ AWS 서비스가 여러 AWS 계정에서 사용하기 위해 소유하고 관리하는 KMS 키 모음
CloudHSM
하드웨어 방식의 암호화
• KMS는 AWS에서 관리하는 소프트웨어 방식의 암호화
• CloudHSM은 AWS에서 제공하는 하드웨어 암호화 장비를 통한 하드웨어 방식의 암호화
• KMS와 다르게 암호화 키관리는 사용자(클라이언트)가 해야함
• 고객 제공 키(SSE-C, Customer Provided Keys)에 적합한 방식
KMS 다중 리전 키 (Multi-Region Keys)
• 여러 리전에서 동일한 키를 가지고 있는 것
• 다중 리전 키의 각 세트에는 동일한키 구성 요소와 키 ID가 있으므로 AWS KMS를 다시 암호화하거나 크로스 리전 호출을 수행하지 않고 하나의 AWS 리전에서 데이터를 암호화하고 다른 AWS 리전에서 복호화 가능
• 예를 들어 아시아 태평양(시드니)의 복제본 키를 사용하여 데이터를 암호화하고, 데이터를 미국 서부(오레곤)로 이동한 다음, 미국 서부(오레곤)의 복제 키를 사용하여 암호를 복호화
• 동일한 키를 사용하면 다른 리전의 데이터를 서로 다른 키로 다시 암호화 할 필요가 없음
• Amazon DynamoDB 글로벌 테이블 및 DynamoDB 암호화, 멀티 리전의 복제된 S3 버킷의 암호화 등에 사용 가능
권한정의 가능 - 사용자나 역할을 정할 수 있음
키를 사용할수 있는 사람을 별도로 지정할수도 있음
키를가지고 암호화로 사용하면 됨
고객관리형키는 키의 관리자, 삭제, 액세스 컨트롤이 가능함
Secrets Manager
• 보안 정보(자격증명)를 중앙 집중식으로 저장, 검색, 액세스 제어, 교체, 감사 및 모니터링하는 서비스
• 보안정보는 데이터베이스 자격 증명, 온프레미스 리소스 자격 증명, SaaS 애플리케이션 자격 증명, 타사
API 키 및 Secure Shell(SSH) 키 등이 될 수 있음
• 보안정보(자격증명,Secret)을 유지하는 방법
✓ 사용자가 소유하고 AWS Key Management Service(KMS)에 저장한 암호화 키를 사용해 저장 보안 정보를 암호화
✓ 사용자는 AWS Identity and Access Management(IAM) 정책을 사용하여 보안 정보에 대한 액세스를 제어
✓ 사용자가 보안 정보를 검색하면 Secrets Manager가 해당 보안 정보를 복호화하여 TLS를 통해 안전하게 로컬 환경으로 전송
• 보안정보(자격증명)을 자동으로 교체 및 관리 가능
✓ Amazon RDS, Amazon Redshift 및 Amazon DocumentDB와 기본적으로 통합되며 사용자 대신 이러한 데이터베이스 자격 증명을 자동으로 교체
✓ Lambda의 코드와 통합하여 30일, 60일 등의 자격증명 자동교체 날짜를 지정하여 실행가능
AWS Certificate Manager(ACM)
• SSL/TLS 인증서를 중앙에서 관리하는 서비스
• AWS 리소스에 사용할 공인 및 사설 SSL/TLS(Secure Sockets Layer/전송 계층 보안) 인증서를 관리 및 배포
할 수 있음
• SSL/TLS 인증서는 ACM에서 자동으로 갱신 됨
Shield & WAF
Shield : AWS웹 애플리케이션을 DDoS(Distributed Denial of Service) 공격으로부터 보호
DDoS(Distributed Denial of Service) 공격
수십 대에서 많게는 수백만 대의 PC를 원격 조종해 특정 웹사이트에 동시에 접속시킴으로써 단
시간 내에 과부하를 일으키는 행위
Shield는 2가지 유형을 제공
Shield Standard
✓ 모든 AWS사용자에게 적용되어 있음(무료)
✓ SYN/UDP Flood등 기본적인 DDoS공격 보호
Shield Advanced
✓ 스탠다드 서비스보다 많은 보호 제공 (유료)
✓ EC2, ELB, CloudFront, Route53등에서 정교한 DDoS 보호제공
WAF – Web Application Firewall
• 웹 애플리케이션을 보호하는 방화벽
• HTTP (OSI 7계층)에서 동작
• Application Load Balancer, API Gateway, CloudFront에 적용 가능
• WAF의 Web ACL(Access Control List)를 통해 정의할 수 있는 기능
✓ 악성 IP 주소차단
✓ 특정 국가의 엑세스 제어(차단)
✓ SQL Injection, Cross-Site-Scripting(XSS) 방어
✓ 속도기반규칙(Rate-based rules)으로 DDoS공격방어
AWS Firewall Manager
AWS Organizations의 여러 계정과 애플리케이션의 방화벽 규칙을 중앙에서 구성 및 관리할 수 있는 보안
관리 서비스
• 중앙의 관리자 계정에서 방화벽 규칙을 수립하고, 보안 정책을 생성하며, 전체 인프라에 걸쳐 중앙에서 적
용 가능
• 중앙에서 여러 AWS 계정 및 리소스에 걸쳐 있는 Amazon VPC에 대해 AWS WAF 규칙, AWS Shield
Advanced 보호, 보안 그룹 및 AWS Network Firewall 규칙 및 AWS Marketplace 서드 파티 방화벽 규칙 및 Amazon Route 53 Resolver DNS Firewall 규칙을 중앙에서 구성 가능
###실습 필요
GuardDuty, Macie, Inspector
Amazon GuardDuty**
• AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하는 위협 탐지 서비스
• 공격자 정찰, 인스턴스 침해, 계정 침해 및 버킷 침해와 같은 위협을 파악하도록 지원하여 AWS 계정, 워크로드 및 데이터에 대한 광범위한 보호를 제공
• 보안 탐지 결과를 GuardDuty 콘솔과 Amazon CloudWatch Events로 전달하여 알림을 토대로 조치를 취할 수 있고 기존 이벤트 관리 또는 워크로드 시스템에 통합 가능
실제 방어는 할 수는 없음
Amazon Macie
• 데이터 보안 및 데이터 프라이버시 서비스로서, 기계 학습 및 패턴 일치를 활용하여 AWS에서 민감한 데이터를 검색하고 보호
• 이름, 주소 및 신용 카드 번호와 같은 개인 식별 정보(PII)를 포함하여 대규모의 점점 증가하는 민감한 데이터 유형 목록을 자동으로 감지
• S3 버킷에 기계 학습 및 패턴 매칭 기법을 적용하여 개인 식별 정보(PII)와 같은 민감한 데이터를 식별하고 사용자에게 알릴 수 있음
**
Amazon Inspector**
• Amazon Elastic Compute Cloud(EC2) 및 컨테이너 워크로드에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 지속적으로 스캔하는 자동화된 취약성 관리 서비스
