AWS 보안

거버넌스 지원 기능

• 추가 감독
• 보안 통제
• 중앙 감독화

네트워크 보안

• 기본 제공 방화벽
• 전송 중 암호화
• 비공개/전용 연결
• DDos(Distributed Denial of Service) 완화 기술

데이터 암호화

• 암호화 기능
• 키 관리 옵션
  • AWS Key Management Service(KMS)
• 하드웨어 기반 암호화 키 스토리지 옵션
  • AWS CloudHSM

엑세스 제어 및 관리

• Identify and Access Management(IAM)
• Multi-Factor Authentication(MFA)
• 기업 디렉토리와의 통합 및 연동
• Amazon Cognito
• AWS SSO

위험 요소를 줄이기 위한 도구 및 기능

• API 호출에 대한 심층적인 가시성
• 로그 집계 및 옵션
• 알림 제공

공동 책임 모델

어떤 부분은 aws에 책임이 있고, 또 어떤 부분은 고객에게 책임이 있다.

aws는 애플리케이션 스택을 전체적으로 살펴본 후 여러 부분으로 나눈다.

Physical + Network + Hypervisor + GuestOS + Application + User Data

Physical + Network + Hypervisor는 aws의 책임이며

GuestOS + Application + User Data는 고객의 책임 영역이다.

Identity and Access Management(IAM)

• 사용자: 영구 명명된 운영자

  → 자격 증명은 영구적이며 강제로 교체될 때까지 명명된 사용자와 함께한다.

  → 이는 시스템에서 명명된 사용자를 위한 인증 방법이 된다.
  

• 그룹: 사용자의 모음(authentication)

• Role: 역할은 권한이 아니다.

  → 역할은 인증 방법을 의미한다.

  → 역할이 있는 자격증명은 임시적이다.
  

• 정책 문서: JSON 문서(authorization)

  → 영구적으로 명명된 사용자나 사용자 그룹에 직접 연결하거나, 역할에 직접 연결할 수도 있다.
  

정책 문서가 연결된 후에 API 호출이 프로세스를 통과하는 방식을 살펴 보자.

→ 참고로, CloudTrail은 모든 API 동작을 기록한다.

Amazon Inspector

aws에서 배포된 애플리케이션의 보안과 규정 준수 개선에 유용한 자동화된 보안 평가 서비스이다.

이는 애플리케이션의 취약점을 파악하고, 모범 사례와의 차이를 평가한다.

• aws 리소스를 쉽고 빠르게 평가할 수 있다.
  • 보다 복잡한 보안 문제에 집중할 수 있도록 보안 평가를 오프로드 함

AWS Shield

aws에서 실행되는 애플리케이션을 보호하는 관리형 DDoS 보호 서비스

Dos(Denial of Serivce)

• 사용자가 웹 사이트 또는 애플리케이션을 사용할 수 없도록 하려는 의도적인 시도
• 합법적인 사용자 액세스를 방해함

DDoS(Distributed Denial of Service)

• 대상을 공격하는 데 여러 소스가 사용되며, 인프라 및 애플리케이션 계층이 영향 받을 수 있다.

  → 소스에는 멀웨어 감염 컴퓨터, 라우터, IoT 디바이스, 기타 엔드포인트의 분산된 그룹이 포함될 수 있다.
  

• DDos는 일반적으로 훼손된 컴퓨터 또는 인터넷 장치의 봇넷에서 시작된다.

• 공격의 목표는 일정 기간 동안 대상 웹사이트 또는 애플리케이션을 오프라인 상태로 두어 합법적인 사용자의 가용성을 저하시키는 것이다.

• 때로는 공격자가 사이트가 다른 사이트와 통신하는 방식으로 웹사이트를 다운시키려고 한다.

  → 이를 “애플리케이션 계층”이라고 한다.

  → 애플리케이션 계층에는 보통 방대한 트래픽은 없다. 따라서 고도로 표적화된 애플리케이션 계층 공격은 초당 100개 미만의 공격으로 웹페이지를 공략할 수 있다.

  ⇒ 고객은 웹 애플리케이션 방화벽(WAF)을 사용하여 이러한 요청이 웹 서버 인프라에 도달하기 전에 차단한다.
  

위에서 언급한 공격들로부터 보호하기 위해 aws에서 제공하는 것이 ‘AWS Shield’이다.

→ aws shield standard와 aws shield advanced로 구성된다.

aws shield standard

• 자동 보호: 모든 리소스 및 리전
• 상시 가동
• 인라인 공격 완화
• 셀프 서비스

aws shield advanced

• 전문적 지원
• 고급 공격 완화
• 가시성이 높으며 공격 알림을 준다.
• 상시 모니터링
• 향상된 탐지 기능
• DDoS 비용 보호

모니터링 및 분석

CloudWatch

aws infra & aws에서 실행하는 애플리케이션을 실시간으로 모니터링할 수 있음
이는 지표(리소스에 연결된 변수)를 추적하고 모니터링하는 방식으로 작동함

예를 들어, EC2 인스턴스의 CPU 사용률을 모니터링할 수 있는데 만약 인스턴스를 중지하는 것을 잊는 경우에는 인스턴스가 계속 실행되어 요금이 발생한다. 이를 막기 위해 CPU 사용률이 지정된 특정 임계값 미만이 유지되면 EC2 인스턴스를 자동으로 중지하는 CloudWatch 경보를 생성할 수도 있다.

• 사용자 지정 지표를 만들어 경보를 보내도록 할 수 있는데, 이를 CloudWatch 경보 라고 함
• CloudWatch는 SNS와 연동되어 알람을 보낼 수 있음

모든 지표를 하나의 창에서 집계하기 위해서는 대시보드 기능을 이용할 수 있다.

장점

• 중앙 위치에서 모든 지표에 엑세스 할 수 있음
• 애플리케이션 및 서비스에서 지표 및 로그를 수집할 수 있어 시스템 전반에 대한 가시성을 확보할 수 있다.
• MTTR(Mean Time To Resolution) 절감 및 TCO(Total Cost of Ownership, 총 소유 비용) 개선
• 애플리케이션 및 운영 리소스 최적화를 위한 인사이트를 확보할 수 있음

CloudTrail

포괄적인 API 감사 도구로 누군가 남긴 이동 경로의 ‘추적’이라 볼 수 있다.

• 어떤 요청이든 관계 없이 AWS에 대한 모든 요청은 CloudTrail 엔진에 기록됨
• 요청을 수행한 작업자가 누구인지, 언제 API 호출을 전송했는지 혹은 어디서 전송했는지, 응답이 무엇인지 등이 기록됨 → 이러한 로그들은 S3 버킷에 무제한으로 저장할 수 있다.
  
• 또한, 저장소 잠금 같은 변조 방지 기능을 사용하여 중요 보안 감사 로그의 절대적 출처를 제시할 수 있다.
• 이벤트는 일반적으로 API 호출 후 15분 이내에 CloudTrail에 업데이트 되며 API 호출이 발생한 날짜와 시간, 작업을 요청한 사용자 등을 지정해 이벤트를 필터링 할 수 있다.

AWS Trusted Advisor

AWS의 자동화된 조언 도구로, 고객 계정에서 AWS 모범 사례를 기반으로 각 핵심 원칙에 대한 일련의 검사를 실시간으로 실행하며 고객이 분석할 수 있도록 결과를 범주화 한다.

예를 들어 사용율이 낮은 EC2가 있거나 MFA가 설정되어 있지 않은 경우 Trusted advisor가 알려준다.

• 비용 최적화, 성능, 보안, 내결함성(Fault Tolerance), 서비스 한도라는 5개 범주에서 결과를 AWS 모범 사례와 비교해 위험 단계를 알려 준다.

요금 및 지원

AWS 프리 티어

지정된 기간 동안 비용을 신경 쓰지 않고 서비스를 이용할 수 있다.

세 가지 유형이 있다.

• 상시 무료이며 만료되지 않는다.
  • lambda: 매월 무료 요청 백만 건 & 최대 320만 초의 컴퓨팅 시간을 이용할 수 있음
  • DynamoDB: 매월 25GB의 무료 스토리지 사용
• 계정 생성 후 12개월 동안 무료
  • S3 스토리지
  • 월 별 EC2 컴퓨팅 시간 한도
  • CloudFront 데이터 전송량
• 평가판
  • Inspector: 90일의 무료 평가판 제공

요금 적용 방식

1. 실제 사용한 만큼만 지불한다.

2. 예약하는 경우 비용 감소

   → 회사에서 지속적으로 실행해야 하는 워크로드에 EC2를 사용중인 경우 EC2 instance Savings Plans에서 이 워크로드를 실행하도록 할 수 있다. 그러면 동일한 온디맨드 인스턴스 용량이 비해 최대 72%까지 절약할 수 있다.

3. 많이 사용할수록 볼륨 기반 할인으로 인해 비용이 감소한다.

   → 일부 서비스는 계층화된 요금을 제공하여 사용량이 증가함에 따라 점차 단위 비용이 낮아지게 된다.

S3 비용 예시

• 스토리지: 사용한 스토리지에 대해서만 요금을 지불한다.

  → 객체의 크기 & 스토리지 클래스 & 해당 월에 각 객체를 저장한 기간에 따라 요금이 청구됨
  

• 요청 및 데이터 검색: S3 객체 및 버킷에 수행한 요청에 대해 비용을 지불한다.

  → 사진 파일을 S3 버킷에 저장하고 웹 사이트에서 호스팅 할 때 방문자가 이 사진 파일이 게시된 웹 사이트를 요청할 때마다 비용을 지불해야 하는 요청이 계산된다.
  

• 데이터 전송: S3에서 송수신한 데이터에 대해서는 비용을 지불해야 한다.

  → 단, S3 버킷 간에 데이터를 전송하거나 동일한 리전의 다른 서비스로 데이터를 전송하는 데 드는 비용은 없다.

  → CloudFront로 전송되는 데이터 & S3 버킷과 동일한 리전에 있는 EC2 인스턴스로 전송되는 데이터도 비용이 들지 않는다.
  

AWS Organizations

통합 결제 옵션을 제공함

• 조직의 모든 AWS 계정에 대한 단일 청구서를 받을 수 있다.

• 결제 통합을 통해 조직에 있는 모든 연결 계정의 결합된 비용을 추적하기 용이하다.

• 기본적으로 조직에 허용되는 최대 계정 수는 4개이다.

• Saving plans & 예약 인스턴스를 공유할 수 있다.

  → 만약 한 계정에서 월 별 사용량이 부족하면 할인 가격을 받지 못할 수 있는데, 여러 계정을 결합할 경우 사용량이 집계 되어 혜택이 조직의 모든 계정에 적용될 수 있다.
  

AWS 예산

예산을 생성하여 서비스 사용 & 서비스 비용 및 인스턴스 예약을 계획할 수 있다.

• 리소스에 배정된 예산 금액을 초과하려 하는 경우 사전 알림을 받을 수 있음(사용자 지정 예산 알림)
• aws budget으로 접근하면 된다. → Create a budget 섹션으로 접근하면 된다.
  

AWS Cost Explorer

지출하는 비용을 시각적으로 확인하고 분석할 수 있다.

• 발생 비용 기준 상위 5개 서비스의 비용 및 사용량에 대한 기본 보고서가 포함되어 있다.
• 사용자 지정 필터 및 그룹을 지정해 데이터를 분석할 수 있다.

AWS Support

인프라 문제를 해결하고 비용을 절감해 aws 서비스를 효율적으로 사용하는 데 도움이 되기 위해 만들어진 서비스

• 4가지 플랜이 존재한다.
  • Basic: Trusted advisor X
  • Developer: 여기서부터 상위 2가지 플랜에 Trusted advisor O
  • Business
  • Enterprise: 기술 지원 관리자(TAM)에 대한 엑세스가 포함됨

AWS Marketplace

Independent Sofrtware Vendor(ISV)의 소프트웨어 리스팅 수천 개가 포함된 디지털 카탈로그

• 이를 이용해 aws에서 실행되는 소프트웨어를 검색, 평가하고 구매할 수 있음
• 산업 및 사용 사례별로 소프트웨어 솔루션을 탐색할 수도 있음 → 예시로 참고하기에 좋을 듯 함

마이그레이션 및 혁신

온프레미스 환경에 기존 배포가 있거나 aws 없이 클라우드를 시작한 경우 데이터 전환에 사용된다.

aws에서 또는 aws로 데이터를 마이그레이션 하기 위한 방법을 제공한다.

Cloud Adoption Framework(CAF)

aws 전문 서비스 팀에서 가이드를 통해 마이그레이션 프로세스를 관리하는 데 도움을 주는 프레임워크

CAF는 지침을 6가지 초점 영역으로 구성한다.

• 비즈니스
• 인력
• 거버넌스
• 플랫폼
• 보안 및 운영

→ 비즈니스, 인력 및 거버넌스 관점은 비즈니스 기능에 중점을 두지만 플랫폼, 보안 및 운영 관점은 기술 역량에 중점을 둔다.

마이그레이션 전략: 6R 전략

6R 중 우선 순위 및 중요도를 기준으로 가장 적합한 옵션을 결정할 수 있다.

• 리호스팅

  • 기업이 실행하기에 적합함

  • 애플리케이션만 선택해서 aws에 그대로 이동하기만 하면 됨

    → 대규모 레거시 마이그레이션의 시나리오에서 사용됨
    

• 리플랫포밍

  • 몇 가지 클라우드 최적화를 수행할 수 있음

  • 핵심 코드는 건드리지 않음

    → 새로운 개발 노력이 필요하지 않음
    

  • 예시로, 기존의 SQL 데이터베이스를 RDS로 변경할 수 있다.

• 리팩터링/ 아키텍쳐 재설계

  • 온프레미스에서는 사용하지 않지만 강력한 비즈니스 요구로 인해 이제는 도달 가능한 범위인 기능 또는 성능을 추가해야 하는 경우에 해당함
  • 초기 비용이 가장 높음

• 재구매

  • 레거시 소프트웨어 공급업체를 포기하고 새로 시작하려는 기업에게 적합함

• 유지

  • 비즈니스에 중요한 애플리케이션을 소스 환경에 유지한다.
  • 대규모 리팩토링이 필요한 애플리케이션 또는 이후로 연기할 수 있는 워크로드가 포함될 수 있다.

• 폐기

  • 더 이상 필요하지 않은 애플리케이션을 제거하는 프로세스

AWS Snow 패밀리

aws와 고객 간에 최대 엑사바이트 규모의 데이터를 물리적으로 이동할 수 있는 물리적 디바이스 모음

등장 배경

속도가 1Gbps인 네트워크는 약 100일 내에 1PB의 데이터를 이동할 수 있지만 실제로는 이보다 더 오래 걸리고 비용도 더 많이 들 가능성이 있다.

이러한 고객간 환경 격차를 해결하기 위한 방법으로 출시한 것이 aws snow 패밀리 디바이스이다.

Aws Snowcone

• 최대 8TB의 데이터를 저장할 수 있음

• 엣지 컴퓨팅(아마존 EC2 & IoT Greengrass)을 포함함

• aws console을 통해 주문할 수 있음

• aws로부터 디바이스가 도착하면 케이블을 연결해 데이터를 복사하고 aws로 다시 보낸다.

  → 그러면 aws에서 고객이 소유한 S3버킷에 데이터를 복사해 준다.

  → 이제 고객이 데이터를 사용할 수 있다.
  

snowcone보다 더 큰 용량을 담기 위한 다른 디바이스들이 snow패밀리에 더 있다.

→ aws snowcone < snowball < snowmobile

AWS를 통한 혁신

서버리스

• 사용자가 서버를 프로비저닝, 유지 관리할 필요가 없는 애플리케이션
• 사용자가 내결함성 또는 가용성을 걱정할 필요가 없다.
• 개발자는 서버를 관리하고 운영하는 대신 핵심 제품에 집중할 수 있음

인공지능

• Amazon Lex, Fraud Detector 등을 이용한 다양한 인공지능 기반 서비스를 제공함

기계학습

• ML 모델을 신속하게 빌드, 훈련, 배포하는 데 사용할 수 있는 Amazon SageMaker를 제공함

Well-Architected 프레임워크

aws 클라우드에서 안정적이고 안전하며 효율적이고 비용 최적화된 시스템을 설계하고 운영하는 방법을 이해하는 데 도움을 준다.

핵심 요소 5가지로 구성되어 있다.

• 운영 우수성
• 보안
• 안정성
• 성능 효율성
• 비용 최적화

Well-Architected tool

• aws에서 프레임워크를 셀프 서비스 도구 Well-Architected Tool로 공개함
• 보고서를 생성하면 해결할 영역을 tool이 보여줌

클라우드 컴퓨팅의 이점

• 고정 비용을 가변 비용으로 대체할 수 있다.

  → 사용한 만큼만 지불하면 되기 때문!
  

• 용량 추정이 불필요하다.

  → 수요에 따라 확장 또는 축소가 가능하기 때문
  

• 속도 및 민첩성 향상

• 몇 분 만에 전 세계 배포

  → aws 클라우드는 글로벌 입지를 확보하고 있기 때문에 애플리케이션을 신속히 전세계에 배포할 수 있다.

참고
AWS Cloud Practitioner Essentials 강의
https://explore.skillbuilder.aws/learn/course/1928/aws-cloud-practitioner-essentials-korean