[AWS] 보안 및 규정 준수 (1)

dereck·2025년 1월 2일
AWS CCPTILaws

AWS CCP

목록 보기
16/29
post-thumbnail

공동 책임 모델

AWS의 책임

  • 소프트웨어
  • 컴퓨팅, 스토리지, 데이터베이스, 네트워킹을 제공할 때 올바르게 작동하는지 확인
  • 하드웨어와 글로벌 인프라
  • 리전, 가용 영역, 엣지 로케이션

사용자의 책임

  • 고객의 데이터
  • 플랫폼, 애플리케이션, 자격 증명과 액세스 관리
  • 운영 체제, 네트워크 및 방화벽 구성
  • 데이터 암호화
    • 클라이언트 측
    • 서버 측
  • 네트워크 트래픽 보호

공유된 제어 항목

  • 패치 관리, 구성 관리, 인지 및 교육은 사용자와 AWS에 공유
    • AWS는 패치 관리를 함
      • AWS는 직원이 서비스를 올바르게 사용하도록 교육하고 보안 가이드 라인을 준수하도록 해야 함
    • 사용자도 마찬가지
      • 직원이 클라우드를 올바르게 사용하도록 교육

DDoS 방어

DDoS는 인프라 상의 분산 서비스 거부 공격이다.

DDoS 원리

DDoS의 원리는 다음과 같다.

  1. 해커가 애플리케이션 서버에 DDoS 공격을 시도하려고 한다
  2. 해커는 여러 마스터 서버를 실행하고, 이러한 서버는 많은 봇을 생성한다
  3. 생성된 많은 수의 봇들이 애플리케이션 서버에 요청을 전송한다
  4. 서버는 많은 요청을 처리할 수 없으므로 과부하 되어 작동하지 않고 서비스를 거부하게 된다
  5. 애플리케이션 서버에 연결을 시도하는 일반 사용자는 서버에 액세스 할 수 없고, 서버가 응답하지 않아 애플리케이션이 다운되는 것을 확인하게 된다.

DDoS 보호 방법

샘플 아키텍처

AWS Shield Standard

Shield Standard는 추가 비용 없이 모든 사용자에게 활성화 되어 있으며 웹 사이트와 애플리케이션을 디도스에 관한 일반적인 공격으로부터 보호한다.

여기에는 SYN, UDP Flood와 반사 공격이 있고, 계층 3/계층 4 공격 등이 있다.

AWS Shield Advanced

고급 디도스 보호가 필요하면 연중무휴로 제공되는 Shield Advanced를 사용하면 된다. 매일 24시간 동안 디도스로부터 보호해 준다.

EC2, ELB, CloudFront Global Accelerator 그리고 Route 53에서의 더 정교한 공격으로부터 보호한다. 또한 필요한 경우에 이런 디도스 공격 중에 보호에 도움이 되는 대응 팀에 액세스 할 수 있다. 이러한 공격으로 비용이 발생하는 경우 AWS에서 지불한다.

하지만 매월 3,000 달러의 비용이 발생한다.

AWS WAF

WAF는 Web Application Firewall의 약자로 규칙에 따라 특정 요청을 필터링하는 웹 애플리케이션 방화벽이며, 계층 7의 웹 취약점 공격으로부터 웹 애플리케이션을 보호한다.

계층 7은 HTTP이기 때문에 HTTP 친화적 장치에만 배포된다. 따라서 ALBAPI Gateway, CloudFront에 배포된다.

WAF에서는 Web Access Control List인 Web ACL을 정의할 수 있고, 이 ACL에 관한 규칙에는 필터링이 포함되며 IP 주소와 HTTP 헤더 그리고 본문과 일부 문자열이 포함되며 SQL Injection이나 XSS 같은 일반 공격으로부터 보호할 수 있다.

요청이 너무 크지 않은지 확인하기 위해 크기에 제한을 둘 수 있고, geo-match로 특정 국가를 차단할 수 있으며, 디도스 보호를 위해 속도 기반의 규칙을 사용해 이벤트 발생 횟수를 계산한다. 사용자는 초당 5개 이상의 규칙을 실행할 수 없어서 디도스 공격으로부터 보호하는데 도움이 된다.

글로벌 엣지 네트워크

CloudFront와 Route 53의 경우 글로벌 엣지 네트워크로 보호할 수 있고, Shield와 결합하면 엣지 로케이션에서 공격을 완화해 준다.

오토 스케일링

마지막으로 공격을 받았다면 AWS의 오토 스케일링으로 스케일링 할 준비를 해야 한다.

AWS Network Firewall

시험에서 VPC를 전반적으로 보호하는 방법을 묻는 문제가 출제된다면 Network Firewall을 생각하면 된다.

네트워크 방화벽이 전체 VPC를 계층 3부터 계층 7까지 한 번에 보호한다. 모든 트래픽을 검사할 수 있다.

  • VPC 안팎으로의 트래픽
  • 아웃바운드에서 인터넷, 인바운드에서 인터넷, 다이렉트 커넥트 안팎으로의 트래픽 및 사이트간 VPN 트래픽 등

이는 서브넷 수준에서 작동하는 NACL보다 더 나은 보호 메커니즘으로 VPC 수준에서 동작한다.

AWS Firewall Manager

Firewall Manager는 AWS 조직에 있는 모든 사용자의 보안 규칙을 하나의 중앙 위치에서 관리할 수 있다.

Firewall Manager는 VPC 보안 그룹뿐만 아니라 WAF 규칙, AWS Shield Advanced 규칙 그리고 AWS Network Firewall 등의 서비스도 관리할 수 있다.

Firewall Manager에 규칙을 적용하면 그 규칙은 현재 존재하거나 미래에 생성되는 모든 사용자에 적용되고, 그 사용자들의 리소스에도 생성되는 대로 적용되어 어느 때에든 모든 사용자에 대하여 규칙이 확실히 관리되도록 해준다.

시험을 보는 관점에선 VPC 보안 그룹에 관한 질문이 나올 것이기 때문에 여러 개의 사용자가 있는 조직 내에서 VPC 보안 그룹들을 관리하는 문제가 나온다면 Firewall Manager를 생각하면 된다.

References

profile
dereck
이전 포스트

[AWS] VPC 및 네트워킹 (2)

다음 포스트

[AWS] 보안 및 규정 준수 (2)

0개의 댓글