주요 정보

• 교육 과정명 : 클라우드기반 스마트융합보안 과정 16기
• 교육 회차 정보 : '24. 01. 18. 클라우드 보안 컨설팅 실무 #02

학습 요약

• 7 Best practices in Security Pillar
• 클라우드 혁신 가치 사슬 모델 at Cloud Adoption Framework

3. 클라우드컴퓨팅서비스 프레임워크 및 기술

Security Pillar at Well-Architected Framework

AWS Well-Architected Framework에서 기술 솔루션 설계 시, 아래 6가지 핵심 요소(Pillar)의 적절한 사용을 권유한다.
Well-Architected 프레임 워크는 6개의 원칙(기둥)이 존재하고, 각 원칙(이하 요소)들은 보다 나은(Well) 프레임워크를 설계하기 위해 제시한 요소들이다.

즉, Well-Architected Framework 설계 목적으로 6가지 원칙(Pillar, 기둥)이 존재하는데, 이 중 보안이라는 범위 내에서 적절하게 고려해야하는 모범사례들에 대해 기술하고자 한다.

AWS 제시하는 프레임워크의 6가지 원칙 The Six Pillars of the Framework
1. 운영 우수성 (Operational Excellence )
2. 보안 (Security)
3. 안전성 (Reliability)
4. 성능 효율성 (Performance Efficiency)
5. 비용 최적화 (Cost Optimization)
6. 지속 가능성 (Sustainability)

Well-Architected Framework 6개의 원칙 중, 보안의 7가지 모범사례에 대해 기술한다.

7 Best practices in Security Pillar

보안 원칙의 7개 모범사례를 기술한다.

1) 보안

워크로드를 보다 안전하게 운영하기 위해 워크로드의 모든 보안 영역에 포괄적 모범 사례를 적용해야 한다.
조직 및 워크로드 수준에서 운영 우수성에 적용된 요구사항 및 프로세스를 가져와 모든 영역에 적용한다.

워크로드란? 클라우드 리소스/서비스에 해당하는 부분이다.

AWS 권장 사항, 업계 리소스 및 위협 인텔리전스를 최신 상태로 유지 시 위협 모델 및 제어 목표를 발전시키는 데 도움이 된다.

2) 자격 증명 및 액세스 관리

자격 증명 및 액세스 관리

정보 보안 프로그램 핵심 요소로, 허가 및 인증된 사용자와 구성 요소가 허용되는 방식으로만 리소스 접근 허용해야 한다.
권한 관리 요소는 인증 및 권한 부여의 핵심 개념.
AWS에서는 IAM 서비스로 권한 관리를 지원한다.

권한 관리 요소 예시>>

• 보안 주체 정의
• 정의된 보안 주체에 맞는 정의된 정책 구축
• 강력한 자격 증명 관리 구현

사람과 시스템에 대한 자격 증명 관리방법

안전한 AWS 워크로드 운영의 접근 시, 사용 자격 증명 유형은 2가지 존재한다.

1. 인적 자격 증명 : 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션 액세스하려면 자격 증명이 필요하다.
2. 시스템 자격 증명 : 서비스 애플리케이션, 워크로드에서 AWS 요청 시 자격증명이 필요하다.

적절한 자격 증명 유형과 조건에서 안전한 리소스 접근 보장 가능.

사람과 시스템에 대한 권한 관리방법

AWS 워크로드에 접근하는 사람과 시스템 자격 증명에 대한 접근제어 권한 관리
접근 가능한 조건과 접근 가능한 대상을 권한으로써 제어한다.

자격 증명

자격 증명은 사용자, 시스템간 공유할 수 없는 고유한 특성을 가진다.
사용자 접근 권한은 암호 요구 사항, 모범 사례(MFA 적용)를 포함하는 최소한의 권한 접근 방식을 사용해 부여해야 한다.
AWS 서비스에 대한 프로그래밍 방식의 액세스(API 호출 등)는 일시적이거나 권한이 제한된 보안 인증 정보를 사용해 수행해야 한다.(AWS Security Token Service, 등)

3) 탐지

참지 제어를 사용해 잠재적 보안 위협 또는 인시던트를 식별 가능
제어는 일반적인 거버넌스 프레임워크의 핵심 부분이다.
AWS에서는 로그, 이벤트 모니터링을 처리해 탐지 제어를 구현 가능

incident와 problem 차이는?

• problem : 장애조치해결 + 원인분석 => case close
• incident : 장애조치해결 => case close

보안 관련 이벤트 감지방법

이벤트는 로그와 지표에서 캡처하고 분석하는 방식으로 파악한다.
보안 이벤트 및 잠재적 위협에 관한 조치를 취하면 워크로드를 보호할 수 있다.

탐지관련 로그 관리

보안 또는 포렌식으로부터 규제, 법적 요구 사항 충족
잠재적 보안 인시던트 식별 목적으로 로그 분석 및 대응 필요
AWS에서는 로그 관리의 용이성(데이터 보존, 아카이빙, 최종 삭제 위치 지정)으로 쉽고 경제적이고, 예측 가능하게 데이터 처리 가능

4) 인프라 보호

모범 사례, 업계 규정, 규제 의무 준수 목적으로 인프라 보호 필요
심층 방어, MFA 제어 방법이 포함된다.

네트워크 리소스 보호 방법

프라이빗이든 인터넷이든 상관 없이 모든 네트워크 연결이 있는 워크로드는 외/내부 네트워크 기반 위협 보호 목적 다중 방억 계층이 필요

컴퓨팅 리소스 보호 방법

워크로드의 컴퓨팅 리소스는 다계층 방어로 내/외부 위협으로부터 보호해야 한다.
컴퓨팅 리소스 종류 : EC2 인스턴스, 컨테이너, Lambda 함수, DB 서비스, IoT 디바이스, 등

다단계 보안 방어 계층 적용

환경 종류와 무관하게 다단계 방어 계층이 보안 측면에서 유리하다.
경계 보호 적용, 송/수신 지점 모니터링, 종합적 로깅 및 모니터링, 알림을 이용해 효과적인 정보 보안 계획수립

가상 서버(인스턴스) 보안 강화

AWS 고객은 EC2, ECS 컨테이너를 조정하거나 강화할 수 있고, 변경 불가능한 AMI를 사용해 해당 구성 유지 가능

AMI 사용 시, Auto Scaling에 의한 트리거 또는 수동 방식을 통해 AMI로 실행되는 모든 새 가상 서버가 강화된 구성을 얻게 된다.

5) 데이터 보호

데이터 보호 구현방안

시스템 설계 초기 단계에서 보안 기본 관례를 상정해야 한다.
보안 기본 관례 예시 : 데이터 분류, 암호화, 등
금전적 손해 방지 또는 규제와 의무의 준수 등의 목표 달성을 뒷받침하는 도구이자 기법이다.

AWS에서 제시하는 데이터 보호 실현 방안
1. AWS 고객은 데이터에 대한 완전한 통제력을 유지한다.
2. AWS은 정기적인 키 교체 등 키 관리 및 데이터 암호화의 간편 처리 지원.
3. 파일 접근, 파일 변경 사항 등 상세 로그 확인 가능
4. 뛰어난 스토리지 시스템 설계 지원
5. 버전 관리
6. AWS는 리전 간 데이터 이동하지 않는다 (사용자 명시적 기능 활성화 제외)

데이터 분류

데이터 중요도, 민감도를 기준으로 데이터를 분류하는 방법을 제공한다.

저장된 데이터 보호

전송된 데이터 보호

데이터 및 전송 데이터에 대한 암호화 방법

AWS에서는 저장 데이터 및 전송 데이터 암호화 수단 제공한다. (S3 SSE 구현)
전체 HTTPS 암호화 및 복호화 프로세스를 ELB를 통해 처리하도록 설정(SSL termination)

1차 모듈 프로젝트에서 내가 구현했던 ELB에 도메인 주소 및 SSL 인증서 발급 사용 부분이 이 부분에 해당하는 것 같다. 그때는 그냥 무슨 말인지 모르고 진행했었는데 다시 살펴보니 예상한 대로 ELB와 서버간 트래픽 암호화를 하지 않으므로 또 다른 취약점에 노출 될 것이다. 이는 오늘 수업에서 강사님께서 언급한 아래 부분과 일맥상통하는 부분이다.
"현재 관제는 클라우드 환경 기반이 아닌 온프레미스 환경 기반으로 한다. 보안에서의 취약점/공격은 온프레미스 환경에서만 발생하지 않는다. "

사고 대응

고도의 예방 및 탐지 제어를 사용하는 조직은 잠재적 보안 인시던트에 대응하고 그 영향을 완화하기 위한 프로세스를 마련해야 한다.
워크로드 아키텍처는 인시던트 발생 시 보안 팀이 효과적으로 시스템을 격리 또는 억제하고 운영 정상적으로 복구하는 능력에 영향을 미친다.
보안 인시턴트 이전 도구 및 액세스 마련 및 실전 연습을 통해 인시던트 대응을 정기적으로 연습한다면, 아키텍처가 적기에 조사 및 복구를 수용가능하다.

AWS 인시던트 대응 지원 방식
1. 파일 접근, 변경사항 상세 로그 확인 가능
2. 이벤트 자동 처리 가능
3. CloudFormation 사용해 도구 및 안전한 공간을 사전 프로비저닝 가능. 이는 안전하고 격리된 환경에서 과학 수사를 진행할 수 있다.

인시던트 예상 및 대응 사후 복구

여러가지 제어 기능을 구현해 저장된 데이터를 보호한다.
보안 팀에게 신속하게 접근부여 절차 마련.
인스턴스 격리 및 포렌식 목적으로 데이터 및 상태 캡처 자동화

6) 지속 가능성

탄소배출에 관련한 내용이다.

Cloud Adoption Framework

클라우드 채택 프레임워크는 기업이 클라우드 컴퓨팅 환경을 도입하고 활용하기 위한 전략 및 방법을 제공하는 체계를 의미한다.

클라우드 적합한 프레임워크 개념에서 클라우드 혁신 가치 사슬 모델이 존재한다.

클라우드 혁신 가치 사슬 모델에서 클라우드 혁신 여정을 위한 4개 영역이 존재한다.
각 영역은 아래와 같다.

1. 구상 단계 : 클라우드의 비지니스 성과 달성 가속화 도움 입증 단계
2. 조정 단계 : 노조 등의 이해관계자 우려점, 도전 과제 표면화 단계
3. 시작 단계 : 프로덕션 과정에서 파일럿 이니셔티브 전달 및 증분적 비지니스 가치 입증 단계
4. 확장 단계 : 프로덕션 파일럿 이니셔티브, 비지니스 가치 확장 및 클라우드 투자 관련 비지니스 이익 실현 과 유지 단계

이니셔티브 initiative : 계획, 무언가를 달성하거나 문제를 해결하기 위한 새로운 계획이나 프로세스

클라우드 백업

클라우드 백업은 온프레미스 환경과 다른 백업 방식을 사용한다.

• 백업 대상 : 가상서버, 컴퓨팅, 객체 스토리지, 블록 스토리지, RDS 단일 인스턴스, 파일 스토리지
• 백업 방법 : 크로스-리전, 크로스-계정, 증분, 연속 백업 및 지정 시간 복구, 전체 백업
  * 일반적인 백업 방법에서는 인프라 환경에 따라 백업 대상, 백업 방법을 사용한다.

클라우드 혁신 4개 영역은 기술 혁신, 프로세스 혁신, 조직 혁신, 제품 혁신이 존재한다.

AWS CAF 관점 기본역량 모델

보안 관점

AWS CAF 관점의 기본역량 6개 분야 중, 보안 분야에 대해 기술하고자 한다.
보안 관점에서 규정 준수 및 보증이 필요하다.
보안 관점은 데이터, 클라우드 워크로드 신뢰성, 무결성, 가용성 달성에 도움이 된다. 즉, 데이터와 클라우드 워크로드의 정보보안을 목표로한다.
보안 관점은 아홉가지 역량으로 구성되며 아래 사진과 같다.
일반적 이해관계자 : CISO, CCO, 내부 감사 리더, 보안 아키텐트 엔지니어, 등

보안 거버넌스

생성하려는 목적을 위해 정책, 조직을 구성해야 한다.

보안 인증

자격증명 및 액세스 관리

위협 탐지

취약성 관리

인프라 보호

데이터 보호

애플리케이션 보안

인시던트 대응