AWS의 보안 모델
공동 책임 모델
AWS 환경을 단일 객체로 취급하지 않고 리소스를 안전하게 유지할 책임은 고객과 AWS 둘 다에게 있다.
- AWS는 사용자 환경의 일부분을 책임지고 고객은 다른 부분을 책임진다.
이미지 출처
고객 책임 : 클라우드 내부의 보안
- AWS 클라우드 내에서 생성하고 배치하는 모든 것의 보안을 책임 진다.
- 고객은 자체 콘텐츠에 대한 완전한 제어를 유지한다.
- 콘텐츠에 대한 보안 요구 사항을 관리한다.
- 액세스 권한 부여 및 관리하는 방법을 제어한다.
AWS책임 : 클라우드 자체의 보안
- 인프라의 모든 계층(host OS, 가상화 계층, 데이터 센터의 물리적 보안 등)에서 구성 요소 운영, 관리 및 제어
- AWS 클라우드의 모든 서비스 AWS 리전, 가용영역, 엣지 로케이션)를 실행하는 인프라를 보호할 책임
사용자 권한 및 액세스
IAM
- AWS 서비스와 리소스에 대한 액세스를 안전하게 관리
- 회사의 고유한 운영 및 보안 요구사항에 따라 액세스 권한을 구성할 수 있는 유연성 제공
- IAM 사용자에게 권한을 부여해야 Amazon EC2 인스턴스 시작, Amazon S3 버킷 생성 등 특정 작업을 수행 할 수 있음
계정 루트 사용자
- AWS 최초 계정 생성시 루트 사용자라는 자격 증명으로 시작한다.
AWS Organizations
- 조직을 만들어 개정들의 루트에 위치하여 개정을 조직단위(OU)로 그룹화 하여 비슷한 비즈니스 또는 보안 요구사항을 손쉽게 관리함
AWS 보안 및 규정 준수 서비스
AWS Artifact
- AWS 보안 및 규정 준수 보고서 및 일부 온라인 계약에 대한 온디맨드 액세스를 제공하는 서비스
- 각 보고서에는 내용에 대한 설명과 문서가 유효한 보고 기간이 포함
- AWS Artifact Agreements 및 AWS Artifact Reports의 두 가지 기본 섹션으로 구성
AWS Artifact Agreements
- 개별 계정 및 AWS Organizations 내 모든 계정에 대한 계약을 검토, 수락 및 관리할 수 있음
- 특정 규정의 적용을 받는 고객의 요구 사항을 해결하기 위해 다양한 유형의 계약이 제공됨
AWS Artifact Reports
- 외부 감사 기관이 작성한 규정 준수 보고서를 제공
- 릴리스된 최신 보고서가 반영되어 항상 최신 상태로 유지
보안 서비스
AWS Shield
- DDoS 공격으로 부터 애플리케이션을 보호하는 서비스
DDos?
문제를 일으킬만한 트레픽으로 요청하여 웹사이트 혹은 애플리케이션을 사용할 수 없게 만듬
ex) UDP flood, HTTP 수준 공격, Slowloris 공격
두가지 보호 수준인 Standard와 Advanced 제공
AWS Shield Standard
모든 AWS 고객을 자동으로 보호하는 무료 서비스
AWS 리소스를 가장 자주 발생하는 일반적인 DDoS 공격으로부터 보호
네트워크 트래픽이 애플리케이션으로 들어오면 AWS Shield Standard는 다양한 분석 기법을 사용하여 실시간으로 악성 트래픽을 탐지하고 자동으로 완화
AWS Shield Advanced
상세한 공격 진단 및 정교한 DDoS 공격을 탐지하고 완화할 수 있는 유료 서비스
Amazon CloudFront, Amazon Route 53, Elastic Load Balancing과 같은 다른 서비스와도 통합됨 복잡한 DDoS 공격을 완화하기 위한 사용자 지정 규칙을 작성하여 AWS Shield를 AWS WAF와 통합 가능
AWS Key Management Service(AWS KMS)
- AWS KMS를 사용하여 암호화 키를 생성, 관리 및 사용할 수 있음
- 암호회 키는 데이터 참금 및 해제에 사용되는 임의의 숫자 뭇자열로 구성됨
- 광범위한 서비스 및 애플리케이션에서 키 사용을 제어할 수 있음
- 일시적으로 키를 비활성화 할 수 있음
AWS Web Application Firewall(AWS WAF)
가용성에 영향을 미치거나 보안을 훼손하거나 과도한 리소스를 소비할 수 있는 일반적인 웹 익스플로잇 및 봇으로부터 애플리케이션을 보호하도록 도와줍니다.
- 웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽
- Amazon CloudFront 및 Application Load Balancer와 함께 작동
- AWS 리소스를 보호하기 위해 웹 ACL(액세스 제어 목록)을 사용
사용 예시
DDoS로 의심되는 IP주소로 요청을 받고있다면 해당 IP 주소들을 제외한 모든 요청을 허용하는 ACL을 구성하여 방어합니다.
Amazon Inspector
- 자동화된 보안 평가를 실행하여 애플리케이션의 보안 및 규정 준수를 개선할 수 있는 서비스
- Amazon EC2 인스턴스에 대한 보안 모범 사례 위반 및 보안 취약성을 애플리케이션에서 검사
- 평가를 수행한 후에 보안 탐지 결과 목록을 제공
-> 목록에는 심각도 수준에 따라 우선 순위가 결정되고 각 보안 문제에 대한 자세한 설명 및 권장 해결 방법이 포함되었으며 API를 통해 결과 검색 가능
Amazon GuardDuty
- AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스
- AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별함
- 추가 보안 소프트웨어를 배포하거나 관리할 필요가 없음
작동 방식
- GuardDuty 활성화
- GuardDuty가 네트워크 및 계정 활동을 모니터링
- VPC flow log 및 DNS 로그 등 여러 소스의 데이터를 지속적으로 분석
- 위협을 탐지하면 AWS Management Console에서 위협에 대한 자세한 탐지 결과를 검토할 수 있음
- 탐지 결과에는 문제 해결을 위한 권장 단계가 포함됨
- 자동으로 문제 해결단계를 수행할 수 있도록 결과에 대한 응답을 AWS Lambdag함수를 구성하는데 사용할 수 있음