AWS Security

AWS Security

• 복원력이 뛰어난 인프라를 통해 데이터를 안전하게 유지한다.

공동 책임 모델

• AWS 보안 제어 기능 상속
• 제어 기능 계층화

네트워크 보안

• 기본 제공 방화벽
• 전송 중 암호화
• 비공개 / 전용 연결
• DDos 완화

액세스 제어 및 관리

• Identify and Access Management (IAM)
• Multi-Factor Authentication (MFA)
• 기업 디렉터리와의 통합 및 연동
• Amazon Cognito
• AWS SSO

Identify and Access Management (IAM)

• 사용자

  	- 영구 명명된 운영자를 말한다. 

  • 사람이거나 기계일 수 있고, 내 자격 증명은 영구적이며 이름, 암호, 액세스 키, 보안 키 조합 등 무엇이는 강제 순환이 있을 때 까지는 명명된 사용자에게 적용된다.

• 그룹

  	- 사용자들의 집합

  • 많은 사용자가 있을 수 있으며, 사용자는 여러 그룹에 속할 수 있다.

• 역할

  	- AWS IAM에서 역할은 인증방법이다. 

  • 역할이 있는 자격 증명은 일시적이다.

    모든 AWS는 API다. API를 실행하기 위해서는 인증을 한 다음에 권한을 부여해야 하는데, 역할은 권한이 아닌 단순한 인증이다. 권한은 모든 경우에 정책 문서라는 별개의 개체에서 발생한다.

• 정책 문서

  	- JSON 문서이다. 

  • 영구적인 명명된 사용자 또는 사용자 그룹에 직접 연결하거나 역할에 직접 연결할 수 있다.
  • 명시적 거부가 있을 수 있다. (허용된 문을 재정의한다.)

Amazon Inspector

• 배포된 애플리케이션의 보안과 규정 준수를 개선하는 데 도움이 되는 도구다.

• 취약성과 모범사례 위반에 대해 애플리케이션을 평가한다.

• 평가 후 보안 탐지 결과와 우선 순위가 지정된 문제 해결단계를 포함한 보고서를 생성한다.

• 이점

  	- 애플리케이션이 배포되기 전 또는 프로덕션 환경에서 실행되는 동안 애플리케이션의 보안 취약성 뿐 아니라 보안 모범 사례와의 차이점도 파악 할 수 있다. 이를 통해 애플리케이션의 전반적인 보안 상태 개선이 가능하다.

  • 손쉽게 기존 DevOps 프로세스에 바로 구축하여 취약성 평가를 분산 및 자동화 하고, 보안 평가가 개발 프로세스의 필수 요소가 되도록 개발 및 운영 팀을 지원할수 있다.
  • 애플리케이션의 보안 평가를 자동화하고 보안 취약성을 사전에 파악함으로써 개발 및 배포 동안 보안 문제가 발생할 위험을 낮춘다. 이로써 새로운 애플리케이션을 신속히 개발 및 반복할 뿐만 아니라 모범 사례 및 정책에 대한 준수 여부를 평가할 수 있다.
  • 지속적으로 AWS 환경을 평가하고 보안 모범 사례 및 규칙에 대한 기술 자료를 업데이트한다.
  • 애플리케이션 개발 중 보안 테스트에 대한 가시성을 보안 팀과 감사자에게 제공한다.
  • 애플리케이션에 대한 표준 및 모범 사례를 정의하고, 해당 표준을 준수하는지 검증할 수 있다.

AWS Shield

• AWS에서 실행되는 애플리케이션을 보호하는 관리형 DDos 보호 서비스다.
• 애플리케이션 가동 중지 및 지연 시간을 최소화하는 상시 탐지 및 자동 인라인 완화를 제공하므로 DDoS 방어를 위해 AWS Support를 이용할 필요가 없다.
• 보호 옵션
  • Standard : 추가 비용 없이 모든 AWS 고객을 자동으로 보호
  • Advanced : DDoS 대응팀에 24/7 액세스할 수 있으며 대규모 공격으로부터 보호할 수 있는 추가용량을 제공

Standard

• 가장 일반적인 공격으로부터 자동으로 보호
• AWS로 들어오는 트래픽을 검사하는 상시 네트워크 흐름 모니터링을 제공하여 DDoS 공격을 신속하게 탐지할 수 있다.
• 악성 트래픽을 실시간으로 탐지하기 위해 트래픽 서명, 이상 알고리즘 및 기타 분석 기법의 조합이 적용된다.
• 자동화된 완화 기법이 내장되어 있어 애플리케이션에 인라인 방식으로 적용되므로 대기 시간에 영향을 미치지 않는다.
• AWS WAF를 사용하여 규칙을 작성함으로써 애플리케이션 계층 공격을 완화하고 사용한 만큼만 지불할 수 있다.
• 셀프 서비스 옵션 제공

Advanced

• DDoS Response Team(DRT)에 24/7 액세스 할 수 있다.
• 사후 공격 분석 지원
• WAF를 사용하여 비용 부담 없이 사전 대응 규칙을 설정하여 악성 트래픽을 자동으로 중지하거나 즉시 대응 할 수 있다.
• Amazon CloudWatch 를 통한 실시간 알림, 관리 콘솔에서의 자세한 진단을 통해 DDoS에 대한 완벽한 파악 가능
• 탄력적 IP주소, CloudFront, Route 53 에 대한 애플리케이션 계층 트래픽을 모니터링 한다.
• 리소스에서 트래픽 베이스라인 대비 이상을 식별하여 HTTP flood 또는 DNS query flood와 같은 애플리케이션 계층 공격을 탐지합니다.

이점

• 비용 효율적
• 원활한 통합 및 배포
• 사용자 지정 가능한 보호

DNS 보호

• Amazon Route 53 사용

  	- Standard - 호스팅 영역 

  • Advanced - 공격 가시성, DRT 지원

CloudFront 공격

• Standard - SYN-flood, UDP flood 또는 다른 반사 공격과 같은 인프라 계층 공격으로부터 포괄적인 보호를 제공

• Advanced - 인프라 계층 3 또는 4 공격에 필요한 완화 조치를 적그적으로 적용

TCP를 기반으로 하지 않는 경우 Amazon CloudFront, Elastic Load Balancing등의 서비스를 이용할 수 없다. 이러한 경우 대게 인터넷이 연결된 EC2 인스턴스에서 직접 애플리케이션을 실행해야 한다.

웹 애플리케이션 및 API 보호

• Amazon CloudFront 또는 Application Load Balancer 사용

  	- Standard - 상시 기동, 악성 트래픽 스크럽 

  • Advanced - DRT 지원, 트래픽 엔지니어링, 애플리케이션 계층 보호