:AWS에서는 여러 가지 보안 구조를 가지고 있음. 그중에 처음이 바로 보안그룹
보안 그룹은 EC2를 비롯한 각 리소스에 설정하는 가상 방화벽과 같은 개념.
보안 그룹에는 허용할 트래픽을 등록하고, 그 내용을 인스턴스에 적용하는 것.
하나의 룰에는 "Protocol"과 "Source"를 인바운드/아웃바운 별로 지정하여 허용할 트래픽을 설정.
: 볼륨 암호화는 cryptsetup 명령어나 서드 파티(3rd party)도구 등 여러가지 방법이 있지만, EBS에는 볼륨을 암호화하는 옵션이 준비되어 있다. EBS 암호화 기
능에는 사용자의 키 관리나 암호화/복호화를 신경쓰지 않아도 됨.
EBS를 암호화하려면 EBS Volumes 메뉴에서 Create Volume을 클릭하고, 볼륨 생성 메뉴에서 Encrypt this Volume을 선택만 하면 됨.
이렇게 생성된 암호화된 EBS볼륨에서 생성된 스냅샷이나 그 스냅샵으로 복원된 볼륨은 똑같이 암호화됨.
EBS 암호화를 사용할 수 있는 인스턴스 타입은 AWS문서를 참고.
https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/EBSEncryption.html
IAM : AWS에서 사용자와 인증 정보, 리소스 액세스 제어 등을 관리하기 위한 IAM(Identity and Access Management)서비스
VPC : VPC(Virtual Private Cloud)는 AWS 내부에 정의할 수 있는 가상 네트워크.
VPC를 이용하면 네트워크 게이트웨이나 서브넷, VPN, 라우팅 제어 등 보다 상세한 네트워크 레벨의 보안 설정 가능
CloudHSM : AWS에서는 CloudHSM(Cloud Hardware Security Module) 서비스가 존재.
전용 하드웨어 기업과 법률적으로 컴플라이언스 요건을 만족하는 데이터 보안.
: AWS 이외의 벤더 제품도 AWS 안에서 그대로 사용할 수 있음.
또는 AWS에서 사용할 수 있게 AWS환경에서 최적화된 보안용 제품을 제공
IDS/IPS : DMZ나 사내 시스템에 대한 네트워크 패킷 감시 등을 하고 부정 침입을 확인하여 차단하는 시스템
웹 서버 등에 직접 설치하는 타입과 전용 인스턴스를 가지고 네트워크를 감시하는 타입이 존재 DoS 공격, Syn Flooding공격 등을 방지.
Trend Micro Deep Security, Snort, Imperva SecureSphere,CheckPoint Virtual Appliance 등.
부정 공격을 감지/방어하는 시스템. 노출되어 있는 웹 서버 등에 대한 SQL인젝션이나 XSS, OS명령어 인젝션등을 방지
(2015년 말에 AWS WAF 서비스가 출시되어 CloudFront와 연동하여 사용가능)
Sophos UTM, FortiGate 등
이런 제품들이 AWS에서 사용할 수 있게 최적화된 제품에는 아마존 마켓 플레이스에서 AMI형태로 판매되는 제품도 있음.