6. 보안
- 공동 책임 모델
- 고객: 클라우드 내부의 보안
: AWS 클라우드 내에서 생성하고 배치하는 모든 것의 보안을 책임진다.
- AWS: 클라우드 자체의 보안
: 클라우드 자체의 보안, 특히 리소스를 호스팅하는 물리적 인프라를 관리한다.
ex) 데이터 센터의 물리적 보안, 하드웨어 및 소프트웨어, 인프라, 네트워크 인프라, 가상화 인프라
- AWS Identity and Access Management(IAM)
- AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있음
- IAM은 회사의 고유한 운영 및 보안 요구 사항에 따라 액세스 권한을 구성할 수 있는 유연성을 제공한다.
- IAM 사용자, 그룹 및 역할 / IAM 정책 / Multi-Factor Authentication 기능을 조합하여 사용
- IAM 사용자
: AWS 서비스 및 리소스와 상호 작용하는 사람 또는 애플리케이션을 나타내며 이름과 자격 증명으로 구성됨
: 새 IAM 사용자를 생성하면 해당 사용자와 연결된 권한이 없으므로 필요한 권한을 부여해야 한다.
: AWS에 액세스해야 하는 각 사용자마다 개별 IAM 사용자를 생성하는 것이 좋음(보안 강화)
- IAM 정책
: AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서
: 사용자가 리소스에 액세스할 수 있는 수준을 사용자 지정할 수 있으며 권한을 부여할 때 최소 권한 보안 원칙을 따라야 한다.
- IAM 그룹
: IAM 사용자의 모음, 그룹에 IAM 정책을 할당하면 해당 그룹의 모든 사용자에게 정책에 지정된 권한이 부여
- IAM 역할
: 임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명
: IAM 역할을 수임한다는 것은 이전 역할에 지정된 모든 권한을 포기하고 새 역할에 지정된 권한을 수임하는 것이며 서비스 또는 리소스에 대한 액세스 권한을 장기적이 아니라 일시적으로 부여해야 하는 상황에 이상적이다.
- Multi-Factor Authentication
: 암호를 입력한 다음 휴대폰으로 전송된 난수 코드와 같은 두 번째 인증 형식을 제공
: AWS 계정에 추가 보안 계층을 제공
- AWS Organizations
- 중앙 위치에서 여러 AWS 계정을 통합하고 관리할 수 있다.
- 서비스 제어 정책(SCP)을 사용하여 조직의 계정에 대한 권한을 중앙에서 제어할 수 있음.
- 각 계정의 사용자 및 역할이 액세스할 수 있는 AWS 서비스, 리소스 및 개별 API 작업을 제한할 수 있다.
- 조직 단위(OU)
: 계정을 조직 단위(OU)로 그룹화하여 비슷한 비즈니스 또는 보안 요구 사항이 있는 계정을 손쉽게 관리할 수 있다.
: OU에 정책을 적용하면 OU의 모든 계정이 정책에 지정된 권한을 자동으로 상속한다.
: 개별 계정을 OU로 구성하면 특정 보안 요구 사항이 있는 워크로드 또는 애플리케이션을 보다 간편하게 격리할 수 있음
- AWS Artifact
- AWS 보안 및 규정 준수 보고서 및 일부 온라인 계약에 대한 온디맨드 액세스를 제공하는 서비스
- AWS Artifact Agreements
: 개별 계정 및 AWS Organizations 내 모든 계정에 대한 계약을 검토, 수락 및 관리할 수 있음
: HIPAA(미국 건강 보험 양도 및 책임에 관한 법)와 같은 특정 규정의 적용을 받는 고객의 요구 사항을 해결하기 위한 다양한 유형의 계약이 제공
- AWS Artifact Reports
: 외부 감사 기관이 작성한 규정 준수 보고서를 제공
: AWS Artifact Reports는 릴리스된 최신 보고서가 반영되어 항상 최신 상태로 유지되고, 감사 또는 규제 기관에 AWS 보안 제어 항목의 증거로서 AWS 감사 아티팩트를 제공하면 된다.
- 고객 규정 준수 센터
: 고객 규정 준수 사례를 읽고 규제 대상 업종의 기업들이 다양한 규정 준수, 거버넌스 및 감사 과제를 어떻게 해결했는지 확인할 수 있음
: 주요 규정 준수 질문에 대한 AWS 답변 / AWS 위험 및 규정 준수 개요 / 보안 감사 체크리스트 같은 주제에 관한 규정 준수 백서 및 설명서에 접근할 수 있다.
- AWS Shield
- DDoS 공격으로부터 애플리케이션을 보호하는 서비스
- AWS Shield Standard
: 모든 AWS 고객을 자동으로 보호하는 무료 서비스
: 네트워크 트래픽이 애플리케이션으로 들어오면 AWS Shield Standard는 다양한 분석 기법을 사용하여 실시간으로 악성 트래픽을 탐지하고 자동으로 완화한다.
- AWS Shield Advanced
: 상세한 공격 진단 및 정교한 DDoS 공격을 탐지하고 완화할 수 있는 기능을 제공하는 유료 서비스
: Amazon CloudFront, Amazon Route 53, Elastic Load Balancing과 같은 다른 서비스와도 통합되며 또한 복잡한 DDoS 공격을 완화하기 위한 사용자 지정 규칙을 작성하여 AWS Shield를 AWS WAF와 통합할 수 있다.
- AWS Key Management Service(AWS KMS)
- KMS 서비스를 사용하면 암호화 키를 사용하여 암호화 작업을 수행할 수 있다.
- 암호화 키는 데이터 잠금(암호화) 및 잠금 해제(암호 해독)에 사용되는 임의의 숫자 문자열로 AWS KMS를 사용하여 암호화 키를 생성, 관리 및 사용할 수 있으며 광범위한 서비스 및 애플리케이션에서 키 사용을 제어할 수 있다.
- AWS KMS를 사용하면 키에 필요한 액세스 제어를 특정 수준으로 선택할 수 있음
- AWS WAF
- 웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽
- Amazon CloudFront 및 Application Load Balancer와 함께 작동한다.
- Amazon Inspector
- 자동화된 보안 평가를 실행하여 애플리케이션의 보안 및 규정 준수를 개선할 수 있는 서비스로 Amazon EC2 인스턴스에 대한 오픈 액세스, 취약한 소프트웨어 버전 설치와 같은 보안 모범 사례 위반 및 보안 취약성을 애플리케이션에서 검사한다.
- Amazon GuardDuty
- AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스
- AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별한다.
7. 모니터링 및 분석
- Amazon CloudWatch
- 다양한 지표를 모니터링 및 관리하고 해당 지표의 데이터를 기반으로 경보 작업을 구성할 수 있는 웹 서비스
- CloudWatch 경보: 지표의 값이 미리 정의된 임계값을 상회 또는 하회할 경우 자동으로 작업을 수행하는 경보를 생성할 수 있다.
- CloudWatch 대시보드: 단일 위치에서 리소스에 대한 모든 지표에 액세스할 수 있음. 예를 들어 CloudWatch 대시보드를 사용하여 Amazon EC2 인스턴스의 CPU 사용률, Amazon S3 버킷에 대해 실행된 총 요청 수 등을 모니터링할 수 있다.
- AWS CloudTrail
- 계정에 대한 API 호출을 기록하며 기록되는 정보에는 API 호출자 ID, API 호출 시간, API 호출자의 소스 IP 주소 등이 포함된다.
- CloudTrail Insights: 이 옵션 기능을 사용하면 CloudTrail이 AWS 계정에서 비정상적인 API 활동을 자동으로 감지할 수 있다.
- AWS Trusted Advisor
- AWS 환경을 검사하고 AWS 모범 사례에 따라 실시간 권장 사항을 제시하는 웹 서비스
- 비용 최적화, 성능, 보안, 내결함성, 서비스 한도라는 5개 범주에서 결과를 AWS 모범 사례와 비교하고, Trusted Advisor는 각 범주의 검사에 대해 권장 작업 목록을 제공하며 AWS 모범 사례를 자세히 알아볼 수 있는 추가 자료를 제공한다.
8. 요금 및 지원
-
AWS 프리 티어
- 지정된 기간 동안 비용을 신경 쓸 필요 없이 특정 서비스를 사용할 수 있다.- 상시무료: 모든 AWS 고객에게 제공되며 만료되지 않는다.
- 12개월 무료: AWS에 처음 가입한 날로부터 12개월 동안 무료로 제공된다.
- 평가판: 특정 서비스를 활성화한 날짜부터 시작하며 각 평가판의 기간은 일수 또는 서비스 사용량을 기준으로 다를 수 있다.
-
AWS 요금 적용
- 실제 사용한 만큼만 지불한다.
- 예약하는 경우 비용이 감소한다.
- 많이 사용할수록 볼륨 기반 할인으로 비용이 감소한다.
-
AWS 요금 계산기
- AWS 서비스를 탐색하고 AWS 기반 사용 사례에 대한 비용을 추정할 수 있음
-
통합결제
- 조직의 모든 AWS 계정에 대한 단일 청구서를 받을 수 있으며 결제를 통합하면 조직에 있는 모든 연결 계정의 결합된 비용을 손쉽게 추적할 수 있다.
- 조직의 계정 전체에서 대량 할인 요금, Savings Plans 및 예약 인스턴스를 공유할 수 있음
-
AWS 예산
- 예산을 생성하여 서비스 사용, 서비스 비용 및 인스턴스 예약을 계획할 수 있다.
- 사용량이 예산 금액을 초과하거나 초과할 것으로 예상되면 알려주는 사용자 지정 알림을 설정할 수도 있음
-
AWS Cost Explorer
- 시간 경과에 따라 AWS 비용 및 사용량을 시각화, 이해, 관리할 수 있는 도구
- 발생 비용 기준 상위 5개 AWS 서비스의 비용 및 사용량에 대한 기본 보고서가 포함되어 있으며 사용자 지정 필터 및 그룹을 적용하여 데이터를 분석할 수 있다.
-
AWS Support 플랜
- Basic
: 모든 AWS 고객에게 무료로 제공
: AWS에 결제 관련 질문 및 서비스 한도 증가에 대해 문의할 수도 있다.- Developer
: 모범 사례 지침
: 클라이언트 측 진단 도구
: AWS 제품, 기능 및 서비스를 함께 사용하는 방법에 대한 지침으로 구성된 빌딩 블록 아키텍처 지원
- Business
: 특정 요구 사항을 가장 잘 지원할 수 있는 AWS 제품, 기능 및 서비스를 식별하기 위한 사용 사례 지침
: 모든 AWS Trusted Advisor 검사
: 일반적인 운영 체제 및 애플리케이션 스택 구성 요소와 같은 타사 소프트웨어에 대한 제한된 지원
- Enterprise
: 회사의 특정 사용 사례 및 애플리케이션을 지원하기 위한 컨설팅 관계인 애플리케이션 아키텍처 지침
: 인프라 이벤트 관리 지원 > 회사가 사용 사례를 더 잘 이해할 수 있도록 돕는 AWS Support와의 단기 계약, 또한 회사에 아키텍처 및 확장 지침도 제공한다.
: 기술 지원 관리자(TAM) > 모든 AWS 서비스에 대한 전문 지식을 제공하며 통합 접근 방식을 통해 여러 서비스를 함께 효율적으로 사용하는 솔루션을 설계하는 과정을 도울 수 있다. -
AWS Marketplace
- Independent Software Vendor(ISV)의 소프트웨어 리스팅 수천 개가 포함된 디지털 카탈로그
- AWS에서 실행되는 소프트웨어를 검색하고 평가하고 구매할 수 있다.
- 인프라 제품, 비즈니스 애플리케이션, 데이터 제품,및 DevOps와 같은 여러 범주의 제품을 제공한다.
출처 : https://explore.skillbuilder.aws/learn/course/1928/play/6248/aws-cloud-practitioner-essentials-korean "AWS Cloud Practitioner Essentials"
