여기에서는 AWS 공동 책임 모델을 소개할 것이다.
AWS 공동 책임 모델
보안과 규정 준수는 AWS와 AWS 사용자의 공동 책임이다. 이 공동 책임 모델은 사용자의 운영 부담을 덜어주기 위해 만들어졌다. 또한 전체 보안의 일부 측면에 대한 책임을 사용자에게 맡김으로써 사용자가 유연하게 AWS에 솔루션을 배포하고 이러한 배포를 제어할 수 있도록 한다. 책임의 주체와 대상의 차이를 나타내기 위해 클라우드 “자체”의 보안과 클라우드 “내부”의 보안이라는 표현이 사용된다.
AWS 보안 책임
- 소프트웨어 가상화 계층부터 AWS 서비스가 운영되는 시설의 물리적 보안에 이르기까지 구성 요소를 운영, 관리 및 제어
- AWS 클라우드에 제공된 모든 서비스를 실행하는 인프라 보호 책임
- 이러한 인프라는 AWS 클라우드 서비스를 실행하는 하드웨어, 소프트웨어, 네트워킹 및 시설로 구성된다.
AWS 사용자 보안 책임
- 유휴 데이터와 전송 중 데이터 암호화 책임
- 네트워크에 보안을 구성하고 보안 자격 증명 및 로그인을 안전하게 관리할 책임
- 보안 그룹의 구성과 시작하는 컴퓨팅 인스턴스(업데이트 및 보안 패치 포함)에서 실행되는 운영 체제의 구성에 대한 책임
AWS의 책임: 클라우드의 보안
AWS 공동 책임 모델에서 AWS는 베어 메탈 호스트 운영체제 및 하이퍼바이저 가상화 계층의 구성 요소와 함께 서비스가 운영되는 시설의 물리적인 보안을 운영하고, 관리하고, 제어한다. 즉, AWS는 AWS 클라우드에 제공된 모든 서비스를 실행하는 글로벌 인프라를 보호할 책임이 있다.
글로벌 인프라에는 AWS 리전, 가용영역 및 엣지 로케이션이 포함되며, AWS는 다음과 같은 리소스를 호스팅하는 물리적 인프라를 책임진다.
- 데이터 센터의 물리적 보안: 필요 기반의 통제된 출입 관리, 공개되지 않는 시설에 위치, 연중무휴 24시간 보안 경비, 이중 인증, 액세스 로깅 및 검토, 비디오 감시, 디스크 자기 소거 및 폐기
- 하드웨어 인프라: AWS 서비스에서 사용하는 서버, 스토리지 디바이스 및 기타 어플라이언스 등
- 소프트웨어 인프라: 운영체제, 서비스 애플리케이션 및 가상화 소프트웨어 호스팅
- 네트워킹 인프라: 라우터, 스위치, 로드밸런서, 방화벽 및 케이블 등 AWS는 외부 경계에서 네트워크를 지속적으로 모니터링하고, 액세스 포인트를 보호하며, 침입 탐지 기능이 있는 이중화된 인프라 제공
사용자의 책임: 클라우드에서의 보안
AWS 사용자는 AWS 서비스를 사용하여 구현한 것과 AWS에 연결되는 애플리케이션에 대한 책임이 있다. 수행해야 하는 보안 단계는 사용하는 서비스와 시스템의 복잡성에 따라 다르다.
사용자의 책임에는 인스턴스 운영체제의 선택 및 보안, AWS 리소스에서 시작되는 애플리케이션 보안, 보안 그룹 구성, 방화벽 구성, 네트워크 구성, 보안 계정 관리가 포함된다.
AWS 서비스를 사용할 때 사용자의 콘텐츠는 모두 사용자가 제어한다. 사용자는 다음과 같은 중요한 콘텐츠 보안 요구사항을 관리할 책임이 있다.
- AWS에 저장하기로 선택한 콘텐츠
- 콘텐츠에 사용되는 AWS 서비스
- 콘텐츠가 저장되는 국가
- 콘텐츠의 형식 및 구조와 마스킹, 익명화 또는 암호화 여부
- 콘텐츠에 액세스할 수 있는 사용자 및 이러한 액세스 권한을 부여, 관리, 취소하는 방법
자체 데이터, 환경, 애플리케이션, IAM 구성 및 운영체제를 보호하기 위해 구현하기로 선택한 보안에 대한 제어 권한은 사용자에게 있다.
서비스 특성 및 보안 책임
IaaS(서비스형 인프라)
- 클라우드 IT의 기본적인 구성 요소를 제공하는 서비스를 나타내며 일반적으로 네트워킹, 컴퓨터(가상 또는 전용 하드웨어) 및 데이터 스토리지 공간을 구성할 수 있는 액세스 권한이 포함된다.
- 사용자에게 IT 리소스에 대한 최고 수준의 유연성과 관리 제어를 제공
- 현재의 많은 IT 부서에서 사용되는 기존의 온프레미스 컴퓨팅 리소스와 가장 유사
- 필요한 모든 보안 구성과 관리 작업을 사용자가 해야한다.
- 액세스 제어를 사용자가 구성해야 한다.
PaaS(서비스형 플랫폼)
- 사용자가 기반 인프라(하드웨어, 운영체제 등)를 관리할 필요가 없는 서비스
- 리소스조달, 용량계획, 소프트웨어 유지 관리 또는 패치에 대해 걱정할 필요가 없다.
- 인프라 계층, 운영체제 및 플랫폼을 AWS가 운영하기 때문에 운영체제 및 데이터베이스 패치 적용, 방화벽 구성 및 재해 복구와 같은 기본적인 보안 작업을 AWS가 처리
- 즉, 사용자는 코드 또는 데이터 관리에 집중할 수 있음
SaaS(서비스형 소프트웨어)
- 일반적으로 웹 브라우저, 모바일 앱 또는 API(애플리케이션 프로그래밍 인터페이스)를 통해 액세스할 수 있는 중앙 호스팅 소프트웨어 제공 서비스
- 일반적으로 구독 또는 종량과금제로 라이센스 부여
- 사용자는 서비스를 지원하는 인프라를 관리할 필요가 없다.
- AWS Trusted Advisor, AWS Shield 및 Amazon Chime 같은 일부 AWS 서비스는 서비스 특성을 고려할 때 SaaS 오퍼링 범주에 포함될 수 있다.
- AWS Trusted Advisor: AWS 환경을 분석한 후 AWS 모범 사례에 따라 리소스를 프로비저닝하는데 유용한 실시간 지침과 권장 사항을 제공하는 온라인 도구
- AWS Shield: AWS에서 실행되는 애플리케이션을 보호하는 관리형 DDoS(Distributed Denial of Service) 방어 서비스
- Amazon Chime: 단일 애플리케이션에서 조직 내/외부의 회의, 채팅 및 비즈니스 통화 기능을 사용할 수 있는 커뮤니케이션 서비스