공동 책임 모델(Shared Responsibility Model)
100% 나옴
- 보안과 준수, 운영 및 관리는 AWS와 고객의 공동 책임이다.
: 클라우드 자체 활동은 AWS
: 클라우드 상에서의 활동은 고객 책임
- 패치 관리
- AWS는 인프라에 대한 패치를, 고객은 Iaas OS SW 패치를 책임짐
- 구성 관리
- AWS는 인프라에 대한 구성을(만드는 것 자체), 고객은 OS, DB, SW의 구성을 책임짐
- 인지 및 교육
- AWS는 AWS 직원 교육을, 고객은 자사의 직원 교육을 책임짐
WAF/Shied
시험 나올 확률 O
1. WAF(Web Application Firewall)
- 웹 공격으로부터 웹 애플리케이션이나 API를 보호하는데 도움이 되는 방화벽
- 다양한 규칙을 생성하여 트래픽을 필터링함
- ALB, API Gateway, CloudFront 등에 적용 가능
2. Shied
- 관리형 DDoS 보호 서비스
AWS Shield Standard - EC2에 기본적으로 내장되어 있기 때문에 무료로 사용 가능함
- 기본적인 DDoS 공격에 대한 보호
- 3/4계층 보호
KMS/CloudHSM
1. KMS(Key Management Service)
- 다양한 AWS 서비스에서 암호화를 위해 사용되는 Key 관리 서비스
- EBS, S3 Object 암호화 등
- 기능으로는 저장 데이터 암호화(At Rest) 와 전송 중 데이터 암호화(In Transit) 가 있음
2. CloudHSM
- 관리형 하드웨어 보안 모듈(HWM) -> 하드웨어 자체를 AWS에서 서비스해주는 것
- AWS가 프로비저닝하는 HWM을 사용하여 암호화 키를 관리
ACM(AWS Certificate Manager)
- 공인 및 사설 SSL/TLS 인증서 관리 서비스
- 인증서 생성/저장/갱신/배포 기능을 가지며 ELB, API Gateway, CloudFront에 배포 가능
- AWS 서비스에 인증서를 사용할 경우 무료임
SSM(Parameter Store&Secret Manager)
AWS 서비스들에서 사용한 key/value 형태의 정보 저장소
KMS를 활용하여 암호화 가능
- SSM Parameter Store
- 범용적인 key/value 형태의 정보 저장
- Secret Manager
- 매우 민감한 보안 정보를 저장함(RDS DB 인증서, API 키, 토큰 등)
- Password 자동 생성 및 주기를 설정하고 특정 기간 후 자동으로 변경 가능
Artifact
- AWS의 규정 준수 보고서와 온라인 계약 문서를 검색, 다운로드 할 수 있는 포털
GuardDuty
시험 나올 확률 O
- 보안 위협 탐지 서비스
- 기계학습 기반의 탐지 알고리즘 사용
- 다양한 데이터 활용(CloudTrail 이벤트 로그, Amazon VPC Flog Log, DNS 로그)
- Amazon CloudWatch Events와 통합 가능
Inspector
시험 나올 확률 O
- EC2 인스턴스에 대한 자동 보안 평가 서비스
- EC2 인스턴스의 보안 취약점 및 의도하지 않은 네트워크 접근성 분석
- Inspector Agent가 EC2 인스턴스에 설치되어야 함
EC2 대상
Macie
- 데이터 보안 및 민감 데이터 탐지, 분석 서비스
- 민감 데이터 탐지
: PII(Personally Identifiable Information)식별 - 이름, 주소, 카드번호, 주민번호 등 - 데이터 보안 분석
: 암호화 여부, 퍼블릭 접근 가능 여부 등을 지속적으로 분석
S3 대상
Config
- AWS 리소스 구성 히스토리를 기록하고 규정 준수 여부를 평가하는 서비스
- AWS 리소스 구성 히스토리 타임라인을 기록
CloudTrail vs Config
- CloudTrail : 어떤 사용자 계정이 어떤 활동을 하였는지가 중점
- Config : 어떤 리소스가 언제 어떻게 변경 되었는지가 중점
Security Hub
- 여러 계정에 대한 보안 정보를 중앙에서 통합적으로 관리하는 서비스
- 다중 계정, 다중 서비스의 보안 상태를 수집하여 통합 제공
- AWS 보안 모범 사례 검사를 자동화하여 지속적 보안 검사 및 위반 사례 보고
중앙관리형
Detective
- 잠재적인 보안 문제의 근본 원인을 분석하는 서비스
- 보안문제가 발생했을 시 다양한 로그를 기반으로 특정 시간에 발생한 로그 분석 및 로그 데이터 간의 관계 분석
: VPC Flow Log, CloudTrail, GuardDuty, Macie 등 로그 사용
: 기계학습 및 그래프 알고리즘 활용 - 분석 결과를 시각화
Abuse
- 악의적이거나 불법적인 목적으로 사용된 것으로 의심되는 AWS 리소스를 보고해주는 서비스
- AWS가 소유한 IP로 아래 악의적/불법적 활동이 있을 경우 신고됨
: 스팸
: 포트 스캐닝
: DDoS
: 멀웨어 배포
: 부적절한 콘텐츠 호스팅
Root 사용자 권한
- Root 사용자만 수행할 수 있는 작업들이 존재
: 계정 설정 변경
: 계정 종료, 회원 탈퇴
: Support 플랜(AWS에서 즉각적인 변경을 해주는 VIP 서비스)변경 및 취소
: 예약 인스턴스 마켓플레이스 판매자 등록
침투 테스트
- AWS 허용하는 서비스들에 대해서는 사전 고지 없이 보안 평가 또는 침투 테스트를 수행 가능
- 금지 활동
: Amazon Route 53 Hosted Zones를 통한 DNS zone walking
: Dos, DDoS
: 포트 플러딩, 프로토콜 플러딩 - 허용 서비스, 활동 외 테스트 이벤트는 AWS의 사전 승인 필요
: aws-security-simulatedevent@amazon.com
Cognito
- 웹/모바일 애플리케이션에 회원가입/로그인 기능을 통합하기 위한 서비스
- Amazon Cognito SDK를 활용해 단 몇 줄의 코드로 회원가입/로그인 백엔드 활성화 가능
: 수백만 사용자 가입/로그인 처리 가능
: 회원 관련 페이지 UI 제공 - Google, Facebook, Twitter 연동 가능
Backend Developer