[AWS] Security

Module 6 Security

• 공동 책임 모델의 이점을 설명할 수 있다.
• Multi-Factor Authentication(MFA)을 설명할 수 있다.
• AWS Identity and Acess Management(IAM) 보안 수준을 구별할 수 있다.
• AWS Organizations의 주요 이점을 설명할 수 있다.
• 보안 정책을 기본 수준에서 설명할 수 있다.
• AWS를 사용한 규정 준수의 이점을 요약할 수 있다.
• 추가 AWS 보안 서비스를 기본 수준에서 설명할 수 있다.

공동 책임 모델

AWS 클라우드 리소스 보안에 대한 책임을 고객과 AWS가 공동으로 진다.

• 고객 : 클라우드 내부의 보안, 고객은 클라우드 내에서 생성하고 배치하는 모든 것의 보안을 책임진다. AWS에 저장하기로 선택한 콘텐츠, 사용하기로한 서비스, 해당 콘텐츠에 엑세스할 수 있는 사용자 등과 같은 것은 고객이 관리해야 한다.
• AWS : 클라우드 자체의 보안, 인프라의 모든 계충에서 구성 요소를 운영, 관리 및 제어한다. 호스트 운영체제, 가상화 계층, 심지어 서비스가 작동하는 데이터 센터의 물리적 보안과 같은 영역도 포함된다. AWS 리전, 가용 영역 및 엣지 로케이션도 포함된다.
• 데이터 센터의 물리적 보안
• 하드웨어 및 소프트웨어
• 인프라
• 네트워크 인프라
• 가상화 인프라

사용자 권한 및 엑세스

AWS Identity and Access Management(IAM) - AWS 서비스와 리소스에 대한 엑세스를 안전한게 관리할 수 있다.

IAM은 회사의 고유한 운영 및 보안 요구사항에 따라 엑세스 권한을 구성할 수 있는 유연성을 제공한다. 이 작업을 수행하기 위해 다음과 같은 IAM 기능을 조합하여 사용한다.

• IAM 사용자, 그룹 및 역할
• IAM 정책
• Multi-Factor Authentication

AWS 계정 루트 사용자 : AWS 계정을 처음 만들면, 루트 사용자라고 하는 자격 증명으로 시작한다.

루트 사용자는 AWS 계정을 만들 때 사용한 이메일 주소 및 암호로 로그인하여 엑세스한다. 루트 사용자는 커피숍 점주와 비슷한 것으로 생각할 수 있는데, 이 사용자는 계정의 모든 AWS 서비스 및 리소스에 대한 전체 엑세스 권한을 가진다.

• 일반적으로 루트사용자 사용은 비추천한다. 대신에 루트 사용자를 사용하여 첫 번째 IAM 사용자를 생성하고, 이 사용자에게 다른 사용자를 생성할 수 있는 권한을 준다. 그 다음 다른 IAM 사용자를 생성하고 AWS 전체에서 일상 작업을 수행할 때, 이러한 자격 증명에 엑세스하자. 루트 사용자만이 할 수 있는 제한된 작업에 대해서만 루트 사용자를 사용하자.

IAM 사용자 - 사용자가 AWS에서 생성하는 자격증명이다. 이 사용자는 AWS 서비스 및 리소스와 상호작용하는 사람 또는 어플리케이션을 나타낸다. 이 사용자는 이름과 자격 증명으로 구성된다.

기본적으로 AWS에서 새 IAM 사용자를 생성하면, 해당 사용자와 연결된 권한이 없다. IAM 사용자가 AWS에서 Amazon EC2 인스턴스 시작, Amazon S3 버킷 생성 등 특정 작업을 수행할 수 있도록 허용하려면 IAM 사용자에게 필요한 권한을 부여해야 한다.

• AWS에 엑세스해야 하는 각 사용자마다 개별 IAM 사용자를 생성하는 것이 좋다.

IAM 정책 - AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서이다. 이를 사용하면 사용자가 리소스에 엑세스할 수 있는 수준을 사용자 지정할 수 있다. 예를 들어 사용자가 AWS 게정 내의 모든 Amazon S3 버킷에 엑세스하거나 특정 버킷에만 엑세스하도록 허용할 수 있다.

• 권한을 부여할 때, 최소 권한 원칙을 따르자. 이 원칙을 따르면 사용자 또는 역할이 해당 작업을 수행하는데 필요한 것보다 많은 권한을 갖는 것을 방지할 수 있다.

IAM 그룹 - IAM 사용자의 모음이다. 그룹에 정책을 할당하면, 해당 그룹의 모든 사용자에게 정책에 지정된 권한이 부여된다.

IAM 역할 - 임시로 권한에 엑세스하기 위해 받을 수 있는 자격증명이다. IAM 사용자, 어플리케이션 또는 서비스가 IAM 역할을 받으려면 먼저 해당 역할로 전환할 수 있는 권한을 받아야 한다. IAM 역할을 받는다는 것은 이전 역할에 지정된 모든 권한을 포기하고 새 역할에 지정된 권한을 받는 것이다.

• IAM 역할은 서비스 또는 리소스에 대한 엑세스 권한을 장기적이 아니라 일시적으로 부여해야하는 상황에 이상적이다.

Multi-Factor Authentication - 신원을 확인하기 위해 여러가지 정보를 제공하도록 요구하는 웹사이트에 로그인 할 때, 암호를 입력한 다음에 휴대폰으로 전송된 난수 코드와 같은 두 번째 인증 형식을 제공해야할 수도 있다. IAM에서 MFA는 AWS 계정에 추가 보안 계층을 제공한다.

AWS Organizations

AWS Orgnizatios - 회사에 여러 AWS 계정이 있다고 하자. 이 서비스를 이용하여 한 곳에서 여러 AWS 계정을 통합하고 관리할 수 있다.

조직을 생성하면 AWS Organizations가 조직의 모든 계정에 대한 상위 컨테이너 루트를 자동으로 생성한다.

이 서비스에서는 서비스 제어 정책(Service Control Policy)를 사용하여 조직의 게정에 대한 권한을 한 곳에서 제어할 수 있다. SCP를 사용하면 각 계정의 사용자 및 역할이 엑세스할 수 있는 AWS 서비스, 리소스 및 개별 API 작업을 제한할 수 있다.

SCP는 개별 맴버 계정과 조직 단위에 적용 가능

• 통합 결제는 AWS Organizations의 또다른 기능이다. 통합 결제는 이후 모듈에서 정리한다.

조직 단위 - AWS Organizations에서는 계정을 조직단위(Organizations Unit)으로 그룹화하여 비슷한 비즈니스 또는 보안 요구 사항이 있는 계정을 손쉽게 관리할 수 있다.

OU에 정책을 적용하면 OU의 모든 계정이 정책에 지정된 권한을 자동으로 상속한다.

개별 계정을 OU로 구성하면 특정 보안 요구 사항이 있는 워크로드 또는 어플리케이션을 보다 간편하게 격리할 수 있다.

Ex. 회사에 특정 규정 요구 사항을 충족하는 AWS 서비스에만 엑세스할 수 있는 게정이 있다면, 이러한 계정을 한 OU에 배치할 수 있다. 그런 다음에 규제 요구사항을 충족하지 않는 다른 모든 AWS 서비스에 대한 엑세스를 차단하는 정책을 해당 OU에 연결할 수 있다.

규정 준수

AWS Artifact - 회사가 속한 업종에 따라 특정 표준을 준수해야 할 수 있다. 감사 또는 검사는 회사가 이러한 표준을 충족했는지 확인하는 절차이다.

AWS Artifact는 AWS 보안 및 규정 준수 보고서 및 일부 온라인 계약에 대한 온디맨드 엑세스를 제공하는 서비스이다. AWS Artifact Agreements 및 AWS Artifact Reports의 두 가지 기본 세션으로 구성된다.

AWS Artifact Agreements - 회사에서 AWS 서비스 전체에 특정 유형의 정보를 사용하기 위해 AWS와 계약을 체결해야 한다고 가정하자. AWS는 AWS Artifact Agreements를 통해 이를 수행할 수 있다. 이 서비스에서는 개별 계정 및 조직 내 모든 계정에 대한 계약을 검토, 수락 및 관리할 수 있다. HIPAA(미국 건강 보험 양도 및 책임에 관한 법)와 같은 특정 규정의 적용을 받는 고객의 요구사항을 해결하기 위한 다양한 유형의 계약이 제공된다.

AWS Artifact Reports - 회사의 개발 팀원 한 명이 어플리케이션을 빌드하는 도중에 특정 규제 표준을 준수하기 위한 책임에 대한 추가 정보가 필요하다고 가정해보자. AWS Artifact Reports에서 이 정보에 엑세스하도록 조언할 수 있다.

고객 규정 준수 센터 - AWS 규정 준수에 대한 정보가 포함되 었다.

• 주요 규정 준수 질문에 대한 AWS 답변
• AWS 위험 및 규정 준수 개요
• 보안 감사 체크리스트

서비스 거부 공격

서비스 거부(DoS) 공격 - 웹 사이트 또는 어플리케이션을 이용할 수 없게 만들려는 의도적인 시도이다.

예를 들어 공격자는 목표로 삼은 웹 사이트 또는 어플리케이션이 과부하가 걸려 더 이상 응답할 수 없을때까지 네트워크 트래픽을 사용하게 만든다.

분산 서비스 거부(DDoS) 공격 - 여러 소스를 사용하여 웹 사이트 또는 어플리케이션을 사용할 수 없ㅔ 만드는 공격이다. 공격자는 그룹일 수도 있고, 한 명일 수도 있다. 단일 공격자의 경우 감염된 여러 컴퓨터(봇)을 사용하여 과도한 트래픽을 전송할 수 있다.

AWS Shield - DoS 및 DDoS 공격이 어플리케이션에 미치는 영향을 최소화하기 위해 사용하는 서비스

• AWS Shield Standard: 모든 AWS 고객을 자동으로 보호하는 무료 서비스. AWS 리소스를 가장 자주 발생하는 일반적인 DDoS 공격으로부터 보호한다. 네트워크 트래픽이 들어오면 다양한 분석 기법을 사용하여 실시간으로 악성 트래픽을 탐지하고 자동으로 완화한다.
• AWS Shield Advanced: 상세한 공격 진단 및 정교한 DDoS 공격을 탐지하고 완화할 수 있는 기능을 제공하는 유료 서비스. Amazon CloudFront, Route 53, Elastic Load Balancing과 같은 다른 서비스와도 통합된다. 복잡한 DDoS 공격을 완화하기 위한 사용자 지정 규칙을 작성하여 AWS Shield를 AWS WAF와 통합할 수 있다.

추가 보안 서비스

AWS Key Management Service(AWS KMS) - 암호화 키를 사용하여 암호화 작업을 수행할 수 있다. 암호화 키는 데이터 잠금 및 잠금 해제에 사용되는 임의의 숫자 문자열이다. AWS KMS를 사용하면 키에 필요한 엑세스 제어를 특정 수준으로 선택할 수 있다.

AWS WAF - 웹 어플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 방화벽이다. CloudFront 및 Application Load Balancer와 함께 작동한다. 네트워크 엑세스 제어목록과 비슷한 방식으로 작동하여 트래픽을 차단하거나 허용한다. 하지만 AWS 리소스를 보호하기 위해 웹 ACL(엑세스 제어 목록)을 사용한다.

Ex. 여러 IP 주소에서 악의적인 네트워크 요청이 있을 때, 지정한 IP 주소에서 나온 요청을 제어한 모든 요청을 허용하도록 웹 ACL을 구성한다.

AWS WAF는 요청이 들어오면, 웹 ACL에서 구성한 규칙목록을 확인한다. 차단 IP가 아니면 엑세스가 허용된다.

Amazon Inspector - 자동화된 보안 평가를 실행하여 앱의 보안 및 규정 준수를 개선할 수 있는 서비스

Amazon GuardDuty - 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스. 이 서비스는 AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별한다.

모듈 6 요약

• 공동 책임 모델
• AWS Identity and Access Management의 기능
• AWS Organizaitons에서 여러 계정을 관리하는 방법
• AWS 규정 준수 리소스
• 애플리케이션 보안 및 암호화를 위한 AWS 서비스