기초 - AWS 기초개념설명

핵심 - AWS 핵심서비스사용법

Q&A - AWS 전문가들의답변

AWS 기초웨비나시리즈 | 세번째강연

2016년 1월 26일월요일 | 오후 3시

http://aws.amazon.com/ko

AWS 보안및규정준수소개

목차

1. 클라우드보안개요2. AWS 보안철학3. AWS 보안서비스4. 사용사례및 기타정보

물리적인보안 네트워크보안 시스템보안 데이터보안

심층보안

전통적인데이터센터

정적이고고정적인사일로아키텍처

클라우드컴퓨팅

On demand Pay as you go

Uniform Available

컴퓨트

스토리지

보안 확장

데이터베이스

네트워킹모니터링

메시징

워크플로우

DNS부하분산

백업CDN

탄력적이고민첩한동적인아키텍처

월요일 금요일 휴가시즌의끝

Security is Zero Job

친숙한보안모델 고객보안전문가의 검증 모든고객에게동일한혜택

PEOPLE & PROCESS

SYSTEM

NETWORK

PHYSICAL

보안에대한책임공유

AWS 기반서비스

컴퓨터 스토리지 데이터베이스 네트워킹

AWS 글로벌인프라

리전

가용영역

엣지로케이션

네트워크보안

서버보안

고객의애플리케이션 & 컨텐츠

You get to define your controls INthe Cloud

AWS takes care of the security OF the Cloud

고객 데이터보안

접근제어

보안에대한 AWS의역할

데이터센터의물리적인보안

• 다년간대규모데이터센터구축경험• 최소한의접근권한허용• 모든접근에대한로깅및감사• 명확한직무분장

보안에대한 AWS의역할

서버및네트워크보안

• 호스트운영체제보안• 인스턴스운영체제보안• 스테이트풀방화벽• IP 스푸핑공격및패킷스니핑기본차단

보안에대한 AWS의역할

스토리지보안

• 독자적인스토리지관리기능으로타인의데이터접근완벽히통제• 사용전디스크청소(Disk Wiping)• 데이터저장시고객이직접암호화적용가능• 산업표준에따른디스크폐기처리

이것이

이렇게

보안기준을지속적으로개선하기위해서모든것을구축합니다

AWS 주요인증및보증프로그램

보안에대한고객의역할

애플리케이션&컨텐츠보안에집중

• 데이터암호화• 네트워크트래픽보호• 게스트운영체제• 네트워크및방화벽구성• 가상서버, 애플리케이션,

ID 및접근관리

보안에대한고객의역할

AWS 기반서비스

컴퓨터 스토리지 데이터베이스 네트워킹

AWS 글로벌인프라

리전

가용영역

엣지로케이션

고객

• 고객의범위와노력을줄여줌

• 집중화로보다나은결과도출

• AWS의견고한기반통제를통해확보

고객 자신의 규정준수 승인

고객 자신의 인증 고객 자신의외부 감사

인프라보안 로깅모니터링 계정및접근제어 구성및취약점제어 데이터보호

SaaS

SaaS SaaS

AWS Marketplace: 네트워크/보안파트너생태계

보안과규정준수에초점을맞춘 AWS 서비스

“우리의경험을바탕으로보면, AWS 클라우드가우리의데이터센터보다심지어더안전할수있다고생각합니다”

– Tom Soderstrom, CTO, NASA JPL

가시성

클릭한번으로전체인프라보기

AWS CloudTrail 통한깊은통찰력

제어데이터가저장되는위치에대한단독

소유권한책임공유모델

감사제 3자검증 –워크로드들에관련된인증

“우리의경험을바탕으로보면, AWS 클라우드가우리의데이터센터보다더안전할수있다고

생각합니다” – Tom Soderstrom, CTO, NASA JPL

가시성시스템, 네트워크 및 감사

가시성: 보안의기본속성여러분의 데이터 센터를 보면…

한눈에 전체의 상황이 다 들어오는

것을 원합니다보통 이런 그림을 보시게 됩니다

클라우드에서는…

• 인프라 = software!

• 변경이 빈번하게 발생하고, 자동화 되며, 즉각 반영된다.

• 리소스 등이 서로 연계되어 있음.

• 셀프서비스와 민첩성.

가시성: 보안의기본속성

VPC Flow Logs 인스턴스들의모든트래픽정보관찰

• 보안 그룹의 규칙 적용 효과에대한 가시성

• 네트워크 연결 문제에 대한해결 방법 제공

• 트래픽을 분석하는 능력

VPC Flow Logs 데이터

Source IP address,Dest IP address

Source port, dest port

Packets, Bytes

VPC Flow Logs 활용

출처: https://github.com/awslabs/cloudwatch-logs-subscription-consumer/blob/master/README.md

Trusted Advisor

Trusted Advisor

Trusted Advisor

AWS Inspector

• 어플리케이션보안수준진단 (Agent 기반)

• 내장진단규칙적용• CVE (Common Vulnerabilities and Exposures) 항목

• 네트워크보안모범사례

• 인증모범사례

• 운영체제보안모범사례

• 애플리케이션보안모범사례

• 규정준수 (예:PCI DSS 3.0) 준비상태

• 보안진단결과 –가이드제공

모든작업은 API

호출로처리됨...사용하는서비스와인스턴스들이늘어남에따라…

CloudTrail은계속해서모든API 요청들에

대해신뢰성있는기록을수행…

모든이벤트들에대한추적이가능

: 누가언제어디서무엇을하려했고,

결과가어떠했는지…

AWS CloudTrail

보안 분석저장된 로그 파일들을 로그 관리 및 분석 솔루션의 입력 데이터로 사용해서, 보안 분석을수행하고 사용자 행동 패턴을 감지

AWS 자원에 대한 변경사항을 추적Amazon EC2, VPC 보안 그룹 및 EBS 볼륨과 같은 AWS 자원에 대한 생성, 수정, 및 삭제를추적

운영문제를 해결가장 최근에 변경된 사용자 환경의 자원 변경 사항을 신속하게 식별

규정준수 지원보다 쉽게 내부 정책이나 규정 기준을 증명

AWS CloudTrail로가능한사용사례

인스턴스정지관련 API(StopInstances) 호출

제어데이터, 사용자, 네트워크

컴퓨팅과스토리지의위치를고객이직접선택

12리전

AWS Identity & Access Management

AWS 계정에서누가무엇을할수있는지제어

•사용자, 그룹, 롤(Role) 및 권한•제어…•중앙집중식•잘 갖춰진 - APIs, 자원, 및 AWS 관리 콘솔

•보안…•기본적으로 안전함 (거부 규칙)•다중 사용자, 개별 보안 신원 및 권한

암호화

일반 텍스트데이터

하드웨어/

소프트웨어암호화된데이터

스토리지에 저장된암호화된 데이터

암호화된데이터 키

대칭형데이터 키

마스터 키대칭형데이터 키

? 키계층

?

다양한키관리옵션DIY

AWS Marketplace Partner Solution

AWS CloudHSMAWS Key Management

Service

키생성및저장장소 Your network or in AWS Your network or in AWS In AWS, on an HSM that you control

AWS

키가사용되는위치 Your network or your EC2 instance

Your network or your EC2 instance

AWS or your applications AWS services or your applications

키사용을제어하는방법 Config files, Vendor-specific management

Vendor-specific management

Customer code + SafenetAPIs

Policy you define; enforced in AWS

성능/확장에대한책임 You You You AWS

AWS 서비스와의통합 Limited Limited Limited Yes

가격모델 Variable Per hour/per year Per hour Per key/usage

AWS Key Management Service

• 암호화 키의 생성, 제어 및 사용을 쉽게 할 수 있도록 지원하는관리형 서비스

• Amazon EBS, Amazon S3, Amazon RDS 및 Amazon Redshift와 같은 AWS 서비스와 AWS SDK에 통합

• 규정 준수 활동에 도움을 줄 수 있는 감사 로그를 제공하기위해 AWS CloudTrail 과 통합

AWS Key Management ServiceAWS IAM 콘솔과통합

AWS Key Management ServiceAmazon EBS와통합

AWS Key Management ServiceAmazon S3와통합

AWS Key Management ServiceAmazon Redshift와통합

언제어느곳에서도암호화

AWS CloudTrail

AWS IAM

EBS

RDS

Amazon Redshift

S3

Glacier

전송시암호화

그리고저장시암호화

전면감사

완전관리형키

제한된접근

AWS 내에격리된가상사설네트워크생성가용영역

A

가용영역

B

AWS Virtual Private Cloud

• 논리적으로 분리된 일종의

가상 사설망 생성

• VPC상에서 사설 IP대역 선택

• 적절하게 서브넷팅하고 EC2

인스턴스를 배치

AWS network security

• AWS 네트워크는 IP 스푸핑

및 레이어 2 공격차단

• 소유하지 않은

EC2인스턴스에 대한 스니핑

불가

• 외부와의 모든 라우팅과

연결을 통제

애플리케이션에맞도록서브넷분리

앱

DB웹

웹

각서브넷에네트워크접근제어목록(NACL)사용

앱

웹

웹

허가

DB모든트래픽거부

Availability Zone ‘A’

Availability Zone ‘B’

Subnet ACL예시

각서브넷에네트워크접근제어목록(NACL)사용

각 EC2인스턴스에보안그룹방화벽사용

앱

포트443

DB웹

웹 포트 443

v보안그룹 규칙

적용포인트 : 인바운드/아웃 바운

Protocol : 모든 인터넷 프로토콜 지원

IP/Port 에 대한 접속 허용/차단

Stateful 방화벽

보안그룹

각 EC2인스턴스에보안그룹방화벽사용

계층적인 보안그룹 규칙 (Rule) 동적으로 생성되는 규칙

보안그룹 멤버쉽 에 따름

계층적인 네트워크 구조 생성TCP 22

163.128.25.32/32

TCP 800.0.0.0/0

TCP 22“ ”

TCP 8080 “ ”TCP 22

“ ”

TCP 3306 “ ”TCP 22 “ ”

각 EC2인스턴스에보안그룹방화벽사용

163.128.0.0/16

서브넷에대한라우팅제어 (인터넷 or 고객DC)

프라이빗

앱

On-Prem 복제

DB

퍼블릭

프라이빗

웹

웹

안전하게 VPC간리소스공유

디지털웹

싸이트

빅데이터분석

기업용앱

• 사설 VPC들및각 VPC

간의특정서브넷피어사이에트래픽라우팅

• 심지어다른 AWS 계정과도가능

범용서비스

AWS

VPC 피어링

기존데이터센터와안전하게연결

디지털웹

싸이트

빅데이터분석

기업용앱개발/

테스트 AWS Direct

Connect고객 DC

AWS Internet

VPN

고객 AWS환경

감사컴플라이언스, 변경 내역, 로그

AWS Config

•AWS 리소스에 대한 인벤토리

•신규 또는 삭제된 리소스에 대한 인식

•지속적으로 구성정보 변경을 기록

•구성이 변경되면 통지

정규화변경 내역 기록리소스변경

AWS Config

전달

스트림

스냅샷(ex. 2014-11-05)

AWS Config

APIs

저장

이력

보안 분석: 나는안전한가요?

규정 감사: 어디에증거가있나요?

변경 관리: 이변경에대한영향은무엇이될까요?

문제 해결: 무엇이변경되었나요?

AWS Config로가능한사용사례

Config Rules

• 변경된 내역에 대해 검증하는 규칙 설정

• AWS가 제공하는 내장된 규칙 사용

• AWS Lambda를 활용한 커스텀 규칙 지원

• 지속적인 진단수행을 자동화

• 컴플라이언스 시각화나 위험한 변경을 식별하기 위해대쉬보드 제공.

AWS Config & Config Rules

AWS Config

APIs

정규화변경 내역 기록리소스변경

전달저장

스트림

스냅샷(ex. 2014-11-05)

이력

CloudWatch Logs 로 모든 것을 모니터링

Amazon CloudWatch Logs: EC2 인스턴스나 다른 자원에

대해서 시스템, 애플리케이션 및 커스텀 로그를 모니터링

할 수 있음. 예를들면;

웹 서버의 HTTP 로그 파일을 모니터링하고 에러(404 등)를

식벽하기 위해 CloudWatch Metrics의 필터를 사용하여

지정된 기간 내에 발생 횟수를 카운트

404 에러의 횟수가 사전에 설정된 임계치에 도달하게 되면

CloudWatch Alarms가 통지를 할 수 있음.

=> 문제의 원인을 파악하기 위해 자동으로 티켓을

생성하도록 사용 가능

AWS 보안은…을제공합니다

더나은가시성더나은제어더나은감사기능

NASDAQ 암호화기반의데이터분석

• 구내에 HSM을구축• 암호화키를 HSM에서관리• S3의데이터암호화• EMR 이용시에만암호해독

S3 EMR HSM

암호화된데이터S3에저장

암호화된데이터EMR로처리

HSM에서온암호화키계층

S3암호화클라이언트

메가마트

• VPC 및관련구성요소활용• VPN을이용해안전하게

IDC와연결• 파트너솔루션을이용한

DB 암호화 & 접근제어

참고: AWS Summit Seoul 2015 –국내엔터프라이즈클라우드도입구축사례및고려사항

AWS 보안 센터다양한 보안 정보 및 문서를 제공하는 AWS 보안 포털: http://aws.amazon.com/security

• 보안 프로세스 소개• AWS 리스크 및 컴플라이언• AWS 보안 베스트 프랙티스

보안 백서

보안 리소스 취약점 리포팅

침해 테스팅신청 절차

수상한 이메일신고

보안 게시판

보안 리소스 및 블로그

보안 리소스, 교육, 도구들에 대한 광범위한 소개:

http://aws.amazon.com/security/security-resources/

개발자정보

기고문 +

튜토리얼보안 제품 백서

AWS보안 및 컴플라이언스와 관련된 최신 정보를 제공:

http://blogs.aws.amazon.com/security/

AWS 보안 블로그

AWS 보안 리소스

보안과 규정 준수가클라우드를 도입하는중요한 이유입니다

온라인 자습 및 실습

다양한 온라인 강의자료 및 실습을 통해

AWS에 대한 기초적인사용법 및 활용 방법을익히실 수 있습니다.

강의식 교육

AWS 전문 강사가 진행하는강의를 통해 AWS 클라우드로고가용성, 비용 효율성을 갖춘안전한 애플리케이션을 만드는

방법을 알아보세요. 아키텍쳐 설계및 구현에 대한 다양한 오프라인

강의가 개설되어 있습니다.

인증 시험을 통해클라우드에 대한 자신의전문 지식 및 경험을공인받고 개발 경력을제시할 수 있습니다.

AWS 공인 자격증

http://aws.amazon.com/ko/training

다양한 교육 프로그램

AWS 기초 웨비나 시리즈에 참여해 주셔서 감사합니다!

이번 웨비나가 여러분의 궁금증 해소에 도움이 되었길 바랍니다.이후 이어질 설문 조사를 통해 오늘 웨비나에 대한 의견을 알려주세요.

aws-korea-marketing@amazon.com

http://twitter.com/AWSKoreahttp://facebook.com/AmazonWebServices.kohttp://youtube.com/user/AWSKoreahttp://slideshare.net/AWSKorea