쉽게 알아보는 AWS 클라우드 보안

목 차

• 클라우드 컴플라이언스와 자동화(Automation)

• 새로 추가된 보안 서비스

• 확장(Scalability) 가능한 보안

Evolution“Cloud will account for 92 percent of

data center traffic by 2020”

- Global Cloud Index (GCI) Forecast

아마존로봇기반배송예측시스템

• 물류 순환 속도:60~75분 ▶ 15분

• 재고 공간: 50% ↑• 운영비용: 약 20%↓

AWS ComplianceCare deeply about data security

We work to get this right for customers

데이터 소유권 (Data Ownership)

…AWS 모든 리전은 지리적으로 격리되도록 디자인 되어있습니다. Isolated by Design

Data is not replicated

Customers always own their data

…고객이 AWS에 요청하지 않는한, 어떠한 경우에도 데이터를 다른 리전에 복제하지 않습니다.

…고객만이 데이터를 소유하고, 암호화하고, 이동시키고, 지울수 있습니다.

…고객이 자신의 데이터를 어디에 저장될지 선택합니다.Where to place their data

AWS는주요 규제/표준/모범사례를 준수합니다.

90+ services

7,710 Audit Artifacts

2,670 Controls

3,030 Audit Requirements

보안 기준을 지속적으로 개선하기 위해서 모든 것을 구축합니다

컴플라이언스 – AWS Artifact

Self-Service• SOC• PCI• ISO

컴플라이언스를 보다쉽게만들어 드립니다.AWS SOLUTION: Marketplace Program – Allgress

컴플라이언스를 보다쉽게만들어 드립니다.AWS SOLUTION: Marketplace Program – Allgress

인프라보호 로깅모니터링 구성및취약점제어 데이터보호

aws.amazon.com/mp/security

계정및접근제어

Deep Security-as-a-Service

VM-Series Next-Generation Firewall

Bundle 2

vSEC

Web Application Firewall

Unified Threat Management 9

FortiGate-VM

SecureSphere WAF

CloudInsight

Security Platform (ESP) for AWS

SecOps

Log Management & Analytics

Enterprise

Cost & Security Management

DataControl

Transparent Encryption for AWS

SafeNet ProtectV

Identity & Access Management or AWS

Security Manager

OneLogin for AWS

Identity Management for the Cloud

One-click launch Ready-to-run on AWS Pay only for what you use

필요에따라네트워크/보안관련다양한솔루션들을선택하실수있습니다.

Amazon S3 AWS Lambda

Amazon CloudWatch

AWS CloudTrail

컴플라이언스를 보다쉽게만들어 드립니다.

“AWS와 긴밀한 협조하에보안 모델을 개발하여, 우리 자체데이터센터에서 하는 것 보다

더 안전하게 퍼블릭 클라우드를 운영할 수있게 되었습니다”

– Rob Alexander, CIO, Capital One

더 나은 가시성(네트워크, 시스템, 감사)

AWS Trusted Advisor Security

AWS Inspector

• Agent 기반 - 어플리케이션 보안 수준 진단

• 보안 진단 결과 – 가이드 제공

• API를 통한 자동화

• Rule Package• CVE (common vulnerabilities and exposures) – 수천개 항목

• Network security best practices

• Authentication best practices

• Operating system security best practices

• Application security best practices

더 나은 제어(데이터, 사용자, 네트워크)

퍼스트 클래스 보안 및 규정준수는암호화로 시작됩니다.

(그리고 끝나지 않습니다!)

Encryption - 전송중 / 저장시암호화

자세한 정보가 담긴 백서,“Securing Data at Rest with Encryption”.

전송 중 암호화

HTTPS

SSL/TLS

SSH

VPN

Object

저장 시 암호화

Object

Database

Filesystem

Disk

AWS KMS - 암호화키 생성/보관/관리Customer Master

Key(s)

Data Key 1

Amazon S3 Object

Amazon EBS Volume

Amazon Redshift Cluster

Data Key 2 Data Key 3 Data Key 4

• 암호화키를 안전하게 생성/보관/관리 해주는 관리형서비스

• 중앙 집중 암호화 키 관리:

EBS S3 Redshift AWS SDK

AWS CloudTrail

자세한 내용을 담고 있는 백서: KMS Cryptographic Details.

AWS Key Management ServiceIntegrated with Amazon EBS

AWS Certificate Manager (ACM)

• SSL/TLS 인증서를 손쉽게 생성, 관리, 적용 시켜주는 서비스

• 인증서를 쉽고 빠르게 생성 및 웹 사이트 적용

• ACM 제공 인증서는 “Managed” 로 자동으로 인증서 갱신

• RSA 2048 과 SHA-256 알고리즘으로 ELB나 CloudFront에

연동되는 무료 서비스

* CF Distribution 적용시 리전 제약 없음

USER에 대한 더 나은 제어

AWS Identity and Access Management (IAM) AWS서비스와 리소스에 대한 안전한 접근 통제

사용자 이름 /사용자

사용자 그룹관리

중앙화된 접근제어 관리

• 사용자, 그룹, 롤(Role) 및 권한• 제어

• 중앙집중식• 잘 갖춰진 – APIs, 자원 및 AWS 관리 콘솔

• 보안• 기본적으로 안전함(거부 규칙)• 다중 사용자, 개별 보안 신원 및 권한

계정에서 누가 무엇을 할 수 있는지 제어

NETWORK에 대한 더 나은 제어

AWS Cloud 내에격리된 사설 네트워크를 생성

AWS WAF웹방화벽

Good users

Bad guys

AWS WAF region

Amazon

CloudFront

AWS WAF

AWS ELB (External / Internal) 모두에서 WAF Rule 설정 가능

CloudFront를 쓰지 않는 고객 및 CF를 경유하지 않는 서비스에 적용

* 지원리전: Virginia, Oregon, Tokyo, Ireland

• AWS 통합• DDoS protection

without infrastructure changes

• 합리적 비용• Don’t force

unnecessary trade-offs between cost and availability

• 유연함• Customize

protections for your applications

무중단 탐색 및 완화Minimize impact on application latency

Standard Protection Advanced Protection

AWS Shield관리형 DDoS 보호 서비스

• 일반적인 DDoS공격에 대한 보호 및

AWS상에서 DDoS 공격에 가장 잘 견

딜수 있는 아키텍쳐를 구성하기 위한

Best practice 및 서비스에 대한 접근

• 더 크고 복잡한 공격에 대응하기 위한 추가

적인 보호를 제공하며, 공격에 대한 가시성

제공 및 공격으로 인한 AWS 사용 비용 보호,

L7 공격 보호 및 복잡한 공격들에 대한 24x7

의 DDoS 전문 대응팀 지원

Standard Protection Advanced Protection

AWS Shield관리형 DDoS 보호 서비스

지원리전: Virginia, Oregon, Tokyo, Ireland

더 나은 감사기능(컴플라이언스, 히스토리, 로그)

But what does a jellyfish have to do with compliance?

감사 증적

• 많은 수의 컴플라이언스

감사작업에서 임의 시간에

시스템상태에 대한 접근을 필요 (i.e.,

PCI, HIPAA)

• 모든 리소스와 그것들의 구성정보에

대한 완벽한 인벤토리는 어떤

순간에도 활용 가능해야 한다.

모든 작업은 API콜로 처리됨...

사용하는 서비스와인스턴스들이 늘어

남에 따라 …

CloudTrail은계속해서 모든API 요청들에

대해 신뢰성 있는기록을 수행…

AWS CloudTrailAWS상의 모든 관리작업에 대한 로깅

AWS ConfigAWS 리소스에 대한 인벤토리 관리와 구성정보 변경관리 및 통보(AWS SNS)

변경 관리감사

컴플라이언스보안 분석 Troubleshooting Discovery

보안 분석: 나는 안전한가요?

규정 감사: 어디에 증거가 있나요?

변경 관리: 이 변경에 대한 영향은?

문제 해결: 무엇이 변경되었나요?

AWS Config Relationships

AWS 리소스에 대한 인벤토리 관리와 구성정보 변경관리 및 통보(AWS SNS)

Resource Relationship Related Resource

Customer Gateway is attached to VPN Connection

Elastic IP (EIP) is attached to Network Interface

is attached to Instance

Instance contains Network Interface

is attached to Elastic IP (EIP)

is contained in Route Table

is associated with Security Group

is contained in Subnet

is attached to Volume

is contained in Virtual Private Cloud (VPC)

Internet Gateway is attached to Virtual Private Cloud (VPC)

AWS Config

AWS Config Rules

• 변경된 내역에 대해 검증하는 규칙 설정

• AWS가 제공하는 내장된 규칙 사용

• AWS Lambda를 활용한 커스텀 규칙 지원

• 지속적인 진단수행을 자동화

• 컴플라이언스 시각과나 위험한 변경을 식별하기 위해 대쉬보드 제공

AWS Config Rules

AWS Config Rules

AWS Service Catalog

• 사용이 승인된 IT 서비스 카탈로그를 생성하고 관리

VM 이미지, 서버, 소프트웨어, 데이터베이스

• 배포된 IT 서비스를 중앙에서 관리

• 일관된 거버넌스를 달성하고 규정 준수 요건을 충족하는 도움

• 기업 표준 규정 준수 보장

• 직원이 승인된 IT 서비스를 신속하게 검색 및 배포하도록 지원

Portfolio 생성

제약사항 추가및 접근 허용

1

4

5

관리자포트폴리오(Portfolio)

사용자

Products 검색(Browse)

6Products 생성(Launch )

AWS 클라우드포메이션템플릿

Product

생성3Template

작성(Authors)2

ProductX ProductY ProductZ

7

스택(Stacks)

배포

이벤트(Events) 전송이벤트(Events) 전송

88

사용자 서비스 생성및 접근 허용

서비스를 찾고생성하기 위한개인화된 포털

사용

AWS Service Catalog

AWS 리소스 생성 및 관리용셀프서비스 포털

49

더 이상 보안은클라우드 도입을 가로막는

걸림돌이 아닙니다!

사례 연구 : 암호화 기반의 빅 데이터 분석

What Nasdaq 요구사항• 기존 데이터웨어 하우스의 저렴하게 교체• 비용은 줄이고, 데이터 용량 및 처리는 증대

왜 AWS (특히 아마존 Redshift)를 선택• 보안 및 규정 준수 요구 사항을 충족• 현재 전제된 기능을 희생하지 않고 비용을 개선

기대효과• 아마존 Redshift에 하루 평균 데이터의 55 억행 처리

가능 (2014년 10월의 피크날, 데이터의 140 억행 처리)• 회사 내 여러 부서에서 데이터를 접근 및 분석, 처리가

가능한 환경 구현

"나스닥 그룹은 클라우드도입 이후 아마존Redshift를 사용하기때문에 매우 만족하고있다. 현재, 매일 우리가아마존 Redshift에 55 억행 데이터가 처리 되고있습니다.”

-- Nate Simmons, Principal Architect

http://aws.amazon.com/cn/solutions/case-studies/nasdaq-finqloud/http://aws.amazon.com/solutions/case-studies/nasdaq-omx/

"시장에서 AWS 모니터링플랫폼을 사용하여 우리는40 %의 비용 절감을 달성 할것으로 예상하지만, 더중요한 장점은 새로운비즈니스를 얻는 것입니다 : 우리가 할 수 있는 일에집중하고 새로운 혁신을 할수 있는 것은 귀중한혜택입니다.-- Steve Randich, CIO

사례 연구 : 규제 감시 및 리스크 사전 분석

FINRA 요구사항• 시장 감시 인프라를 구축하는 플랫폼• 300 억건의 매일 발생하는 시장 이벤트의 저장 및

분석을위한 지원

AWS를 선택한 이유• FINRA의 보안 및 요구 사항 만족• 유연한 플랫폼 (하둡, 하이브 및 HBase를), 아마존

EMR, 아마존 S3 동적 클러스터 배포를 통한 구축

기대효과• 유연성, 속도와 비용 절감을 증가• AWS를 사용하는 비용은 $1에서 $1M 까지

탄력적으로 활용할 수 있었음

http://aws.amazon.com/cn/solutions/case-studies/finra/

"데이터 센터와 백업 및재해복구 센터에 대한전면재조정함에 따라 8개의센터에서 3개의 센터까지조정을 완료하고, 최종적으로는 2개의 센터만유지하는것을 결정: 우리가할 수 있는 일에 집중하고새로운 혁신을 할 수 있는것은 귀중한 혜택입니다.

CapitalOne 요구사항• 최신 IT 기술 수용 및 환경 도입에 따른 클라우드 기반의

플랫폼 체계 수립

AWS를 선택한 이유• AWS는 금융 서비스 기관처럼 규제가 심하고 데이터에

민감한 산업에서 조차 새로운 표준(New Normal)이되었음

기대효과• 4개 사업부로 확대 적용(Retail Bank/Investing/Auto

Finance/IT-InfoSec)

• 데이터센터 이관 완료로 인해 년간 1조 5천억 IT 운영및 자산에 대한 관리 비용 절감(500개 App, 4000개 VM 운영)

사례 연구 : 금융 클라우드 인프라 주 공급 업체로 AWS

https://aws.amazon.com/ko/solutions/case-studies/capital-one/

이제는 보안과 규제준수가클라우드를 도입하는

중요한 이유가 되고 있습니다!

감사합니다