Upload
amazon-web-services-korea
View
6.167
Download
2
Embed Size (px)
DESCRIPTION
클라우드에 대한 오해들 - 한빛소프트 (조경철 파트장, 시스템 운영팀)
Citation preview
Hanbitsoft on AWS
Status History
AWS Migration Start
Reserved Instance 전환
AWS Migration End
5개 Online game 이전
2013.4
2013.6
2013.9
2013.9
Game Title : 5 EA
EC2 Instances : 120 Count
AWS Regions : US-EAST, Tokyo
AWS Services : EC2, S3, CloudFront,
Business Support, Route 53
글로벌 IDC 인프라를 AWS 인프라로
이전 후 안정적인 게임 서비스 제공
보안에 취약한 클라우드?
1. 물리적 보안
2. 기술적 보안
3. 관리적 보안
데이터 센터의 출입관리, 주요시설 관리 등
네트워크, 서버, 데이터베이스 기술 보안 등
사용자 관리, 접근 관리, 보안 정책 관리
보안 요소
보안에 대한 오해
보안에 대한 오해
데이터 센터의 물리적 보안
• 데이터 센터의 위치가 노출되지 않음.
• 모든 출입은 기록되고 리뷰됨
• 멀티 팩터 인증
- 인가된 직원이라 할지라도 2가지 요소를 이용하여 인증절차를 최소 2번
통과해야함
• 역할의 분리
- 물리적 출입 권한을 갖는 직원은 논리적 접속 권한을 가질 수 없음
• 24 x 7 경비 체제
• 다양한 인증 기관에서 요구하는 보안 수준을 만족하고 있음.
기술적 보안 – VPC 보안
보안에 대한 오해
Web Server
Group
Game Server
Group
DB Server
Group
Manage Server
Group
Internet
Gateway VPN
Gateway
회사 네트워크
Public Subnet
(10.1.0.0/16)
Private Subnet
(10.3.0.0/16)
인터넷
Public Subnet
(10.2.0.0/16)
Private Subnet
(10.4.0.0/16)
VPC
10.0.0.0/8
• 다양한 Software, Middleware를 제3자가 판매하고 구매할 수 있는 곳
• Big Data, Security, Network Monitoring 등의 SW를 사용할 수 있음
• 인스턴스 비용 외에 시간당 라이센스 비용을 붙여 판매 하고 있음
기술적 보안 – AWS MarketPlace
보안에 대한 오해
• AWS 보안 규정상 Appliance는 불가능
• Host-Based IPS / IDS 사용 가능
• AWS MarketPlace를 통해 검색하면 다양
한 Solution 검색 가능
• TrendMicro Deep , AlertLogic,
Sourcefire Snort, Tripwire, OSSEC,
Verisys, McAfee HIDS
• OWASP Top 10 protection
• Reporting 및 분석 기능 포함
• AWS MarketPlace를 통해 검색하면 다양
한 Solution 검색 가능
• Prolexic, Imperva CloudWAF, Incapsula,
Alert Logic
IPS/IDS WAF
기술적 보안 – IPS/IDS 보안
보안에 대한 오해
재무 시스템
Master
개발 총무 QA
Master 계정은 사용하지 않음 (Default)
부서별/사용자별 역할과 권한을 부여해야함.
한빛소프트에서는 AWS Console에 접근하는 것을 서버실에 접근
하는 것과 동일하게 판단하여 계정 관리를 강화함.
관리적 보안 – IAM(Identity and Access Management)
보안에 대한 오해
관리적 보안 - IAM
AWS 관리 콘솔에 접근하기 위해
사용자명과 패스워드를 입력 후 로그인 한다.
관리적 보안 - IAM
AWS 관리 콘솔에 접근하기 위해
사용자명과 패스워드를 입력 후 로그인 한다.
인스턴스가 삭제되었습니다.
충분히 가능한 사실!
AWS 관리 콘솔에 접근하기 위해 사용자명과 패스
워드로 1차 인증하고 Google Authenticator를
이용하여 2차 인증후에 로그인한다.
보안에 대한 오해
관리적 보안 – MFA
여전히 비SE 입장에서는
전문적인 지식 없이는 접근
하기 어려운 영역
System Engineer 로서
새로운 영역 발굴
VPC Setting
Subnet Setting
Route Table
VPN Setting
ACL Control
…
Auto Scaling
Data Modeling
Performance 최적화 High Available Infra 자동화
…
일자리에 대한 오해
예약 요금제 소개
- 선납금 지불 후, 매 월 할인 - 온 디맨드 대비 최대 65% 비용 절감 - 비즈니스에 따라 확장 용이 - 용량 예약 기능 - 추가 비용 없이 변경 가능
120대 예약 인스턴스 사용중
“Reserved Instance”
1년 최대 45% ~ 3년 최대 65%Saving
On-demand 1yr RI 3yr RI
100
55
35
최대 45% 최대 65%
비용에 대한 오해
• Windows, MSSQL STD, Oracle STD One 은 License Included로 사용가능
• AWS와의 Partnership을 통한 종량제 요금에 포함됨으로써 별도의 License 계
약이 필요하지 않음.
0
50
100
150
IDC AWS
License
Infra
100
50
Software License 측면에서 많은 절감을 이룰 수 있었음
비용에 대한 오해
구분 월 1년 비고
IDC 인프라 52,000,000 634,000,000 해외 출장비용 10,000,000
AWS 인프라 36,000,000 432,000,000 1년 예약비용 121,000,000
절감 금액 16,000,000 192,000,000 무려 32% 절감
비용에 대한 오해
• m1.xlarge 2개를 RI로 구입했음.
• m1.xlarge 중 1개의 인스턴스가 더이상 쓸모없게 되었음
• 대신 새로운 게임 런치로 m1.large 2대를 사용하게 됨
• m1.xlarge = 1 x m1.xlarge + 2 x large 로 전환함
Example
비용에 대한 오해 – RI TIP
• GAME1 Account에서 4개의 m1.large Instance를 구매했음
• GAME1 Account에서 3개월 뒤 서비스를 중단했음
• 자동으로 GAME2~5의 사용 현황을 본 뒤 m1.large Instance를 사용하는
것이 있으면 해당 인스턴스를 RI 가격으로 적용함
Payer Account ([email protected])
GAME 1 ([email protected])
GAME 2 ([email protected])
GAME 3 ([email protected])
GAME 4 ([email protected])
GAME 5 ([email protected])
비용에 대한 오해 – RI TIP
Example
구분 IDC 인프라 (물리) AWS 인프라 (가상)
장애적인 측면
인력이 IDC로 직접 이동해야함. 시간이 소요되고 서비스 지연이 발생됨. OP가 필요할 수 있음.
컴퓨터 앞에서 처리함. OP가 필요하지 않음. (현재까지 장애 없음)
작업적인 측면 네트워크 라인 작업부터 서버 설치 등 여러 사람이 분산 작업 해야함.
컴퓨터 앞에서 소수 인원만 작업함. (한 사람이 해도 됨)
비용적인 측면 고정 비용으로 발생 부품 비용 발생
유동적으로 발생 (사용한만큼)
시간적인 측면 서버 1대 설치시 최소 2~3시간 소요
서버 1대 설치시 최대 5분~15분 (이미지 활용)
마지막으로..