[Gaming on AWS] 클라우드에 대한 오해들 - 한빛소프트

소개

Hanbitsoft on AWS

Status History

AWS Migration Start

Reserved Instance 전환

AWS Migration End

5개 Online game 이전

2013.4

2013.6

2013.9

2013.9

Game Title : 5 EA

EC2 Instances : 120 Count

AWS Regions : US-EAST, Tokyo

AWS Services : EC2, S3, CloudFront,

Business Support, Route 53

글로벌 IDC 인프라를 AWS 인프라로

이전 후 안정적인 게임 서비스 제공

http://www.google.co.kr/url?sa=i&source=images&cd=&cad=rja&docid=hsfoGGwfSThK-M&tbnid=U10ldp3kLgfEyM:&ved=0CAgQjRw&url=http://www.betanews.net/article/454846&ei=88MKU--hHIWXiQe99IFo&psig=AFQjCNFL0ot-dfTvdKc6sdjPuvGaIAoggQ&ust=1393300851500061

보안에 취약한 클라우드?

1. 물리적 보안

2. 기술적 보안

3. 관리적 보안

데이터 센터의 출입관리, 주요시설 관리 등

네트워크, 서버, 데이터베이스 기술 보안 등

사용자 관리, 접근 관리, 보안 정책 관리

보안 요소

보안에 대한 오해

국내외 유수의 기업에서 체계적인

보안 규정을 준수하고 있음



데이터 센터의 물리적 보안

• 데이터 센터의 위치가 노출되지 않음.

• 모든 출입은 기록되고 리뷰됨

• 멀티 팩터 인증

- 인가된 직원이라 할지라도 2가지 요소를 이용하여 인증절차를 최소 2번

통과해야함

• 역할의 분리

- 물리적 출입 권한을 갖는 직원은 논리적 접속 권한을 가질 수 없음

• 24 x 7 경비 체제

• 다양한 인증 기관에서 요구하는 보안 수준을 만족하고 있음.

아마존 클라우드 상에서 기술적인 보안을

구현하는데 한계가 있다?


기술적 보안 – Isolation


AWS 방화벽

모든 패킷은 이 곳을 통과

기술적 보안 – VPC 보안


Web Server

Group

Game Server

Group

DB Server

Group

Manage Server

Group

Internet

Gateway VPN

Gateway

회사 네트워크

Public Subnet

(10.1.0.0/16)

Private Subnet

(10.3.0.0/16)

인터넷

Public Subnet

(10.2.0.0/16)

Private Subnet

(10.4.0.0/16)

VPC

10.0.0.0/8

기술적 보안 – 네트워크 보안


서브넷

기반의

방화벽

인스턴스

기반의

방화벽

AWS 상에서 IDS/IPS를 구현할 수 없다?


• 다양한 Software, Middleware를 제3자가 판매하고 구매할 수 있는 곳

• Big Data, Security, Network Monitoring 등의 SW를 사용할 수 있음

• 인스턴스 비용 외에 시간당 라이센스 비용을 붙여 판매 하고 있음

기술적 보안 – AWS MarketPlace


• AWS 보안 규정상 Appliance는 불가능

• Host-Based IPS / IDS 사용 가능

• AWS MarketPlace를 통해 검색하면 다양

한 Solution 검색 가능

• TrendMicro Deep , AlertLogic,

Sourcefire Snort, Tripwire, OSSEC,

Verisys, McAfee HIDS

• OWASP Top 10 protection

• Reporting 및 분석 기능 포함

• AWS MarketPlace를 통해 검색하면 다양

한 Solution 검색 가능

• Prolexic, Imperva CloudWAF, Incapsula,

Alert Logic

IPS/IDS WAF

기술적 보안 – IPS/IDS 보안


클라우드는 관리적인 보안이 미흡하다?


Master

관리적 보안 – IAM(Identity and Access Management)


재무 시스템

Master

개발 총무 QA

Master 계정은 사용하지 않음 (Default)

부서별/사용자별 역할과 권한을 부여해야함.

한빛소프트에서는 AWS Console에 접근하는 것을 서버실에 접근

하는 것과 동일하게 판단하여 계정 관리를 강화함.

관리적 보안 – IAM(Identity and Access Management)



AWS 관리 콘솔에 접근하기 위해

사용자명과 패스워드를 입력 후 로그인 한다.

관리적 보안 - IAM



http://www.google.co.kr/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=RqtsxbhEle8GxM&tbnid=aBV2fLRw0Wt6cM:&ved=0CAUQjRw&url=http://www.itworld.co.kr/tags/1599/%ED%95%B4%EC%BB%A4&ei=iEUMU9PwFaSziAfX14HgDg&bvm=bv.61725948,d.aGc&psig=AFQjCNG9wsA7ZWT7iPxcpdYc9PW3K1vcwg&ust=1393399462299425

관리적 보안 - IAM



인스턴스가 삭제되었습니다.

충분히 가능한 사실!

http://www.google.co.kr/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=RqtsxbhEle8GxM&tbnid=aBV2fLRw0Wt6cM:&ved=0CAUQjRw&url=http://www.itworld.co.kr/tags/1599/%ED%95%B4%EC%BB%A4&ei=iEUMU9PwFaSziAfX14HgDg&bvm=bv.61725948,d.aGc&psig=AFQjCNG9wsA7ZWT7iPxcpdYc9PW3K1vcwg&ust=1393399462299425

AWS 관리 콘솔에 접근하기 위해 사용자명과 패스

워드로 1차 인증하고 Google Authenticator를

이용하여 2차 인증후에 로그인한다.


관리적 보안 – MFA

일자리에 대한 오해

AWS 클라우드 때문에 시스템 엔지니어

업무 범위가 축소된다?

인텔리전트한 GUI 콘솔 기반

간편한 기능 구현

위기인가?



역량이 강화될 수 있는 좋은 기회!

시스템도 하고 클라우드도 하고 일당백!

여전히 비SE 입장에서는

전문적인 지식 없이는 접근

하기 어려운 영역

System Engineer 로서

새로운 영역 발굴

VPC Setting

Subnet Setting

Route Table

VPN Setting

ACL Control

…

Auto Scaling

Data Modeling

Performance 최적화 High Available Infra 자동화

…


CLI 모드가 지원되는 API 를 제공하여 시스템 엔지니어에게 매우 친숙함.

세부적인 기능 구현 작업과 Instance 현황 추출 등의 작업에서 유용함.



AWS 인증시험

Architect,

Developer,

Sysops 에 걸쳐

출시됨

게임쪽은 Cloud

적용이 가장 빠른

산업 중 하나


예약 요금제 소개

- 선납금 지불 후, 매 월 할인 - 온 디맨드 대비 최대 65% 비용 절감 - 비즈니스에 따라 확장 용이 - 용량 예약 기능 - 추가 비용 없이 변경 가능

120대 예약 인스턴스 사용중

“Reserved Instance”

1년 최대 45% ~ 3년 최대 65%Saving

On-demand 1yr RI 3yr RI

100

55

35

최대 45% 최대 65%

비용에 대한 오해

• Windows, MSSQL STD, Oracle STD One 은 License Included로 사용가능

• AWS와의 Partnership을 통한 종량제 요금에 포함됨으로써 별도의 License 계

약이 필요하지 않음.

0

50

100

150

IDC AWS

License

Infra

100

50

Software License 측면에서 많은 절감을 이룰 수 있었음


구분 월 1년 비고

IDC 인프라 52,000,000 634,000,000 해외 출장비용 10,000,000

AWS 인프라 36,000,000 432,000,000 1년 예약비용 121,000,000

절감 금액 16,000,000 192,000,000 무려 32% 절감


• m1.xlarge 2개를 RI로 구입했음.

• m1.xlarge 중 1개의 인스턴스가 더이상 쓸모없게 되었음

• 대신 새로운 게임 런치로 m1.large 2대를 사용하게 됨

• m1.xlarge = 1 x m1.xlarge + 2 x large 로 전환함

Example

비용에 대한 오해 – RI TIP

• GAME1 Account에서 4개의 m1.large Instance를 구매했음

• GAME1 Account에서 3개월 뒤 서비스를 중단했음

• 자동으로 GAME2~5의 사용 현황을 본 뒤 m1.large Instance를 사용하는

것이 있으면 해당 인스턴스를 RI 가격으로 적용함

Payer Account ([email protected])

GAME 1 ([email protected])






Example


aws calculator

구분 IDC 인프라 (물리) AWS 인프라 (가상)

장애적인 측면

인력이 IDC로 직접 이동해야함. 시간이 소요되고 서비스 지연이 발생됨. OP가 필요할 수 있음.

컴퓨터 앞에서 처리함. OP가 필요하지 않음. (현재까지 장애 없음)

작업적인 측면 네트워크 라인 작업부터 서버 설치 등 여러 사람이 분산 작업 해야함.

컴퓨터 앞에서 소수 인원만 작업함. (한 사람이 해도 됨)

비용적인 측면 고정 비용으로 발생 부품 비용 발생

유동적으로 발생 (사용한만큼)

시간적인 측면 서버 1대 설치시 최소 2~3시간 소요

서버 1대 설치시 최대 5분~15분 (이미지 활용)

마지막으로..

결론

AWS를 도입하기 위해

고민중이십니까?

장애를 최소화하고

시간을 절약합니다.

비용과 시간을 절약해주는 AWS 할만 합니다!

절감할 수 있는 것은 비용이 전부가 아닙니다.

http://www.google.co.kr/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=3r55lX545mM-MM&tbnid=JN5hoUscguqNiM:&ved=0CAUQjRw&url=http://www.gamejob.co.kr/List_GI/GIB_Read.asp?GI_No%3D85967&ei=vMMKU4v2M6yKiQe80YHQBg&psig=AFQjCNFr5QDxAqbcp1IthpROeNSH9Z5ryw&ust=1393300772129617

http://www.google.co.kr/url?sa=i&source=images&cd=&cad=rja&docid=hsfoGGwfSThK-M&tbnid=U10ldp3kLgfEyM:&ved=0CAgQjRw&url=http://www.betanews.net/article/454846&ei=88MKU--hHIWXiQe99IFo&psig=AFQjCNFL0ot-dfTvdKc6sdjPuvGaIAoggQ&ust=1393300851500061

http://www.google.co.kr/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=Cw9ceFuvFHEZqM&tbnid=CuDjKMsNfadeYM:&ved=0CAUQjRw&url=http://game.donga.com/70975/&ei=RcQKU9ejMYSuiQfy5IBg&psig=AFQjCNGXHVtIlEdG5RrplsS-27dYobOssA&ust=1393300914881689

Technology

[Gaming on AWS] 클라우드에 대한 오해들 - 한빛소프트