클라우드 보안

📌 AWS 책임 공유 모델

• 암호화, 신원확인
• Manage Access, Protect Data ➡ Insight

AWS Security Services Value Chain

AWS 책임 공유 모델 타입

Infrastructure Service

• IaaS
• 가상화 부분만 AWS 가 지원

Container Service

• PaaS

Abstracted Services

• SaaS

On-prem ➡ IaaS ➡ PaaS ➡ SaaS
편의성 증가 / 자유도 감소

AWS Compliance

• 한국 정보보호 관리체계 인증
• 금융사 안정성 평가 완료

---

📌 사용자 및 접근 관리

계정 분류

1. Accout Owner ID (root Account)
2. IAM Users, Groups and Roles
3. Temporary Secutrity Credentials

---

AWS IAM

• Indentity and Access Management
• 고객이 정의한 Policy를 기반으로 AWS 요청을 검사/평가하게 되며
• 최종적으로 허용 혹은 차단 결정
• Policy는 모두 같은 문법

​사용자와 그룹을 생성하여 접근제어 및 권한관리를 제공하는 IAM​ (Identity and Access Management) 식별 및 접근관리의 약어

사용자와 그룹을 생성하고 AWS의 각 리소스에 대해 접근제어와 권한관리를 제공한다.​

IAM은 AWS계정 안에 IAM 그룹과 사용자를 생성하여 접근제어 및 권한관리를 세분화 할 수 있다.

 

권할 할당 Mechanism

• 묵시적 Deny
• 명시적 Allow / Deny

 

IAM Role 활용

• 보안성
• 편리성
• 무료
• 자동화

 

Best Practices

• aws계정 루트 사용자 액세스 키 잠금
• 최소 권한 부여
• MFA사용
• 엑세스 키 공유❌

MFA (Multi Factor Authentication)
다요소 인증은 적어도 다음 분류 중 두 가지에 한해 별도의 여러 증거 부분을 인증 매커니즘에 성공적으로 제시한 이후에만 사용자가 접근 권한이 주어지는 컴퓨터 접근 제어 방식의 하나

---

AWS Organization

• 정책기반 멀티 어카운트 관리 서비스
• Master Account
  • Organization Unit (OU)
• Member Account
  • Service Control Policy (SCP)
• 복수 organiztion 불가

 

Landing Zone

• 환경을 한번에 제공
• 자유도 낮음
  • 커스터마이징 필요하지만 어려움

 

Control Tower

• Landing Zone의 커스터마이징 어려움 보완

---

AWS Directory Service

관리형 Active Directory 서비스

• Simple AD
• AD Connector
• AWS Managed Microsoft AD
• 관리가 어려움 ⇒ 트러블 슈팅이 어렵다

---

AWS Secret Manager

• 외부 노출 방지

---

🔒 암호화

• 볼륨 암호화
• 객체 암호화
• DB 암호화

객체 암호화

1. 서버 측 암호화 (SSE)
   • key에 접근 권한이 있는가? (접근제어에 가까움)
2. 클라이언트 측 암호화 (CSE)
   • 내부 암호화

---

AWS CloudHSM

데이터 보안 관련 컴플라이언스 규정 준수를 위한 관리형 H/W 서비스

• KMS → S/W 적

---

📌 감사지원

Trusted Advisor

모범사례 기준으로 보안 개선에 도움을 주는 무료 진단 도구

• AWS 환경을 분석하여 5개지 카테고리 모범 사례 권장 사항 제공
• Default로 작동

---

CloudTrail

aws API를 로깅하는 서비스

• aws 계정의 관리, 규정 준수 및 운영 및 위험 감사를 지원하는 AWS 서비스
• 클라우드는 API로 작동하므로
• Default로 작동
• log를 쿼리 형태로 확인 가능
• Athena (ANSI SQL)
  • S3로그 기반으로 데이터 쿼리 ➡ 로그 분석
• 내부 : 추적 생성 →기본적으로 90만 보유

---

CloudWatch

• AWS 리소스와 AWS 기반 app에 대한 모니터링 서비스
• 자동화
  • CloudWatch Alarms
  • CloudWatch Logs
  • CloudWatch Events

AWS 리소스의 상태를 모니터링 하는 CloudWatch

CloudWatch는 AWS 리소스의 상태를 모니터링 하는 서비스
- 모니터링
- 측정치와 연계하여 다양한 액션 사용

CloudWatch 사용
- EC2 인스턴스가 이상이 있는 경우 알림을 받고자 할 때
- 사용량이 급증했을 때
- 자동으로 Auto Scaling을 하고 부하분산(Elastic Load Balancing)을 구축 할 때

EC2 인스턴스와 CloudWatch액션
- EC2 인스턴스 CPU사용량 증가
- EC2 인스턴스 --(측정치 전송)--> CloudWatch
    - 알림 전송
    - Auto Scaling
    - EC2 인스턴스 제어

CloudWatch에서는 각 AWS 리소스 특징에 따라 다양한 값들을 모니터링
- 측정치와 연계하여 알림, Auto Scaling, EC2 인스턴스 제어 액션 사용 가능
- EC2 인스턴스 : CPU사용률, 데이터 전송량, 디스크 사용량 모니터링
- EBS 볼륨 : 읽기/쓰기 사용량, 지여 시간 등 모니터링
- ELB (Elastic Load Balancing) : 요청 수 및 지연 시간 등 모니터링
- RDS (Relational Database Service) : CPU 사용륭, DB 연결 수, 사용 가능한 메모리 및 스토리지 공간, 읽기/쓰기 지연 시간 등 모니터링
- Dynamic DB : 테이블 인덱스와 글로벌, 로컬 보조 인덱스에서 소모한 읽기/쓰기 용량 유닛, 스캔, 쿼리, 아이템 추가 및 수정, 아이템 삭제 모니터링
- ElastiCache : CPU사용률, 데이터 읽기/쓰기, 네트워크 사용량, 캐시 엔진의 각 명령어 사용량 등 모니터링
- SNS (Simple Notification Service) : 케시 및 전송 메시지 수 등을 모니터링
- SQS (Simple Queue Service) : 전송 및 수신 된 메시지 수 등을 모니터링

CloudWatch Alarms

• 특정 지표를 기준으로 지정된 작업 수행

 

CloudWatch Logs

• 사용 예시 : 아파치 서버 HTTP 로그 모니터링 (및 분석, 대응 자동화 가능)

 

CloudWatch Events

aws 리소스 이벤트나, 자동화된 패턴에 따라 지정된 행위를 수행하는 트리거

• 패턴/행위 지정
• 중요 이벤트에 대한 대응 규칙 설정

---

AWS Inspector

aws상에서 운영되는 app 환경에 대해 보안과 규정 준수 수준을 향상시키기 위한 자동화된 보안 수준 점검 기능을 제공

취약점 평가 서비스

• Agent 기반

---

AWS Config & Config Rules

자동화의 핵심

• Config : aws리소스의 변경사항을 추적하고 감사하는 서비스
• Config Rules : 해당 변경 사항이 기준 정책에 위반될 때, 대응 규칙 실행 (경보, 차단 등 AWS Lambda활용)
  • 잠재적인 설정 오류나 취약한 구성을 찾기 위한 규칙 제공
  • aws managed rules
  • customer rules
    • API 로 원하는 규칙 빠르게 생성 가능
• 리소스 시간에 따라 어떻게 변화하는지 저장
• 리소스들의 변경 컴플라이언스 준수하는지 확인

 

Relationships

• 자동으로 할당되는 의존 관계의 양방향 맵핑

---

Amazon Macie

기계 학습기반으로 민감한 중요 데이터를 발견 및 분류하고 불법적인 유출을 방지

• 개인 정보 등 포함되었는지 점검
• 버킷에 대한 모니터링 및 분석
• 민감 데이터 유출 검색

---

AWS GuardDuty

aws 어카운트와 워크로드를 보호하기 위한 지능화된 위협 탐지 및 상시 모니터링 기능 제공

• IDS → 탐지 역할만 수행, IPS  ❌
• 관리형 위협 탐지 서비스 ➡ 위험한지 아닌지 확인
• 아키텍처 변경이나 성능 저하 없이 원클릭 활성화
• No Agents
• 머신러닝 기반 이상 행동 탐지 기능 탐재
• 특장점 : 가성비 나쁘지 않음

 

Detection Type Detail

시그니쳐 기반 상태 비유지 탐지 내역

상태유지 행위 기반 탐지 및 비정상 행동 분석

• 정찰
• 인스턴스 침해
• 어카운트 침해

 

서비스 연동 Flow

• 이벤트 발생 시
• 람다로 변경하는 등 자동화
• IPS로 동작할 수 있긴 함

---

Security Hub

AWS 환경에 대한 보안과 규정 준수 현황에 대한 이해

 

Compliance Standards

• CIS AWS Foundations Benchmark의 43개 점검 항목 기반 + 조치 사항 제공
  • aws 자주 사용하는것에 대해 자동 체크 리스트 존재
  • 자체적 점검
• Config Rules을 통해 체크
  • Config 활성화 필수, 별도 과금

---

📌 네트워크 보안

Amazon Virtual Private Cloud

amazon VPC

클라우드 리소스의 격리

---

Security Group 관리

• Naming 권고
• 시각화
• 고객 니즈 시
  • open source
  • 관리솔루션 (별도 과금)

 

Network ACL

• 일반적 방화벽 개념
• In / Out bound 모두 정의해야 함

 

Security Group와 Network ACL 차이점

• Network ACL ➡ 비저장 (stateless)
• Security Group ➡ 저장 (stateful)

---

AWS WAF

일반적인 웹 취약점 기반 공격들로부터 웹 app 보호

• 과거 : 룰셋 모두 제공 필요
• 현재 : 룰셋 생성되어 있음

 

AWS WAF vs 3rd Party WAF

AWS WAF

• 사용한 만큼 비용
  • 초기 설치 비용 저렴
  • 하지만 운영 비용이 높다
• 가용성 걱정 필요

3rd Party WAF

• 가용성 문제
• 라이센스 등 비용 문제
  • 운영비용은 저렴할 가능이 높다
• 관제 구성 ❌
  • 필요시 안랩과 협업중

 

AWS 관리형 규칙 (AMR)

• aws 관리형 규칙 목록
• 무슨 내용인지 알 수 ❌

 

Logging (Sampling)

기본 로깅은 사용 ❌

• Full-logging : 가장 일반적

 

로그분석

• Athena 이용하여 쿼리검색
• 엘라스틱서치 연동 후 검색 및 시각화

---

Amazon Route 53 Resolver DNS

악성 도메인에 대한 DNS 쿼리 차단, 신뢰할 수 있는 도메인에 대한 쿼리를 허용하는 관리형 방화벽

• 악성 서버에 질의를 막는 서비스

---

AWS Network Firewall

AWS 네트워크 방화벽 ➡ VPC의 새로운 관리형 방화벽 서비스

• IPS 기능
• VPC에서 IP, Port, FQDN 등의 트래픽 필터링 지원
• 핵심 기능 : 상태 저장 규칙
  • 도메인 리스트 제어
• 비용 매우 높음

---

AWS Shield

디도스 공격으로부터 방어하는 관리형 디도스 방어 서비스

• Standard
  • 별도 과금 ❌
• Advanced
  • 추가 서비스
  • 이점 : 알람/ 유형, 유형, 시간 확인 가능 / 과다 청구 방지
  • 비용 높은편

---

AWS Firewall Manager

단일 혹은 멀티 어카운트 환경에서 일괄적인 보안설정 적용

• 중앙에서의 보안 규칙 적용
• 보안 규칙의 강제 적용
• 규칙의 준수 여부 점검
• Oranigation 서비스 연동 필요