CLF-C02 Security
AWS 공동 책임 모델
AWS는 사용자 환경의 일부분을 책임지고 고객은 다른 부분을 책임지는 개념을 공동 책임 모델 이라고 한다.
고객 : 클라우드 내부의 보안
-
고객은 AWS 클라우드 내에서 생성하고 배치하는 모든 것의 보안을 책임
- 서비스, 시스템의 복잡성
- 회사별 운영 및 보안 요구 사항
- 운영체제 구성 및 패치
- 보안 그룹 구성
- 사용자 계정 관리
AWS: 클라우드 자체의 보안
-
AWS는 클라우드 자체의 보안을 담당
-
AWS는 인프라의 모든 계층에서 구성 요소를 운영, 관리 및 제어
- 데이터 센터의 물리적 보안
- 하드웨어 및 소프트웨어 인프라
- 네트워크 인프라
- 가상화 인프라
사용자 권한 및 엑세스
AWS Identity and Access Management (IAM)
-
IAM을 사용하면 AWS 서비스와 리소스에 대한 엑세스를 안전하게 관리
-
IAM 기능
- IAM 사용자, 그룹 및 역할
- IAM 정책
- 다중 인증 (MFA)
AWS 계정 루트 사용자
- AWS 계정을 처음 만들면 루트 사용자 라고 하는 자격증 명으로 시작
- 루트 사용자는 AWS 계정을 만들 때 사용한 이메일 주소 및 암호로 로그인하여 액세스
- 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한을 가짐
AWS Directory Service
- AWS Directory Service는 디렉터리 인식 워크로드와 AWS 리소스가 AWS 클라우드에서 관리형 Active Directory를 사용
AWS Single Sign-On (SSO)
- 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 SSO 액세스를 중앙에서 쉽게 관리할 수 있게 해주는 클라우드 SSO 서비스
- Cognito와 달리 모바일 앱에 사용자 로그인, 가입 및 액세스 제어를 추가하는 쉬운 방법을 제공하지 않음
Amazon Cognito
- 웹 및 모바일 앱에 사용자 가입, 로그인 및 액세스 제어를 빠르고 쉽게 추가
- Facebook, Google, Amazon과 같은 소셜 자격 증명 공급자 및 SAML 2.0을 통한 엔터프라이즈 자격 증명 공급자와의 로그인을 지원
Amazon Cognito Identity Pool
- Amazon Cognito 자격 증명 풀은 게스트(인증되지 않은) 사용자와 인증되어 토큰을 받은 사용자에게 임시 AWS 자격 증명을 제공
- Amazon Cognito 자격 증명 풀을 사용하면 고유한 자격 증명을 생성하고 사용자에게 권한을 할당
- Facebook, Google 또는 SAML 기반 ID 공급자와 같은 외부 ID 공급자를 통해 인증하는 사용자 관리
Amazon Cognito User Pool
- 사용자 풀은 Amazon Cognito의 사용자 디렉터리
- 인증되지 않은 ID에는 액세스할 수 없음
AWS AppSync
- 애플리케이션 관련 사용자 데이터의 기기 간 동기화를 가능하게 하는 서비스
AWS IAM Identity Center
- Microsoft Active Directory 도메인 서비스, Okta와 같은 ID 소스의 자격 증명을 사용하여 여러 AWS 계정에 대한 액세스를 중앙에서 관리
IAM 사용자
- IAM 사용자 는 사용자가 AWS에서 생성하는 자격 증명
- 기본적으로 AWS에서 새 IAM 사용자를 생성시, 해당 사용자와 연결된 권한은 없음
- 특정 작업을 수행하도록 IAM 사용자에게 필요한 권한을 부여해야 함
- 액세스 키는 IAM 사용자 또는 AWS 계정 루트 사용자에 대한 장기 보안 인증
IAM 정책
- IAM 정책은 AWS 서비스 및 리소스에 대한 권한을 허용, 거부하는 문서
- 사용자가 리소스에 액세스할 수 있는 수준을 사용자 지정
최소 권한의 보안 원칙
- 권한을 부여할 때 사용자 또는 역할이 해당 작업을 수행하는 데 필요한 것보다 많은 권한을 갖는 것을 방지
예: IAM 정책
 | 이 예제 IAM 정책은 ID가 AWSDOC-EXAMPLE-BUCKET인 Amazon S3 버킷의 객체에 액세스할 수 있는 권한을 허용합니다. |
IAM 그룹
- IAM 그룹은 IAM 사용자의 모음
- 그룹에 IAM 정책을 할당하면 해당 그룹의 모든 사용자에게 정책에 지정된 권한이 부여됨
IAM 역할
- 임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명
- 특정 작업을 수행해야 하는 AWS서비스나 외부 엔터티에 임시로 권한 제공
- IAM 역할은 서비스 또는 리소스에 대한 액세스 권한을 장기적이 아니라 일시적으로 부여해야 하는 상황에 이상적
다중 인증(MFA)
- IAM에서 다중 인증(MFA)은 AWS 계정에 추가 보안 계층을 제공
고객 임의의 보안 평가 서비스 (AWS 허락없이)
-
허용 서비스
- Amazon EC2 인스턴스, WAF, NAT 게이트웨이, Elastic Load Balancer
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- Amazon API Gateway
- AWS AppSync
- AWS Lambda 및 Lambda Edge 함수
- Amazon Lightsail 리소스
- Amazon Elastic Beanstalk 환경
- Amazon Elastic Container Service
- AWS Fargate
- Amazon Elasticsearch
- Amazon FSx
- AWS Transit Gateway
- S3 호스팅된 애플리케이션
-
금지 서비스 및 활동
- S3 버킷 내 객체
- Amazon Route 53 Hosted Zones를 통한 DNS zone walking
- Route 53를 통하여 DNS 하이재킹
- Route 53를 통하여 DNS 파밍
- 서비스 거부(DoS), 분산 서비스 거부(DDoS), DoS, DDoS 시뮬레이션 테스트
- 포트 플러딩
- 프로토콜 플러딩
- 요청 플러딩(로그인 요청 플러딩, API 요청 플러딩)
AWS Organizations
AWS Organizations
- 회사에서는 AWS Organizations를 사용하여 중앙 위치에서 여러 AWS 계정을 통합하고 관리할 수 있음
- 조직을 생성하면 AWS Organizations가 조직의 모든 계정에 대한 상위 컨테이너 루트를 자동으로 생성
- AWS Organizations에��서 서비스 제어 정책(SCP)을 조직 루트, 개별 멤버 계정 또는 OU에 적용할 수 있습니다.
- SCP를 사용하면 각 계정의 사용자 및 역할이 액세스할 수 있는 AWS 서비스, 리소스 및 개별 API 작업을 제한
조직 단위 (OU)
- 계정을 조직 단위(OU)로 그룹화하여 비슷한 비즈니스 또는 보안 요구 사항이 있는 계정을 손쉽게 관리
- OU에 정책을 적용하면 OU의 모든 계정이 정책에 지정된 권한을 자동으로 상속
규정 준수
AWS Artifact
-
회사가 속한 업종에 따라 특정 표준을 준수해야 할 수 있음
-
감사 또는 검사는 회사가 이러한 표준을 충족했는지 확인하는 절차
-
AWS Artifact는 AWS 보안 및 규정 준수 보고서 및 일부 온라인 계약에 대한 온디맨드 액세스를 제공하는 서비스
-
AWS Artifact 계약
- AWS Artifact 계약에서 개별 계정 및 AWS Organizations 내 모든 계정에 대한 계약을 검토, 수락 및 관리
- HIPAA(미국 건강 보험 양도 및 책임에 관한 법)와 같은 특정 규정의 적용을 받는 고객의 요구 사항을 해결하기 위한 다양한 유형의 계약이 제공
-
AWS Artifact 보고서
- AWS Artifact 보고서는 외부 감사 기관이 작성한 규정 준수 보고서를 제공
-
-
AWS Artifact는 AWS ISO 인증, PCI(Payment Card Industry) 보고서, SOC(Service Organization Control) 보고서와 같은 AWS 보안 및 규정 준수 문서에 대한 액세스를 제공
고객 컴플라이언스 센터
-
고객 컴플라이언스 센터에는 AWS 규정 준수에 대해 자세히 알아볼 수 있는 리소스가 포함
-
규정 준수 백서 및 설명서에 액세스
- 주요 규정 준수 질문에 대한 AWS 답변
- AWS 위험 및 규정 준수 개요
- 보안 감사 체크리스트
-
규정 준수를 입증할 수 있는 방법을 자세히 알아보려는 감사, 규정 준수 및 법무 담당자를 위해 고안
서비스 거부 공격
서비스 거부 공격
- 서비스 거부(DoS) 공격은 사용자들이 웹 사이트 또는 애플리케이션을 이용할 수 없게 만들려는 의도적인 시도
분산 서비스 거부 공격
- 분산 서비스 거부(DDoS) 공격에서는 여러 소스를 사용하여 웹 사이트 또는 애플리케이션을 사용할 수 없게 만드는 공격을 시작
AWS Shield
-
AWS Shield는 DDoS 공격으로부터 애플리케이션을 보호하는 서비스
-
AWS Shield는 Standard 및 Advanced의 두 가지 보호 수준을 제공
-
AWS Shield Standard는 모든 AWS 고객을 자동으로 보호하는 무료 서비스
-
AWS Shield Advanced는 상세한 공격 진단 및 정교한 DDoS 공격을 탐지하고 완화할 수 있는 기능을 제공하는 유료 서비스
- Amazon CloudFront, Amazon Route 53, Elastic Load Balancing과 같은 다른 서비스와도 통합 가능
- 복잡한 DDoS 공격을 완화하기 위한 사용자 지정 규칙을 작성하여 AWS Shield를 AWS WAF와 통합
-
추가 보안 서비스
AWS Key Management Service (AWS KMS)
- 저장 상태에서(저장 시 암호화) 그리고 전송되는 동안(전송 중 암호화라고 함) 애플리케이션의 데이터가 안전한지 확인
- AWS Key Management Service (AWS KMS)를 사용하면 암호화 키를 사용하여 암호화 작업을 수행
AWS WAF
- AWS WAF 는 웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽
- AWS WAF는 Amazon CloudFront 및 Application Load Balancer와 함께 작동
- AWS 리소스를 보호하기 위해 웹 엑세스 제어 목록(ACL)을 사용
 |  |
|---|
Amazon Inspector
- AWS에 배포된 애플리케이션의 보안 및 규정 준수를 개선하는 데 도움이 되는 보안 평가 서비스
- 애플리케이션의 노출, 취약성 및 AWS 모범 사례와의 편차를 자동으로 평가
Amazon GuardDuty
-
Amazon GuardDuty는 AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스
-
AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별
-
AWS 계정에서 GuardDuty를 활성화하면 GuardDuty가 네트워크 및 계정 활동을 모니터링하기 시작
-
GuardDuty는 VPC Flow Logs 및 DNS 로그를 비롯한 여러 AWS 소스의 데이터를 지속적으로 분석
-
GuardDuty가 위협을 탐지한 경우 AWS 관리 콘솔에서 위협에 대한 자세한 탐지 결과를 검토
-
GuardDuty 보안 탐지 결과에 대한 응답으로 자동으로 문제 해결 단계를 수행하도록 AWS Lambda 함수를 구성 가능
Amazon Macie
- 기계 학습을 사용하여 S3에 저장된 AWS의 민감한 데이터를 자동으로 검색, 분류 및 보호하는 보안 서비스
Amazon X-Ray
- Lambda 함수에 대한 추적 및 모니터링 기능을 제공하는 AWS 서비스
AWS Security Hub
- AWS 계정 전체의 보안 및 규정 준수에 대한 포괄적인 Dashboard 제공
- AWS Security Hub는 AWS Outpost 및 타사 보안 도구와 통합하여 온프레미스 및 하이브리드 환경의 보안 결과를 결합
Amazon Detective
- AWS 환경에서 의심되는 보안 취약성 또는 의심스러운 활동의 소스를 평가, 조사 및 찾아낼 수 있는 AWS 보안 서비스
- 사고 조사와 관련된 많은 힘든 프로세스를 자동화하고 데이터 탐색 및 시각화를 위한 쉽고 대화형 인터페이스를 제공