728x90
AWS 책임 공유 모델
AWS 책임 공유 모델 타입
- Infrastructure Services
- Container Services
- Abstracted Services
- 데이터와 시스템에 대한 안전에 관해 누가, 무엇을 책임 질 것인가를 이해하는 기준
사용자 및 접근 관리
- 계정분류
- Account Owner ID (Root Account)
- 모든 서비스에 대한 접근
- 빌링접근
- 콘솔과 API에 대한 접근
- 고객지원 (Customer Support)에 대한 접근
- IAM Users, Groups and Roles
- 특정 서비스에 대한 접근
- 콘솔, API에 대한 접근
- 고객지원(Customer Support)에 대한 접근(Business and Enterprise)
- Temporary Security Credentials
- 특정 서비스에 대한 접근
- 콘솔,API에 대한 접근
- Account Owner ID (Root Account)
- AWS IAM (Identity and Access Management)
- IAM Policy
- AWS 서비스와 리소스에 대한 인가 기능을 제공
- IAM Policy 이해
- Policy를 정의할 때는 어떤 IAM Principal이 어떤 Condition에서 AWS의 어떤 Resource에 대해 어떤 Action을 허용 혹은 차단할 것인지를 지정
- IAM Policy 의 더 쉬운 이해
- IAM은 고객이 정의한 Policy를 기반으로 AWS 요청을 검사/평가하게 되며 최종적으로 허용 혹은 차단을 결정
- IAM Policy
- IAM Role 활용
- 보안성 : 임시 보안 자격 증명의 사용
- 편리성 : 다수의 사용자나 어플리케이션이 사용할 수 있으므로 권한 관리가 편리
- 무료 : 별도의 과금 없음
- Best Pratices
- AWS 계정 루트 사용자 액세스 키 잠금
- 개별 IAM 사용자 생성
- 그룹을 사용하여 IAM 사용자에게 권한 할당
- 최소 권한 부여
- AWS 관리형 정책으로 권한을 사용하여 시작하기
- 인라인 정책 대신 고객 관리형 정책 사용
- 액세스 수준을 사용하여 IAM 권한 검토
- 사용자를 위한 강력한 암호 정책 구성
- MFA 사용
- Amazon EC2 인스턴스에서 실행되는 애플리케이션에 역할(Role) 사용
- 역할을 사용하여 권한 위임
- 액세스 키를 공유하지 않기
- 자격 증명을 정기적으로 회전
- 불필요한 자격 증명 제거
- 추가 보안을 위한 정책 조건 사용
- AWS 계정에서 활동 모니터링
- AWS Organization - 정책기반 멀티 어카운트 관리 서비스
- Root Account를 기준으로 AWS Account 생성 및 관리
- Landing Zone
- Control Tower
- AWS Directory Service - 관리형 Active Directory 서비스
- AWS Managed Microsoft AD
- Simple AD
- AD Connector
암호화
- 서버 측 암호화(Server-Side Encryption)
- AWS가 전송된 데이터에 대해 고객 대신 서버측에서 암호화 작업 수행
- 대부분의 서비스 연동 가능(S3, EBS, RDS, Redshift, Kinesis, CloudTrail 등)
- 고객 관리 통제 하에 AWS KMS에 암호화키(CMK) 보관
- 클라이언트 측 암호화(Client-Side Encryption)
- 데이터 전송 전 암호화 수행
- 고객이 직접 암호화 키를 생성/관리하거나, AWS KMS 혹은 CloudHSM 사용
- 관련 도구들 : AWS Encryption SDK, S3 En-Client, Dynamo En-Client
- Cloud HSM
- 고객 전용 키관리 인프라 지원
- Clustering(HA) 지원
감사 지원
- Trusted Advisor
- 모범사례 기준으로 보안 개선에 도움을 주는 무료 진단 도구
- CloudTrail
- AWS 계정의 관리, 규정 준수 및 운영 및 위험 감사를 지원하는 AWS 서비스
- 클라우드 내 모든 행위는 API 사용(Console,SDK,CLI)
- 실행만 하면 자동 수집
- 중앙 집중형 로그 관리 지원
- CloudWatch
- AWS 리소스와 AWS 기반 어플리케이션에 대한 모니터링 서비스
- AWS Inspector
- AWS 상에서 운영되는 애플리케이션 환경에 대해 보안과 규정 준수 수준을 향상시키기 위한 자동화된 보안 수준 점검 기능을 제공
- AWS Config & Config Rules
- 자동화의 핵심
- Config
- AWS 리소스의 변경사항을 추적하고 감사하는 서비스
- Config Rules
- 해당 변경 사항이 기준 정책에 위반될 때, 대응 규칙 실행(경보, 차단 등 AWS Lambda 활용)
- Amazon Macie
- 기계 학습기반으로 민감한 중요 데이터를 발견 및 분류하고 불법적인 유출을 방지
- AWS GuardDuty
- AWS 어카운트와 워크로드를 보호하기 위한 지능화된 위협 탐지 및 상시 모니터링 기능 제공
- AWS SecurityHub
- 클라우드 보안 태세 관리 서비스 (모범 사례를 확인하고, 경고를 집계하고, 자동화된 수정을 지원)
- AWS-WAF
- 웹 어플리케이션 방화벽으로 managed 서비스
- AWS Network Firewall
- IPS (침입 방지 시스템) 제공
- aws shield
- DDos 보호 서비스 (default이지만, advanced 옵션사용 시 가시성있게 리포트 형태확인가능)
728x90
'클라우드 기초' 카테고리의 다른 글
| 클라우드 용어 정리 (0) | 2023.03.30 |
|---|---|
| IT 인프라 - 2 (0) | 2022.05.30 |
| IT 인프라 - 1 (0) | 2022.05.30 |
| 클라우드 네트워크 (0) | 2022.05.28 |