클라우드 보안

AWS Netwokr FireWall

-VPC에 네트워크/어플리케이션 레벨 트래픽 필터링, IPS(침입방지시스템)을 제공하는 관리형 서비스

-인바운드 인터넷 트래픽 검사

-아웃바운드 트래픽 필터링

-레이어 3-7 네트워크 트래픽에 대한 제어 및 가시성 제공

 

-분산형 아키텍처 : 각 VPC에 구축하여 별도의 정책 설정, 정책 오류 시 피해 한정. 관리 포인트 증가 (정책은 복제하여 다른 Network F/W 에 적용 가능

중앙 집중형 아키텍처 : Transit G/W를 통한 라우팅으로 트래픽 수집 및 집중화된 필터링 및 관리 포인트를 줄일 수 있음. VPC 별 정책 불가, 정책 오류로 장애 시 전체 장애

 

AWS Shield 

AWS에서 실행되는 애플리케이션을 보호하는 관리형 DDoS 보호 서비스

 

AWS Shield Standard 

-기본 제공되는 무료 서비스

-자동으로 감지 및 완화

-일반적인 레이어 3, 4 공격으로 부터 보호

 

AWS Shield Advanced

-1년 약정 방식

-상시 모니터링 및 감지 

-추가적인 레이어 3, 4, 7 공격으로 부터 보호

-추가 비용 없이 AWS WAF, Firewall manager 사용

-24x7 DDoS Response team 지원

-공격지표, 경보, 리포드 제공

 

DDoS Resilient Architecture

공격을 받을 수 있는 지점을 최소화, AWS 서비스를 이용한 공격 완화 및 빠른 복원 체계 수립

 

DDoS 대응 준비

-DDoS 공격 대응을 위한 자동화 대응 체계 구축

-DDoS 대응 아키텍처에 대한 복원력 검증

-공격 대응 시, 서비스 확장 규모 및 비용 시뮬레이션

-공격에 대비한 비상 연락망 구축

-실제 상황에 대비한 유관부서와 대응 훈련

 

Firewall Manager 장점

• 여러 계정 전체에서 방화벽 규칙 관리 간소화

• 기존 및 새로운 애플리케이션의 규정 준수 보장

• 여러 계정에서 관리형 규칙 손쉽게 배포

• VPC에 대한 보호를 중앙에서 배포

 

EC2 - Golden AMI

인스턴스 생성을 위해 필수인 AMI 보안 관리

 

EC2 - IMDS v2 

IMDS : 실행 중인 인스턴스를 구성 또는 관리하는 데 사용될 수 있는 인스턴스 관련 데이터

 

S3 (Simple Storage Service)

객체 스토리지 서비스로 데이터 레이크, 웹 사이트, 백업 및 복원, 아카이브 등에 사용

 

S3 설정오류

-Public 액세스 오류 - ㄴ3 버킷을 public 으로 공개 설정히여 데이터 노출

-부적절한 ACL - 불필요한 사용자에게 권한 부여로 데이터 노출 / 변조

-IP 접근제어

-암호화

 

S3 - Public Access 제한

- CloudTrail log 를 이용한 탐지

- AWS Config 를 이용한 탐지

- S3 용 IAM Access Analyzer 를 이용한 탐지

- Amazon GuardDuty 를 이용한 탐지

- Amazon Macie를 이용한 탐지

- AWS Trusted Advisor를 이용한 탐지

 

KMS

데이터 암호화 및 사용되는 암호화 Key 를 안전하게 관리하기 위한 서비스

- 암호화 키 생성/관리, 접근 정책 관리

- 구성 및 이력 정보 검증

- AWS 서비스와 어플레케이션 연동

 

CloudHSM AWS 

클라우드 내에서 전용 HSM(Hardware Security Module) 인스턴스를 사용하여 키를 안전하게 저장하고 암호화