1. 기초 - AWS 기초 개념 설명
핵심 - AWS 핵심 서비스 사용법
Q&A - AWS 전문가들의 답변
AWS 기초 웨비나 시리즈 | 세 번째 강연
2016년 1월 26일 월요일 | 오후 3시
http://aws.amazon.com/ko
AWS 보안 및 규정 준수 소개
2. 목차
1. 클라우드 보안 개요
2. AWS 보안 철학
3. AWS 보안 서비스
4. 사용 사례 및 기타 정보
7. Security is Zero Job
친숙한 보안 모델 고객 보안 전문가의 검증 모든 고객에게 동일한 혜택
PEOPLE & PROCESS
SYSTEM
NETWORK
PHYSICAL
8. 보안에 대한 책임 공유
AWS 기반 서비스
컴퓨터 스토리지 데이터베이스 네트워킹
AWS 글로벌 인프라
리전
가용 영역
엣지 로케이션
네트워크
보안
서버 보안
고객의 애플리케이션 & 컨텐츠
You get to define
your controls IN
the Cloud
AWS takes care
of the security
OF the Cloud
고객 데이터
보안
접근 제어
9. 보안에 대한 AWS의 역할
데이터 센터의 물리적인 보안
• 다년간 대규모 데이터 센터 구축 경험
• 최소한의 접근 권한 허용
• 모든 접근에 대한 로깅 및 감사
• 명확한 직무 분장
10. 보안에 대한 AWS의 역할
서버 및 네트워크 보안
• 호스트 운영체제 보안
• 인스턴스 운영체제 보안
• 스테이트풀 방화벽
• IP 스푸핑 공격 및 패킷 스니핑 기본 차단
11. 보안에 대한 AWS의 역할
스토리지 보안
• 독자적인 스토리지 관리 기능으로 타인의 데이터 접근 완벽히 통제
• 사용 전 디스크 청소(Disk Wiping)
• 데이터 저장 시 고객이 직접 암호화 적용 가능
• 산업표준에 따른 디스크 폐기 처리
13. 보안 기준을 지속적으로 개선하기 위해서 모든 것을 구축합니다
AWS 주요 인증 및 보증 프로그램
14. 보안에 대한 고객의 역할
애플리케이션
&컨텐츠
보안에 집중
• 데이터 암호화
• 네트워크 트래픽 보호
• 게스트 운영체제
• 네트워크 및 방화벽 구성
• 가상 서버, 애플리케이션,
ID 및 접근 관리
15. 보안에 대한 고객의 역할
AWS 기반 서비스
컴퓨터 스토리지 데이터베이스 네트워킹
AWS 글로벌 인프라
리전
가용 영역
엣지 로케이션
고객
• 고객의 범위와
노력을 줄여줌
• 집중화로 보다
나은 결과도출
• AWS의 견고한
기반 통제를
통해 확보
고객 자신의 규정
준수 승인
고객 자신의 인증 고객 자신의
외부 감사
16. 인프라 보안 로깅 모니터링 계정 및 접근제어 구성 및 취약점 제어 데이터 보호
SaaS
SaaS SaaS
AWS Marketplace:
네트워크/보안 파트너 생태계
17. 보안과 규정 준수에 초점을 맞춘 AWS 서비스
“우리의 경험을 바탕으로 보면, AWS 클라우드가 우리의 데이터센터보다 심지어 더 안전할 수 있다고 생각합니다”
– Tom Soderstrom, CTO, NASA JPL
가시성
클릭 한 번으로 전체
인프라 보기
AWS CloudTrail 통한
깊은 통찰력
제어
데이터가 저장되는
위치에 대한 단독
소유 권한
책임 공유 모델
감사
제 3자 검증 – 워크로드들에 관련된 인증
18. “우리의 경험을 바탕으로 보면,
AWS 클라우드가 우리의 데이터
센터보다 더 안전할 수 있다고
생각합니다”
– Tom Soderstrom, CTO, NASA JPL
28. AWS Inspector
• 어플리케이션 보안 수준 진단 (Agent 기반)
• 내장 진단 규칙 적용
• CVE (Common Vulnerabilities and Exposures) 항목
• 네트워크 보안 모범사례
• 인증 모범 사례
• 운영체제 보안 모범 사례
• 애플리케이션 보안 모범 사례
• 규정 준수 (예:PCI DSS 3.0) 준비 상태
• 보안 진단 결과 – 가이드 제공
29. 모든 작업은 API
호출로 처리됨...
사용하는 서비스와
인스턴스들이 늘어
남에 따라 …
CloudTrail은
계속해서 모든
API 요청들에
대해 신뢰성 있는
기록을 수행…
모든 이벤트들에
대한 추적이 가능
: 누가 언제 어디서
무엇을 하려 했고,
결과가
어떠했는지…
AWS CloudTrail
30. 보안 분석
저장된 로그 파일들을 로그 관리 및 분석 솔루션의 입력 데이터로 사용해서, 보안 분석을
수행하고 사용자 행동 패턴을 감지
AWS 자원에 대한 변경사항을 추적
Amazon EC2, VPC 보안 그룹 및 EBS 볼륨과 같은 AWS 자원에 대한 생성, 수정, 및 삭제를
추적
운영문제를 해결
가장 최근에 변경된 사용자 환경의 자원 변경 사항을 신속하게 식별
규정준수 지원
보다 쉽게 내부 정책이나 규정 기준을 증명
AWS CloudTrail로 가능한 사용 사례
37. AWS Identity & Access Management
AWS 계정에서 누가 무엇을 할 수 있는지 제어
•사용자, 그룹, 롤(Role) 및 권한
•제어…
• 중앙집중식
• 잘 갖춰진 - APIs, 자원, 및 AWS 관리 콘솔
•보안…
• 기본적으로 안전함 (거부 규칙)
• 다중 사용자, 개별 보안 신원 및 권한
40. 다양한 키 관리 옵션
DIY
AWS Marketplace Partner
Solution
AWS CloudHSM
AWS Key Management
Service
키 생성 및 저장 장소 Your network or in AWS Your network or in AWS In AWS, on an HSM that you
control
AWS
키가 사용되는 위치 Your network or your EC2
instance
Your network or your EC2
instance
AWS or your applications AWS services or your
applications
키 사용을 제어하는 방법 Config files, Vendor-
specific management
Vendor-specific
management
Customer code + Safenet
APIs
Policy you define; enforced
in AWS
성능/확장에 대한 책임 You You You AWS
AWS 서비스와의 통합 Limited Limited Limited Yes
가격 모델 Variable Per hour/per year Per hour Per key/usage
41. AWS Key Management Service
• 암호화 키의 생성, 제어 및 사용을 쉽게 할 수 있도록 지원하는
관리형 서비스
• Amazon EBS, Amazon S3, Amazon RDS 및 Amazon Redshift
와 같은 AWS 서비스와 AWS SDK에 통합
• 규정 준수 활동에 도움을 줄 수 있는 감사 로그를 제공하기
위해 AWS CloudTrail 과 통합
46. 언제 어느 곳에서도 암호화
AWS CloudTrail
AWS IAM
EBS
RDS
Amazon Redshift
S3
Glacier
전송 시 암호화
그리고 저장 시 암호화
전면 감사
완전 관리형 키
제한된 접근
47. AWS 내에 격리된 가상 사설 네트워크 생성가용영역A
가용영역B
AWS Virtual Private Cloud
• 논리적으로 분리된 일종의
가상 사설망 생성
• VPC상에서 사설 IP대역 선택
• 적절하게 서브넷팅하고 EC2
인스턴스를 배치
AWS network security
• AWS 네트워크는 IP 스푸핑
및 레이어 2 공격차단
• 소유하지 않은
EC2인스턴스에 대한 스니핑
불가
• 외부와의 모든 라우팅과
연결을 통제
65. 보안 분석: 나는 안전한가요?
규정 감사: 어디에 증거가 있나요?
변경 관리: 이 변경에 대한 영향은 무엇이 될까요?
문제 해결: 무엇이 변경되었나요?
AWS Config로 가능한 사용 사례
66. Config Rules
• 변경된 내역에 대해 검증하는 규칙 설정
• AWS가 제공하는 내장된 규칙 사용
• AWS Lambda를 활용한 커스텀 규칙 지원
• 지속적인 진단수행을 자동화
• 컴플라이언스 시각화나 위험한 변경을 식별하기 위해
대쉬보드 제공.
67. AWS Config & Config Rules
AWS Config
APIs
정규화변경 내역 기록
리소스
변경
전달저장
스트림
스냅샷(ex. 2014-11-05)
이력
68. CloudWatch Logs 로 모든 것을 모니터링
Amazon CloudWatch Logs: EC2 인스턴스나 다른 자원에
대해서 시스템, 애플리케이션 및 커스텀 로그를 모니터링
할 수 있음. 예를들면;
웹 서버의 HTTP 로그 파일을 모니터링하고 에러(404 등)를
식벽하기 위해 CloudWatch Metrics의 필터를 사용하여
지정된 기간 내에 발생 횟수를 카운트
404 에러의 횟수가 사전에 설정된 임계치에 도달하게 되면
CloudWatch Alarms가 통지를 할 수 있음.
=> 문제의 원인을 파악하기 위해 자동으로 티켓을
생성하도록 사용 가능
70. NASDAQ
암호화 기반의 데이터 분석
• 구내에 HSM을 구축
• 암호화 키를 HSM에서 관리
• S3의 데이터 암호화
• EMR 이용 시에만 암호 해독
S3 EMR HSM
암호화된 데이터
S3에 저장
암호화된 데이터
EMR로 처리
HSM에서 온
암호화 키
계층
S3 암호화 클라이언트
71. 메가마트
• VPC 및 관련 구성 요소 활용
• VPN을 이용해 안전하게
IDC와 연결
• 파트너 솔루션을 이용한
DB 암호화 & 접근 제어
참고: AWS Summit Seoul 2015 – 국내 엔터프라이즈 클라우드 도입 구축 사례 및 고려사항
72. AWS 보안 센터
다양한 보안 정보 및 문서를 제공하는 AWS 보안 포털: http://aws.amazon.com/security
• 보안 프로세스 소개
• AWS 리스크 및 컴플라이언
• AWS 보안 베스트 프랙티스
보안 백서
보안 리소스 취약점 리포팅
침해 테스팅
신청 절차
수상한 이메일
신고
보안 게시판
73. 보안 리소스 및 블로그
보안 리소스, 교육, 도구들에 대한 광범위한 소개:
http://aws.amazon.com/security/security-resources/
개발자
정보
기고문 +
튜토리얼
보안 제품 백서
AWS보안 및 컴플라이언스와 관련된 최신 정보를 제공:
http://blogs.aws.amazon.com/security/
AWS 보안 블로그
AWS 보안 리소스
75. 온라인 자습 및 실습
다양한 온라인 강의
자료 및 실습을 통해
AWS에 대한 기초적인
사용법 및 활용 방법을
익히실 수 있습니다.
강의식 교육
AWS 전문 강사가 진행하는
강의를 통해 AWS 클라우드로
고가용성, 비용 효율성을 갖춘
안전한 애플리케이션을 만드는
방법을 알아보세요. 아키텍쳐 설계
및 구현에 대한 다양한 오프라인
강의가 개설되어 있습니다.
인증 시험을 통해
클라우드에 대한 자신의
전문 지식 및 경험을
공인받고 개발 경력을
제시할 수 있습니다.
AWS 공인 자격증
http://aws.amazon.com/ko/training
다양한 교육 프로그램
76. AWS 기초 웨비나 시리즈에 참여해 주셔서 감사합니다!
이번 웨비나가 여러분의 궁금증 해소에 도움이 되었길 바랍니다.
이후 이어질 설문 조사를 통해 오늘 웨비나에 대한 의견을 알려주세요.
aws-korea-marketing@amazon.com
http://twitter.com/AWSKorea
http://facebook.com/AmazonWebServices.ko
http://youtube.com/user/AWSKorea
http://slideshare.net/AWSKorea