2016년 1월 26일 웨비나 시리즈에서 박철수 솔루션즈 아키텍트 께서 발표하신 “AWS 클라우드 보안 및 규정 준수 소개 “ 발표자료입니다.

1. 기초 - AWS 기초 개념 설명
핵심 - AWS 핵심 서비스 사용법
Q&A - AWS 전문가들의 답변
AWS 기초 웨비나 시리즈 | 세 번째 강연
2016년 1월 26일 월요일 | 오후 3시
http://aws.amazon.com/ko
AWS 보안 및 규정 준수 소개

2. 목차
1. 클라우드 보안 개요
2. AWS 보안 철학
3. AWS 보안 서비스
4. 사용 사례 및 기타 정보

3. 물리적인 보안 네트워크 보안 시스템 보안 데이터 보안
심층 보안

4. 전통적인 데이터 센터
정적이고
고정적인
사일로
아키텍처

5. 클라우드 컴퓨팅
On demand Pay as you go
Uniform Available
컴퓨트
스토리지
보안 확장
데이터베이스
네트워킹
모니터링
메시징
워크플로우
DNS
부하 분산
백업CDN
탄력적이고
민첩한
동적인
아키텍처

6. 월요일 금요일 휴가 시즌의 끝

7. Security is Zero Job
친숙한 보안 모델 고객 보안 전문가의 검증 모든 고객에게 동일한 혜택
PEOPLE & PROCESS
SYSTEM
NETWORK
PHYSICAL

8. 보안에 대한 책임 공유
AWS 기반 서비스
컴퓨터 스토리지 데이터베이스 네트워킹
AWS 글로벌 인프라
리전
가용 영역
엣지 로케이션
네트워크
보안
서버 보안
고객의 애플리케이션 & 컨텐츠
You get to define
your controls IN
the Cloud
AWS takes care
of the security
OF the Cloud
고객 데이터
보안
접근 제어

9. 보안에 대한 AWS의 역할
데이터 센터의 물리적인 보안
• 다년간 대규모 데이터 센터 구축 경험
• 최소한의 접근 권한 허용
• 모든 접근에 대한 로깅 및 감사
• 명확한 직무 분장

10. 보안에 대한 AWS의 역할
서버 및 네트워크 보안
• 호스트 운영체제 보안
• 인스턴스 운영체제 보안
• 스테이트풀 방화벽
• IP 스푸핑 공격 및 패킷 스니핑 기본 차단

11. 보안에 대한 AWS의 역할
스토리지 보안
• 독자적인 스토리지 관리 기능으로 타인의 데이터 접근 완벽히 통제
• 사용 전 디스크 청소(Disk Wiping)
• 데이터 저장 시 고객이 직접 암호화 적용 가능
• 산업표준에 따른 디스크 폐기 처리

12. 이것이
이렇게

13. 보안 기준을 지속적으로 개선하기 위해서 모든 것을 구축합니다
AWS 주요 인증 및 보증 프로그램

14. 보안에 대한 고객의 역할
애플리케이션
&컨텐츠
보안에 집중
• 데이터 암호화
• 네트워크 트래픽 보호
• 게스트 운영체제
• 네트워크 및 방화벽 구성
• 가상 서버, 애플리케이션,
ID 및 접근 관리

15. 보안에 대한 고객의 역할
AWS 기반 서비스
컴퓨터 스토리지 데이터베이스 네트워킹
AWS 글로벌 인프라
리전
가용 영역
엣지 로케이션
고객
• 고객의 범위와
노력을 줄여줌
• 집중화로 보다
나은 결과도출
• AWS의 견고한
기반 통제를
통해 확보
고객 자신의 규정
준수 승인
고객 자신의 인증 고객 자신의
외부 감사

16. 인프라 보안 로깅 모니터링 계정 및 접근제어 구성 및 취약점 제어 데이터 보호
SaaS
SaaS SaaS
AWS Marketplace:
네트워크/보안 파트너 생태계

17. 보안과 규정 준수에 초점을 맞춘 AWS 서비스
“우리의 경험을 바탕으로 보면, AWS 클라우드가 우리의 데이터센터보다 심지어 더 안전할 수 있다고 생각합니다”
– Tom Soderstrom, CTO, NASA JPL
가시성
클릭 한 번으로 전체
인프라 보기
AWS CloudTrail 통한
깊은 통찰력
제어
데이터가 저장되는
위치에 대한 단독
소유 권한
책임 공유 모델
감사
제 3자 검증 – 워크로드들에 관련된 인증

18. “우리의 경험을 바탕으로 보면,
AWS 클라우드가 우리의 데이터
센터보다 더 안전할 수 있다고
생각합니다”
– Tom Soderstrom, CTO, NASA JPL

19. 가시성
시스템, 네트워크 및 감사

20. 가시성: 보안의 기본 속성
여러분의 데이터 센터를 보면…
한눈에 전체의 상황이 다 들어오는
것을 원합니다
보통 이런 그림을 보시게 됩니다

21. 클라우드에서는…
• 인프라 = software!
• 변경이 빈번하게 발생하고, 자동화 되며, 즉각 반영된다.
• 리소스 등이 서로 연계되어 있음.
• 셀프서비스와 민첩성.
가시성: 보안의 기본 속성

22. VPC Flow Logs
인스턴스들의 모든 트래픽 정보 관찰
• 보안 그룹의 규칙 적용 효과에
대한 가시성
• 네트워크 연결 문제에 대한
해결 방법 제공
• 트래픽을 분석하는 능력

23. VPC Flow Logs 데이터
Source IP address,
Dest IP address
Source port, dest port
Packets, Bytes

24. VPC Flow Logs 활용
출처: https://github.com/awslabs/cloudwatch-logs-subscription-consumer/blob/master/README.md

25. Trusted Advisor

26. Trusted Advisor

27. Trusted Advisor

28. AWS Inspector
• 어플리케이션 보안 수준 진단 (Agent 기반)
• 내장 진단 규칙 적용
• CVE (Common Vulnerabilities and Exposures) 항목
• 네트워크 보안 모범사례
• 인증 모범 사례
• 운영체제 보안 모범 사례
• 애플리케이션 보안 모범 사례
• 규정 준수 (예:PCI DSS 3.0) 준비 상태
• 보안 진단 결과 – 가이드 제공

29. 모든 작업은 API
호출로 처리됨...
사용하는 서비스와
인스턴스들이 늘어
남에 따라 …
CloudTrail은
계속해서 모든
API 요청들에
대해 신뢰성 있는
기록을 수행…
모든 이벤트들에
대한 추적이 가능
: 누가 언제 어디서
무엇을 하려 했고,
결과가
어떠했는지…
AWS CloudTrail

30. 보안 분석
저장된 로그 파일들을 로그 관리 및 분석 솔루션의 입력 데이터로 사용해서, 보안 분석을
수행하고 사용자 행동 패턴을 감지
AWS 자원에 대한 변경사항을 추적
Amazon EC2, VPC 보안 그룹 및 EBS 볼륨과 같은 AWS 자원에 대한 생성, 수정, 및 삭제를
추적
운영문제를 해결
가장 최근에 변경된 사용자 환경의 자원 변경 사항을 신속하게 식별
규정준수 지원
보다 쉽게 내부 정책이나 규정 기준을 증명
AWS CloudTrail로 가능한 사용 사례

33. 인스턴스 정지관련 API
(StopInstances) 호출

34. 제어
데이터, 사용자, 네트워크

35. 컴퓨팅과 스토리지의 위치를 고객이 직접
선택
12 리전

37. AWS Identity & Access Management
AWS 계정에서 누가 무엇을 할 수 있는지 제어
•사용자, 그룹, 롤(Role) 및 권한
•제어…
• 중앙집중식
• 잘 갖춰진 - APIs, 자원, 및 AWS 관리 콘솔
•보안…
• 기본적으로 안전함 (거부 규칙)
• 다중 사용자, 개별 보안 신원 및 권한

39. 암호화
일반 텍스트
데이터
하드웨어/
소프트웨어
암호화된
데이터
스토리지에 저장된
암호화된 데이터
암호화된
데이터 키
대칭형
데이터 키
마스터 키대칭형
데이터 키
? 키 계층
?

40. 다양한 키 관리 옵션
DIY
AWS Marketplace Partner
Solution
AWS CloudHSM
AWS Key Management
Service
키 생성 및 저장 장소 Your network or in AWS Your network or in AWS In AWS, on an HSM that you
control
AWS
키가 사용되는 위치 Your network or your EC2
instance
Your network or your EC2
instance
AWS or your applications AWS services or your
applications
키 사용을 제어하는 방법 Config files, Vendor-
specific management
Vendor-specific
management
Customer code + Safenet
APIs
Policy you define; enforced
in AWS
성능/확장에 대한 책임 You You You AWS
AWS 서비스와의 통합 Limited Limited Limited Yes
가격 모델 Variable Per hour/per year Per hour Per key/usage

41. AWS Key Management Service
• 암호화 키의 생성, 제어 및 사용을 쉽게 할 수 있도록 지원하는
관리형 서비스
• Amazon EBS, Amazon S3, Amazon RDS 및 Amazon Redshift
와 같은 AWS 서비스와 AWS SDK에 통합
• 규정 준수 활동에 도움을 줄 수 있는 감사 로그를 제공하기
위해 AWS CloudTrail 과 통합

42. AWS Key Management Service
AWS IAM 콘솔과 통합

43. AWS Key Management Service
Amazon EBS와 통합

44. AWS Key Management Service
Amazon S3와 통합

45. AWS Key Management Service
Amazon Redshift와 통합

46. 언제 어느 곳에서도 암호화
AWS CloudTrail
AWS IAM
EBS
RDS
Amazon Redshift
S3
Glacier
전송 시 암호화
그리고 저장 시 암호화
전면 감사
완전 관리형 키
제한된 접근

47. AWS 내에 격리된 가상 사설 네트워크 생성가용영역A
가용영역B
AWS Virtual Private Cloud
• 논리적으로 분리된 일종의
가상 사설망 생성
• VPC상에서 사설 IP대역 선택
• 적절하게 서브넷팅하고 EC2
인스턴스를 배치
AWS network security
• AWS 네트워크는 IP 스푸핑
및 레이어 2 공격차단
• 소유하지 않은
EC2인스턴스에 대한 스니핑
불가
• 외부와의 모든 라우팅과
연결을 통제

49. 애플리케이션에 맞도록 서브넷 분리
앱
DB웹
웹

51. 각 서브넷에 네트워크 접근 제어 목록(NACL)
사용
앱
웹
웹
허가
DB
모든 트래픽 거부

52. Availability Zone
‘A’
Availability Zone
‘B’
Subnet ACL
예시
각 서브넷에 네트워크 접근 제어 목록(NACL)
사용

54. 각 EC2인스턴스에 보안그룹 방화벽 사용
앱
포트
443
DB웹
웹 포트 443

55. v
 보안그룹 규칙
 적용포인트 : 인바운드/아웃 바운
 Protocol : 모든 인터넷 프로토콜 지원
 IP/Port 에 대한 접속 허용/차단
 Stateful 방화벽
보안그
룹
각 EC2인스턴스에 보안그룹 방화벽 사용

56. 계층적인 보안그룹 규칙 (Rule)
 동적으로 생성되는 규칙
 보안그룹 멤버쉽 에 따름
 계층적인 네트워크 구조 생성
TCP 22
163.128.25.32/32
TCP 80
0.0.0.0/0
TCP 22
“ ”
TCP 8080 “ ”
TCP 22
“ ”
TCP 3306 “ ”
TCP 22 “ ”
각 EC2인스턴스에 보안그룹 방화벽 사용
163.128.0.0/16

58. 서브넷에 대한 라우팅 제어 (인터넷 or 고객DC)
프라이빗
앱
On-Prem 복제
DB
퍼블릭
프라이빗
웹
웹

60. 안전하게 VPC간 리소스 공유
디지털
웹
싸이트
빅
데이터
분석
기업용 앱
• 사설 VPC들 및 각 VPC
간의 특정 서브넷 피어
사이에 트래픽 라우팅
• 심지어 다른 AWS 계정
과도 가능
범용 서비스
AWS
VPC 피어링

61. 기존 데이터센터와 안전하게 연결
디지털
웹
싸이트
빅
데이터
분석
기업용 앱
개발/
테스트
AWS Direct
Connect
고객 DC
AWS Internet
VPN
고객 AWS 환경

62. 감사
컴플라이언스, 변경 내역, 로그

63. AWS Config
•AWS 리소스에 대한 인벤토리
•신규 또는 삭제된 리소스에 대한 인식
•지속적으로 구성정보 변경을 기록
•구성이 변경되면 통지

64. 정규화변경 내역 기록리소스
변경
AWS Config
전달
스트림
스냅샷(ex. 2014-11-05)
AWS Config
APIs
저장
이력

65. 보안 분석: 나는 안전한가요?
규정 감사: 어디에 증거가 있나요?
변경 관리: 이 변경에 대한 영향은 무엇이 될까요?
문제 해결: 무엇이 변경되었나요?
AWS Config로 가능한 사용 사례

66. Config Rules
• 변경된 내역에 대해 검증하는 규칙 설정
• AWS가 제공하는 내장된 규칙 사용
• AWS Lambda를 활용한 커스텀 규칙 지원
• 지속적인 진단수행을 자동화
• 컴플라이언스 시각화나 위험한 변경을 식별하기 위해
대쉬보드 제공.

67. AWS Config & Config Rules
AWS Config
APIs
정규화변경 내역 기록
리소스
변경
전달저장
스트림
스냅샷(ex. 2014-11-05)
이력

68. CloudWatch Logs 로 모든 것을 모니터링
Amazon CloudWatch Logs: EC2 인스턴스나 다른 자원에
대해서 시스템, 애플리케이션 및 커스텀 로그를 모니터링
할 수 있음. 예를들면;
웹 서버의 HTTP 로그 파일을 모니터링하고 에러(404 등)를
식벽하기 위해 CloudWatch Metrics의 필터를 사용하여
지정된 기간 내에 발생 횟수를 카운트
404 에러의 횟수가 사전에 설정된 임계치에 도달하게 되면
CloudWatch Alarms가 통지를 할 수 있음.
=> 문제의 원인을 파악하기 위해 자동으로 티켓을
생성하도록 사용 가능

69. AWS 보안은 …을 제공합니다
더 나은 가시성
더 나은 제어
더 나은 감사 기능

70. NASDAQ
암호화 기반의 데이터 분석
• 구내에 HSM을 구축
• 암호화 키를 HSM에서 관리
• S3의 데이터 암호화
• EMR 이용 시에만 암호 해독
S3 EMR HSM
암호화된 데이터
S3에 저장
암호화된 데이터
EMR로 처리
HSM에서 온
암호화 키
계층
S3 암호화 클라이언트

71. 메가마트
• VPC 및 관련 구성 요소 활용
• VPN을 이용해 안전하게
IDC와 연결
• 파트너 솔루션을 이용한
DB 암호화 & 접근 제어
참고: AWS Summit Seoul 2015 – 국내 엔터프라이즈 클라우드 도입 구축 사례 및 고려사항

72. AWS 보안 센터
다양한 보안 정보 및 문서를 제공하는 AWS 보안 포털: http://aws.amazon.com/security
• 보안 프로세스 소개
• AWS 리스크 및 컴플라이언
• AWS 보안 베스트 프랙티스
보안 백서
보안 리소스 취약점 리포팅
침해 테스팅
신청 절차
수상한 이메일
신고
보안 게시판

73. 보안 리소스 및 블로그
보안 리소스, 교육, 도구들에 대한 광범위한 소개:
http://aws.amazon.com/security/security-resources/
개발자
정보
기고문 +
튜토리얼
보안 제품 백서
AWS보안 및 컴플라이언스와 관련된 최신 정보를 제공:
http://blogs.aws.amazon.com/security/
AWS 보안 블로그
AWS 보안 리소스

74. 보안과 규정 준수가
클라우드를 도입하는
중요한 이유입니다

75. 온라인 자습 및 실습
다양한 온라인 강의
자료 및 실습을 통해
AWS에 대한 기초적인
사용법 및 활용 방법을
익히실 수 있습니다.
강의식 교육
AWS 전문 강사가 진행하는
강의를 통해 AWS 클라우드로
고가용성, 비용 효율성을 갖춘
안전한 애플리케이션을 만드는
방법을 알아보세요. 아키텍쳐 설계
및 구현에 대한 다양한 오프라인
강의가 개설되어 있습니다.
인증 시험을 통해
클라우드에 대한 자신의
전문 지식 및 경험을
공인받고 개발 경력을
제시할 수 있습니다.
AWS 공인 자격증
http://aws.amazon.com/ko/training
다양한 교육 프로그램

76. AWS 기초 웨비나 시리즈에 참여해 주셔서 감사합니다!
이번 웨비나가 여러분의 궁금증 해소에 도움이 되었길 바랍니다.
이후 이어질 설문 조사를 통해 오늘 웨비나에 대한 의견을 알려주세요.
aws-korea-marketing@amazon.com
http://twitter.com/AWSKorea
http://facebook.com/AmazonWebServices.ko
http://youtube.com/user/AWSKorea
http://slideshare.net/AWSKorea