* 발표 동영상: https://youtu.be/r84IuPv_4TI AWS 서비스 환경을 대상으로 하는 각종 보안 위협에 대응하기 위해 인터넷에서 유입되는 트래픽에 대한 안전한 보호와 VPC 내부에서 발생할 수 있는 다양한 네트워크 트래픽을 보다 효율적이고 안전하게 보호할 수 있는 네트워크 보안 구성 방안과 모범 사례에 대해 소개합니다.

1. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Network Security on AWS
조이정
Solutions Architect
Amazon Web Services
AWS온라인이벤트–클라우드보안특집

2. 강연 중 질문하는 방법
오른쪽의 “Questions/질문” 창에 질문을
남겨주세요. 본인만 답변을 받고 싶으신 경우,
(비공개)라고 하고 질문해 주시면 됩니다.
본 컨텐츠는 고객의 편의를 위해 AWS 서비스 설명을 위해 온라인 세미나용으로 별도로 제작, 제공된 것입니다. 만약 AWS
사이트와 컨텐츠 상에서 차이나 불일치가 있을 경우, AWS 사이트(aws.amazon.com)가 우선합니다. 또한 AWS 사이트
상에서 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다.
AWS는 본 컨텐츠에 포함되거나 컨텐츠를 통하여 고객에게 제공된 일체의 정보, 콘텐츠, 자료, 제품(소프트웨어 포함) 또는 서비스를 이용함으로 인하여 발생하는 여하한 종류의 손해에
대하여 어떠한 책임도 지지 아니하며, 이는 직접 손해, 간접 손해, 부수적 손해, 징벌적 손해 및 결과적 손해를 포함하되 이에 한정되지 아니합니다.
고지 사항(Disclaimer)

3. Agenda
• AWS 네트워크 보안 개요
• 서비스 & 모범 사례 :
• 네트워크 격리 및 접근 제어 - Amazon VPC
• 어플리케이션 위협 보호 - AWS WAF
• DDoS 방어 - AWS Shield
• 네트워크 방화벽 - AWS Network Firewall

4. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.

5. Basic Application Architecture on AWS
EC2 Instance
S3 Bucket
Default VPC
ALB

6. 악의적인 행위자는
언제나 약한 부분
(weak point)을 찾습니다.

7. 어떤 공격이 있을까 ?
Hardware hacking, physical access
attacks, sniffing
Mac spoofing, sniffing
IP attacks,
Port scanning, DDoS, Flag
manipulation
Session hijacking, SYN attacks
Protocol attack
Sql injection, exploit code, malware

8. 네트워크 보호를 위한 5개 레이어
확장성이 뛰어나고 안전하며 편하게 모니터링할 수 있는
DDoS 보호 애플리케이션을 구축하겠다.Objective:
네트워크 격리
네트워크 접근 제어
네트워크 방화벽
어플리케이션 위협 보호
DDoS 방어
AWS
Marketplace

9. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.

10. 네트워크 보호의 시작 - VPC (Virtual Private Cloud)
AvailabilityZoneA
AvailabilityZoneB
ELB ELB
Instances Instances
AWS Cloud
VPC (10.0.0.0/16)
Public subnet Public subnet
Private subnet Private subnet

11. 보안 그룹 (Security Group)
DB 보안 그룹
Inbound Rules : TCP/3306,
Source: Web 보안 그룹
ssh/22
Http:80
Blocked
Web 보안 그룹
Inbound Rules : TCP/80
Source: ELB 보안그룹
 인스턴스 단위
 상태 저장 (stateful)
 동적 구성
 최소 권한 원칙
VPC
ELB 보안 그룹
Inbound Rules : TCP/80
Source: 0.0.0.0/0

12. 네트워크 접근 제어 리스트 (NACL)
VPC Subnet 1 VPC Subnet 3
10.0.0.0/24 10.0.1.0/24
VPC Subnet 2 VPC Subnet 4
10.0.2.0/24 10.0.3.0/24
 서브넷 단위
 상태 비저장 (stateless)
 최소권한원칙
VPC

13. 보안 계층 on VPC
VPC
Subnet 1
Security Group SG
Subnet 2
Network ACL Network ACL
SG
Routing TableRouting Table
Virtual Private GatewayInternet Gateway
Instance level lockdown
Isolate network functions
Network level lockdown
Route restrictively

14. VPC Endpoints
Instance BNAT-GW0.0.0.0/0
AWS Region
Private subnet
Internet
Public subnet
Amazon S3
IGW
VPCE(s)
10.1.0.0/16 Local
0.0.0.0/0 IGW
Destination Target
10.1.0.0/16 Local
S3.prefix.list VPCE-123
Destination Target
AWS Glue
ENI

15. Traffic Monitoring
vs.
VPC Flow Logs VPC Traffic Mirroring
- Real network packets with the ability to truncate
- Destination: Another elastic network interface or
Network Load Balancer
- Logs of network flows
- Each record captures the network flow for a
specific 5-tuple, for a specific capture window
- Destination: Amazon S3 or Amazon CloudWatch
Logs
- Real network packets
AWS
account
Source IP
Destination IP
Source port
Destination port
Interface
Protocol Packets
Bytes
Start/end time
Accept or
reject
EC2
instance
Inbound packets
Outbound packets
Monitoring
instance
ENI-1 ENI-1
IGW
VPC

16. Application Architecture on AWS
EC2 Instance
S3 Bucket
Public
Subnet
Private
Subnet
ALB

17. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.

18. 웹 기반 공격
<Web App 공격 트랜드 (2019) >
출처 : https://www.cbronline.com/news/sql-injection-attacks

19. AWS WAF를 선택하는 이유

20. AWS WAF -
WEB/WAS
www.example.com
CloudFront
사용자
Safe
Traffic
Edge Location
Edge Location
WAF
WAF
해커 악성 봇
적법 접근
SQLi, XSS, ..
WAF
ELB
ALB
사용자
적법 접근
VPC
WEB/WAS

21. AWS WAF -
Web ACLs :
o AWS resource 지정 (CloudFront / ALB / API GW)
o 규칙을 추가하여 보호 전략을 정의
o Amazon managed rule
o Custom rule
o Web ACL에 대한 기본 작업 지정 (차단/허용)
o 규칙 우선순위 설정
o CloudWatch metric 지정
Rule groups:
o JSON 포멧의 룰
o Visual editor
o JSON editor
o 재사용 가능한 custom 규칙 저장
o 리전 특정
o 규칙 우선순위 설정
AWS WAF Console
IP sets:
o 규칙 문에 사용되는 IP 주소 및 IP 주소 범위
Regex pattern sets:
o 규칙 문에 사용되는 정규 표현식 모음
** Web ACL 혹은 Rule group에서 사용됨
Web ACL
생성
보호할
서비스 연결
규칙 정의

22. AWS MarketplaceCustom RuleAmazon managed Rule

23. Category Ruleset Description WCU consumed
CRS Core Ruleset OWASP Top 10 및 CVE 700
CRS Admin Protection 외부에 노출된 어드민 페이지에 대한 엑세스 차단 100
CRS Known Bad Inputs 알려진 취약성 악용 요청 차단 200
EXR SQL DB SQL 데이터베이스 악용과 관련된 요청 패턴 차단 200
EXR Linux operating system
LFI(로컬 파일 포함) 공격을 포함, Linux 특정한 취약성 악용과
관련된 요청 패턴 차단
200
EXR POSIX operating system
LFI(로컬 파일 포함) 공격을 포함, POSIX 및 POSIX 유사 운영
체제에 특정한 취약성 악용과 관련된 요청 패턴 차단
100
EXR Windows operating system
PowerShell 명령의 원격 실행과 같이 Windows에 특정한 취약성
악용과 관련된 요청 차단
200
EXR PHP application 안전하지 않은 PHP 함수 삽입 차단 100
EXR WordPress application WordPress 관련된 취약성 악용과 관련된 요청 패턴 차단 100
IP List Amazon.com IP Reputation List Amazon 내부 위협 인텔리전스를 기반으로 봇과 같은 위협 차단 25
IP List Anonymous IP list
뷰어 ID의 난독화를 허용하는 서비스 요청을 차단 (VPN, 프록시,
Tor 노드 및 호스팅 공급자의 요청 등)
50
AWS 관리형 규칙 목록

24. Custom 규칙
일치 조건(한글) 설명
지역 일치
요청의 출처 국가를 검사
IP 집합 일치
요청 출처를 IP주소 및 주소 범위 집합과 비교
정규식 패턴 집합 정규식 패턴을 지정된 요청 구성 요소와 비교
크기 제약 조건 지정된 요청 구성 요소에 대해 크기 제약 조건을 검사
SQL 주입 공격 지정된 요청 구성 요소에서 악성 SQL 코드를 검사
문자열 일치 문자열을 지정된 요청 구성 요소와 비교
XSS 공격 지정된 요청 구성 요소에서 사이트 간 스크립팅 공격을 검사
일치 조건
논리적 규칙문
논리적 문 설명 중첩 가능 여부
AND 로직 중첩된 문을 AND 로직과 결합 예
NOT 로직 중첩된 문의 결과를 무효화 예
OR 로직 중첩된 문을 OR 로직과 결합 예
요청 구성 요소
헤더
HTTP 메서드
쿼리 문자열
단일 쿼리
파라미터
모든 쿼리
파라미터
URI
본문 (Body)
검사 요소
허용 (Allow)
차단 (Deny)
계수 (Count)
규칙 작업
소문자 변환
HTML 디코딩
공백 표준화
명령줄 간소화
URL 디코딩
텍스트 변환
Regular
비율 기반
규칙 타입

25. Request
Web Access Control List (Web ACL)
Managed
Rule Group
Single-digit
millisecond latency
Amazon
CloudFront
Application
Load Balancer
Amazon API
Gateway
Amazon
CloudWatch
Users
Rule 1
Rule 2
Rule Z
…
Order (Priority)
IP set
Action
Associated
AWS resources
Logging and Metrics
Rules
Default
Action
Allow
or
Deny
Actions:
• Accept
• Deny
• Count
Rule
Action
Rule
• Core ruleset
• Known bad
input
• SQL DB
• Linux
• ….
Custom
Rule Group
Rule 1
Rule 2
Rule Z
……
Rule
• GeoMatch
• Regex pattern
• String match
• SQLi
• Size match
• Xss

26. CloudWatch Metrics
• 모든 규칙에 대한 메트릭 제공
• Allowed | Blocked | Counted |
Passed
Sampled Web Requests
• Detailed logs, of a Sample of
requests
• Automatically available for every
Rule
Full Logs
• Detailed logs, of Every request this
word just for spacing
• Optionally enabled for your WebACL
Use Case
알람 설정
Use Case
Quickly test AWS WAF Rules
Easy triaging on the console
Use Case
Security analytics, monitoring,
automation, auditing, and compliance

27. https://aws.amazon.com/ko/solutions/implementations/aws-waf-security-automations/
AWS Managed Rules(A)
수동 IP 목록(B 및 C)
SQL 주입(D) 및 XSS(E)
HTTP 플러드(F)
스캐너 및 프로브(G)
IP 평판 목록(H)
악성 봇(I)

28. AWS WAF를 선택하는 이유
AWS 서비스들과의
seamless 한 통합
쉬운 구성
Amazon
관리형 규칙
Custom 규칙
AWS
마켓플레이스
Cloudwatch
Sampled
request
Full Log
WAF
Automation
AWS Firewall
manager

29. Application Architecture on AWS
EC2 Instance
S3 Bucket
Public
Subnet
Private
Subnet
ALB
WAF

30. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.

31. DDoS (분산 서비스 거부 공격)
Attacker Target
Masters
Bots
악성 코드에 감염된 컴퓨터,
라우터, IoT 장치 및 기타
엔드 포인트의 분산된 그룹으로
이루어진 여러 소스를 사용하여
대상을 압도하는 패킷 또는
요청을 생성하는 공격

32. DDoS 공격 패턴
SYN/ACK Flood | UDP Flood | ReflectionTransport
Ping of Death | ICMP Flood | TeardropNetwork
Data Link
Physical
Operated & Protected by AWS
Presentation
Application
Session
HTTP Flood, App exploits, SQL Injection, Bots, Crawlers,
SSL Abuse, Malformed SSL

33. DDoS 사이즈 트랜드
0
200
400
600
800
1000
1200
1400
1600
1800
2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
Largest DDoS Attacks (Gbps)
Memcached
attacks
Mirai attacks

34. DDoS를 대응하는 자세
공격지점을 최소화
공격을 흡수할 수 있는 확장성을 구현
AWS 관리형 서비스들을 앞 단에 배치
정상 상태에 대한 기준을 확립
노출된 리소스에 대한 대책을 수립
공격에 대응하기 위한 계획을 수립

35. Private subnetPublic subnet
DDoS Resilient 참조 아키텍처 – 공격 지점 최소화
Amazon
Route 53
EC2
ALB
Amazon
CloudFront
AWS WAF
Amazon
API Gateway
DDoS
Attack
Users
AWS Cloud
VPC
Web Application
Security GroupALB Security Group
BP1
BP4
BP5
Auto Scaling
group

36. Private subnetPublic subnet
DDoS Resilient 참조 아키텍처 – 인프라 레이어
Amazon
Route 53
EC2
ALB
Amazon
CloudFront
AWS WAF
Amazon
API Gateway
DDoS
Attack
Users
AWS Cloud
VPC
Web Application
Security GroupALB Security Group
BP1
BP3
BP6
Auto Scaling
group
BP7

37. Private subnetPublic subnet
DDoS Resilient 참조 아키텍처 – 어플리케이션 레이어
Amazon
Route 53
EC2
ALB
Amazon
CloudFront
AWS WAF
Amazon
API Gateway
DDoS
Attack
Users
AWS Cloud
VPC
Web Application
Security GroupALB Security Group
BP1BP2
Auto Scaling
group

38. 기준, 계획, 대응
• CloudWatch를 통해 정상 사용
수준에 대한 이해와 측정
• 수립한 아키텍쳐에 대한 복원력
검증
• 공격 수용시 서비스 확장의 규모
및 비용에 대한 부분 고려
• 공격 받을 경우 비상 연락망
• 지능적이고 즉각적인 대응
예 : WAF 규칙 자동 업데이트

39. AWS Shield
관리형 DDoS 보호 서비스

40. Shield Standard Shield Advanced
별도 비용 없이 모든 AWS 고객들이
이미 사용 중!
대규모 혹은 복잡한 공격으로부터
서비스를 보호하는 유료 서비스
CloudFront EIPRoute53 ELB Global
Accelerator

41. AWS Shield Advanced
 DDoS Response Team (DRT) 의 24x7 지원
 AWS WAF 및 Firewall Manager 기본(무료)제공
 DDoS Visibility 제공
 CloudWatch 메트릭
 공격 진단 리포트
 글로벌 위협 환경 대시보드
 공격 수용에 따른 AWS자원 사용비용 경감
관리형 Anti-DDoS 서비스

42. EC2 Instance
S3 Bucket
Public
Subnet
Private
Subnet
Shield
Shield
Advanced
ALB
CloudFront
WAF
Application Architecture on AWS

43. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.

44. AWS Network Firewall
VPC 를 위한 managed 형 네트워크 방화벽 및 침입 방지/탐지 서비스
VPC

45. AWS Network Firewall 의 특징

46. AWS Network Firewall 의 차이점
• IP / 포트 / 프로토콜 기반 정책
• 인스턴스/서브넷 기반 엑세스 제어
• 웹 앱을 위한 방화벽
• 인터넷 > 어플리케이션 트래픽에 적용
• ENI 수준에서 작동, 타입 제한
• Out of band 구성에 비동기
• 추가적인 보안 제어
• VPC내 모든 흐름을 검사
• Layer 3 ~ Layer 7 에 상호보완적
• Internal threat 에도 활용 가능
• VPC내 모든 흐름을 검사
• 인라인 및 동기식 동작

47. AWS Network Firewall Service
Rule group 생성
Firewall policy
생성
Firewall 생성
라우팅 테이블
편집

48. AWS Network Firewall
Firewall subnet
Customer subnet
Stateless
engine
Stateful
engine
x
Drop
x
Drop
Pass
Forward to stateful
x
Drop
x
Drop

49. EC2 Instance
S3 Bucket
Public
Subnet
Private
Subnet
Shield
Shield
Advanced
ALB
CloudFront
WAF
Application Architecture on AWS
Network Firewall

50. AWS Identity & Access
Management (IAM)
AWS Single Sign-On
AWS Organizations
AWS Directory Service
Amazon Cognito
AWS Resource Access
Manager
AWS Security Hub
Amazon GuardDuty
Amazon Inspector
Amazon CloudWatch
AWS Config
AWS CloudTrail
VPC Flow Logs
AWS Firewall Manager
AWS Shield
AWS WAF – Web
application firewall
Amazon Virtual Private
Cloud (VPC)
AWS Network Firewall
Service
AWS Systems Manager
Amazon Macie
AWS Key Management
Service (KMS)
AWS CloudHSM
AWS Certificate Manager
AWS Secrets Manager
AWS VPN
Server-Side Encryption
Amazon Detective
CloudEndure DR
AWS Config Rules
AWS Lambda
Identity & access
management
Detection
Infrastructure
protection
Incident
response
Data
protection
AWS security, identity, and compliance solutions

51. AWS 온라인 이벤트 – 클라우드 보안 특집에
참석해주셔서 대단히 감사합니다.
저희가 준비한 내용, 어떻게 보셨나요?
더 나은 세미나를 위하여 설문을 꼭 작성해 주시기 바랍니다.
aws-korea-marketing@amazon.com
twitter.com/AWSKorea
facebook.com/amazonwebservices.ko
youtube.com/user/AWSKorea
slideshare.net/awskorea
twitch.tv/aws

52. Thank you!
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
조이정 SA
yijeong@amazon.com