6. 3) 그럼 왜 그렇게 많은 계획과 준비가 필요해 질까요?
절차와 정책,
프로세스가 너무 많아요
7. 4) 그럼 왜 그렇게 많은 프로세스가 있게 된 걸까요?
실수를 하긴 쉽고,
방지하기가 어려우니까요
8. 5) 그럼 실수를 방지하는 것이 왜 그렇게 어려울까요?
즉각 실수를 찾아 낼 수 있
는 가시성이 부족해서요
자동화 수준이 낮아서
일일히 관리자의 손길이
필요해요
9. 그래서 AWS가 하려는 것은?
자동화된 대응
민첩한 보안
• DDoS 등 증가하는 보안 위협에 대한 보다 안전한 클라우드
• 비지니스를 가로막는 보안이 아닌, 민첩하고 자동화된 보안을 구성할 수 있는 도구들
• 보안 규정이 내제화된 운영 환경과 상시 감사 체계
10. 전적으로 AWS에서
AWS는 클라우드에 최적화된 보안을 제공합니다.
전통적인 물리적 보안에서 대두되었던 아이디어들이 AWS API를 통해 가상화된 인프라에 적용되고 있습니다. 이를 통해서, 여러분들은 각
자 고유한 보안 및 컴플라이언스 요건들을 충족시켜줄 아키텍쳐를 쉽고 빠르게 적용할 수 있게 됩니다.
다이내믹한 API 레이어에 대
한 완벽한 보안 (인증+인가+
로깅)을 제공하고 있습니다.
기존에 수행하던 방식과 유사
하게 적용하실 수 있도록 다양
한 기능을 제공하고 있습니다.
11. AWS와 고객이 보안을 함께 완성할 책임이 있습니다.
클라우드 상에서
운영되는 영역
에 대한 적절한
보안/통제를 마
련하십시요
AWS는 클라우
드 자체의 보안
/통제를 담당합
니다.
AWS
기반 서비스
컴퓨트
스토리지
데이터베이스
네트워킹
AWS
글로벌 인프라
리젼
가용 영역
엣지 로케이션
네트웍 보안
IT
자산관리
고객 어플리케이션과 컨텐츠
고객
데이터 보안
접근 통제
135. 2015년 2분기 DDoS 공격 형태
1.04
39
평균 DDoS 공격 규모
Source:
Arbor
Networks
평균 지속 시간
10
Gbps
공격
네트웍 및 서비스
인프라를 목표로
한 DDoS 공격비율
85%
Gbps
분
136. DDoS 방어를 위해 해야 할 일
• AWS의 인프라는 TCP/UDP Flooding
같은 Layer 3/4 의 DDoS공격을 잘 방
어할 수 있도록 설계되어 있습니다.
• 그 위에서 여러분들의 환경을 안전하게
운영할 수 있는 다양한 고려들을 하실
수 있습니다.
137. Layer 3/4 기반 DDoS 공격 대응력
IP
ICMP
TCP
Elasc
Load
Balancing
UDP
잘못된
DNS쿼리
Amazon
Route
53
Amazon
CloudFront
138. CloudFront – DNS reflection 대응 사례
• DNS reflection 과 UDP flood 복합 공격 사례
• CloudFront에 의해 자동으로 드랍됨
• CloudFront 자체와 CloudFront 고객의 트래픽에는 전혀 영향 없음
139. DDoS 공격을 방어하는 AWS infrastructure
• 주요 기능
• 항상 인라인 모드
• 목적지향 혹은 경험 기반 경감 조치
• 표준화된 하드웨어
• 기반 작업
• IP 주소 체크섬
• 비정상 TCP 플래그 체크
• UDP 페이로드 길이 체크
• DNS 요청 헤더 검증
• 효과
• 평균 회복 시간 감소
• 마이크로 초 단위 지연시간
virtual private cloud
AWS
글로벌 인프라
DDoS 공격
사용자
AWS
DDoS 경감
AWS
DDoS 경감
CloudFront
Route 53
140. 우선순위 기반 트래픽 패턴분석
• 정상 트래픽이 DDoS 공격처럼 보일 수 있습니다.
• 트래픽에 우선순위를 부여하고, 가용성을 보호하기 위한 다양한 정보들을 활용합니다.
• 오탐을 최소화 하고, 알려진 또는 알려지지 않은 공격을 경감시키고 있습니다.
249. 노출된 리소스에 대한 대책을 세우세요.
• CloudFront 리소스에 대한 제한된 접근
• 불필요한 지역 blocking, Origin Access Identity(S3)
• Route 53을 통해 DNS 노출 정보 최소화
• Private DNS, Alias Record Sets
• 확장이 쉽지 않은 비싼 벡엔드 리소스에 대한 보호조치 - WAF
• Request rate limits
• 특정 유형의 요청 블락
• Auto Scaling with WAF Sandwich
297. 공격에 대응하기 위한 계획을 수립하세요.
• 공격을 대비하여 다음을 확인:
• 복원력있는 아키텍쳐인지 è 수립한 아키텍쳐에 대한 검증 및 사전 기능 테스
트(모의해킹은 AWS에 사전 공지 필수!!)
• 공격 수용시 서비스 확장의 규모 및 비용에 대한 부분 고려
• 공격 받을 경우 비상 연락망
• Account Team
• AWS 담당 영업은 여러분들의 대리인
• Solutions Architect의 축적된 경험 활용
• AWS 써포트 티어
• 비지니스 – 전화/채팅/이메일, 1 시간 응답
• 엔터프라이즈 – 15 분내 응답, 전담 Technical Account Manager, proactive notification
298. 보다 자세한 정보는?
• 백서 : DDoS 대응을 위한 AWS 모범 사례
http://d0.awsstatic.com/International/ko_KR/whitepapers/DDoS_Whitepaper.pdf
• AWS 클라우드 보안소개
http://aws.amazon.com/ko/security/
DDoS
307. AWS를 활용할 때의 보안 대책/감사의 핵심
• 가상화 OS이상은 기존의 시큐리티 대책/감사와 동일하게 대응 가능
• OS나 응용프로그램의 인증로그, 억세스 로그
• 방화벽 설정 확인
• 안티바이러스의 도입과 패치 버전 확인
• 시스템/자원 모니터링
• 사용자 관리,암호 정책
• 중요한 데이터에 대한 암호화 및 키 관리
• AWS가 제공하는 암호화 기능 사용
• 이용자 임의의 암호화 키를 사용하는 것도 가능
• AWS Compliance, 보안백서의 활용
308. 고객의 규제준수를 지원하기 위한 AWS의 노력들
컴플라이언스 인증
지원 문서 패키지
고객 사례
Security
by
Design
(SbD)
AWS CloudTrail
AWS CloudHSM
AWS IAM
AWS KMS
AWS
Config
309. Security by Design – SbD
• Security by Design (SbD)은 AWS 계정 설
계, 자동화된 보안 통제, 밀겹합된 감사등에
대해 공식적으로 보증하는 최신, 보안 보증
프로그램입니다.
• SbD는 보안을 검증하기 위한 시스템 화된
절차로서, 기존처럼 사후 증적 감사에 의존하
지 않도록 IT관리 프로세스 전반에걸쳐 통제
요건들을 제시합니다.
CloudTrail
CloudHSM
IAM
KMS
Config
310. ‘Security by Design’ 기대효과
• 고객의 거버닝 정책을 스크립트로 만들수 있습니다.
• 관리 통제에 대한 신뢰할 만한 기술적인 구현을 제공합니다.