고급 AWS 클라우드 보안 및 규정 활용 방법 - 임기성 솔루션즈 아키텍트:: AWS Cloud Track 2 Advanced
•
3 gefällt mir•798 views
2016년 1월 7일 AWS Cloud행사에서 임기성 솔루션즈 아키텍트 께서 발표하신 “고급 AWS 클라우드 보안 및 규정 활용 방법 “ 발표자료입니다.
Empfohlen
Empfohlen
Weitere ähnliche Inhalte
Was ist angesagt?
Was ist angesagt? (20)
Andere mochten auch
Andere mochten auch (7)
Ähnlich wie 고급 AWS 클라우드 보안 및 규정 활용 방법 - 임기성 솔루션즈 아키텍트:: AWS Cloud Track 2 Advanced
Ähnlich wie 고급 AWS 클라우드 보안 및 규정 활용 방법 - 임기성 솔루션즈 아키텍트:: AWS Cloud Track 2 Advanced (20)
Mehr von Amazon Web Services Korea
Mehr von Amazon Web Services Korea (20)
고급 AWS 클라우드 보안 및 규정 활용 방법 - 임기성 솔루션즈 아키텍트:: AWS Cloud Track 2 Advanced
- 1. 고급 AWS 클라우드 보안 및 활용방법 임기성 | 솔루션즈 아키텍트
- 2. 목차 • AWS 클라우드 보안 소개 • AWS 신규 보안 서비스 소개 • DDoS 대응 모범 사례 • Security by Design
- 3. AWS 클라우드 보안 소개
- 4. 1) 왜 보안이 핫토픽이 되었을까요? 중요한 것 같은데 어려워요.
- 5. 2) 그럼 그동안 보안이 왜 그렇게 어려웠을까요? 너무 많은 계획과 준비가 필요해요
- 6. 3) 그럼 왜 그렇게 많은 계획과 준비가 필요해 질까요? 절차와 정책, 프로세스가 너무 많아요
- 7. 4) 그럼 왜 그렇게 많은 프로세스가 있게 된 걸까요? 실수를 하긴 쉽고, 방지하기가 어려우니까요
- 8. 5) 그럼 실수를 방지하는 것이 왜 그렇게 어려울까요? 즉각 실수를 찾아 낼 수 있 는 가시성이 부족해서요 자동화 수준이 낮아서 일일히 관리자의 손길이 필요해요
- 9. 그래서 AWS가 하려는 것은? 자동화된 대응 민첩한 보안 • DDoS 등 증가하는 보안 위협에 대한 보다 안전한 클라우드 • 비지니스를 가로막는 보안이 아닌, 민첩하고 자동화된 보안을 구성할 수 있는 도구들 • 보안 규정이 내제화된 운영 환경과 상시 감사 체계
- 10. 전적으로 AWS에서 AWS는 클라우드에 최적화된 보안을 제공합니다. 전통적인 물리적 보안에서 대두되었던 아이디어들이 AWS API를 통해 가상화된 인프라에 적용되고 있습니다. 이를 통해서, 여러분들은 각 자 고유한 보안 및 컴플라이언스 요건들을 충족시켜줄 아키텍쳐를 쉽고 빠르게 적용할 수 있게 됩니다. 다이내믹한 API 레이어에 대 한 완벽한 보안 (인증+인가+ 로깅)을 제공하고 있습니다. 기존에 수행하던 방식과 유사 하게 적용하실 수 있도록 다양 한 기능을 제공하고 있습니다.
- 11. AWS와 고객이 보안을 함께 완성할 책임이 있습니다. 클라우드 상에서 운영되는 영역 에 대한 적절한 보안/통제를 마 련하십시요 AWS는 클라우 드 자체의 보안 /통제를 담당합 니다. AWS 기반 서비스 컴퓨트 스토리지 데이터베이스 네트워킹 AWS 글로벌 인프라 리젼 가용 영역 엣지 로케이션 네트웍 보안 IT 자산관리 고객 어플리케이션과 컨텐츠 고객 데이터 보안 접근 통제
- 12. AWS 보안 기능들 데이터
- 13. AWS
- 14. 컴플라이언스
- 15. 프로그램
- 16. 물리적
- 17. 출입통제
- 18. 물리적
- 19. 보안
- 20. 그룹
- 21. VPC
- 22. NACL설정
- 23. 네트웍
- 24. VPC
- 25. Flow
- 26. Logs
- 27. Bastion
- 28. Hosts
- 30. /
- 31. NAT
- 32. HTTPS
- 33. /
- 34. SSL
- 35. /
- 36. TLS
- 37. Service
- 38. Catalog
- 39. Config
- 40. IAM(MFA/Role)
- 41. Cloud
- 42. Watch
- 43. Logs
- 44. 시스템
- 45. 보안
- 46. KMS
- 47. CloudHSM
- 48. CloudTrail
- 49. 데이터
- 50. 보안
- 52. AWS 보안 기능들 데이터
- 53. AWS
- 54. 컴플라이언스
- 55. 프로그램
- 56. 물리적
- 57. 출입통제
- 58. 물리적
- 59. 보안
- 60. 그룹
- 61. VPC
- 62. NACL설정
- 63. 네트웍
- 64. VPC
- 65. Flow
- 66. Logs
- 67. Bastion
- 68. Hosts
- 70. /
- 71. NAT
- 72. HTTPS
- 73. /
- 74. SSL
- 75. /
- 76. TLS
- 77. Service
- 78. Catalog
- 79. Config
- 80. IAM(MFA/Role)
- 81. Cloud
- 82. Watch
- 83. Logs
- 84. 시스템
- 85. 보안
- 86. KMS
- 87. CloudHSM
- 88. CloudTrail
- 89. 데이터
- 90. 보안
- 91. ISO
- 92. 27017/27018
- 93. 보안그룹
- 94. è
- 95. 500개
- 96. NAT
- 97. G/W
- 98. AMI
- 99. :
- 100. Encrypted
- 101. Boot
- 102. Volume
- 103. Config
- 104. :
- 105. IAM
- 106. Resource
- 107. Type
- 108. CloudTrail
- 109. Log
- 110. validation
- 111. IAM
- 112. :
- 113. Service
- 114. Last
- 115. Accessed
- 117. 보안은 AWS의 최우선 순위 과제입니다! 2014. OCT.
- 118. AWS는 주요 규제/표준/모범사례를 준수합니다.
- 119. 필요에 따라 다양한 솔루션들을 선택하실 수 있습니다. 인프라 보안 로깅 모니터링 계정 및 접근제어 구성 및 취약점 제어 데이터 보호 SaaS SaaS SaaS
- 120. AWS 신규 보안 서비스 소개 • AWS Inspector • AWS Config Rules • AWS WAF
- 121. 새로운 도구로 안전하고, 신속하게, • Amazon Inspector(preview) • AWS Config Rules • AWS WAF
- 122. Amazon Inspector의 주요 기능 Agent 기반 구성 내역 스캐닝 엔진 활동 모니터링 자동화를 위한 API 빌트인 룰셋 제공 – CVE, OS, Network, App, 인증 감사에 최적화 -‐ PCI DSS 3.0
- 123. Amazon Inspector가 주는 이점 민첩성 증가 전문 경험치 내장 보안성 향상 빈틈없는 컴플라이언스
- 124. 적발내역을 중요도에 따라 보여주기
- 125. 자세한 경감 조치 가이드
- 126. AWS Config Rules의 주요 기능 상시 또는 과거 이력을 추적할 수 있는 유연한 규칙 대쉬보드와 리포트 커스텀 경감 조치 API 자동화
- 127. AWS Config Rules의 이점 예상치 못한 변경에 대비한 상시 모니터링 조직 전체의 공통 컴플라이언스 적용 구성 변경에 대한 간편한 관리
- 128. AWS Config Rules
- 129. AWS Config Rules
- 130. AWS WAF의 주요 기능 웹 필터링 규칙 – IP, String, Binary, SQLi Amazon CloudFront 연계 중앙 집중 규칙 관리 실시간 가시성 API 자동화
- 131. AWS WAF의 이점 웹기반 공격에 대한 대응력 강화 손쉬운 적용과 운영 보안이 가미된 개발 프로세스
- 132. AWS WAF 적용 방식 AWS 관리 콘솔 관리자 개발자 AWS API Web app in CloudFront 규칙정의 (WebACL) 적용 AWS WAF
- 133. 자동화된 블랙리스팅 일반 사용자 공격자 웹 서버 AWS WAF 로그 데이터 위협 분석 (SIEM) 규칙 업데이터(API / CLI) 행위 분석 과정 자동화…
- 134. DDoS 대응 모범사례
- 135. 2015년 2분기 DDoS 공격 형태 1.04 39 평균 DDoS 공격 규모 Source: Arbor Networks 평균 지속 시간 10 Gbps 공격 네트웍 및 서비스 인프라를 목표로 한 DDoS 공격비율 85% Gbps 분
- 136. DDoS 방어를 위해 해야 할 일 • AWS의 인프라는 TCP/UDP Flooding 같은 Layer 3/4 의 DDoS공격을 잘 방 어할 수 있도록 설계되어 있습니다. • 그 위에서 여러분들의 환경을 안전하게 운영할 수 있는 다양한 고려들을 하실 수 있습니다.
- 137. Layer 3/4 기반 DDoS 공격 대응력 IP ICMP TCP Elasc Load Balancing UDP 잘못된 DNS쿼리 Amazon Route 53 Amazon CloudFront
- 138. CloudFront – DNS reflection 대응 사례 • DNS reflection 과 UDP flood 복합 공격 사례 • CloudFront에 의해 자동으로 드랍됨 • CloudFront 자체와 CloudFront 고객의 트래픽에는 전혀 영향 없음
- 139. DDoS 공격을 방어하는 AWS infrastructure • 주요 기능 • 항상 인라인 모드 • 목적지향 혹은 경험 기반 경감 조치 • 표준화된 하드웨어 • 기반 작업 • IP 주소 체크섬 • 비정상 TCP 플래그 체크 • UDP 페이로드 길이 체크 • DNS 요청 헤더 검증 • 효과 • 평균 회복 시간 감소 • 마이크로 초 단위 지연시간 virtual private cloud AWS 글로벌 인프라 DDoS 공격 사용자 AWS DDoS 경감 AWS DDoS 경감 CloudFront Route 53
- 140. 우선순위 기반 트래픽 패턴분석 • 정상 트래픽이 DDoS 공격처럼 보일 수 있습니다. • 트래픽에 우선순위를 부여하고, 가용성을 보호하기 위한 다양한 정보들을 활용합니다. • 오탐을 최소화 하고, 알려진 또는 알려지지 않은 공격을 경감시키고 있습니다.
- 141. 여러분들이 참고할 수 있는 6가지 효과적인 대응 방안 AWS
- 142. 서비스들을
- 143. 앞단에
- 144. 배치하세요.
- 145. 공격지점을
- 146. 최소화
- 147. 시키세요.
- 148. 노출된
- 149. 리소스에
- 150. 대한
- 151. 대책을
- 152. 세우세요.
- 153. 공격을
- 154. 흡수할
- 155. 수
- 156. 있는
- 157. 확장성을
- 158. 구현하세요.
- 159. 정상
- 160. 상태에
- 161. 대한
- 162. 기준을
- 163. 확립하세요.
- 164. 공격에
- 165. 대응하기
- 166. 위한
- 167. 계획을
- 168. 수립하세요.
- 170. 공격지점을 최소화 시키세요. Web
- 171. /
- 172. WAS
- 173. DMZ
- 174. 퍼블릭
- 175. 서브넷
- 176. ssh
- 177. bastion
- 178. NAT
- 179. ELB
- 180. 사용자
- 181. 관리자
- 182. 인터넷
- 183. EC2
- 184. 보안그룹
- 185. 보안그룹
- 186. 보안그룹
- 188. EC2
- 189. 보안
- 190. 그룹
- 191. frontend
- 192. 프라이빗
- 193. 서브넷
- 194. TCP:
- 195. 8080
- 196. TCP:
- 197. 80/443
- 198. backend
- 199. 프라이빗
- 200. 서브넷
- 201. RDS
- 202. 보안
- 203. 그룹
- 204. TCP:
- 205. 1433;
- 206. 3306
- 207. MySQL TCP:
- 208. Outbound
- 209. TCP:
- 210. 22
- 211. 공격
- 212. 받을
- 213. 수
- 214. 있는
- 215. 지점을
- 216. 최소화할
- 217. 수
- 218. 있는
- 219. 아키텍쳐
- 220. • 인터넷
- 221. 연결지점
- 222. 최소화
- 223. • 사용자와
- 224. 관리자
- 225. 트래픽
- 226. 분리
- 227. • 적법한
- 228. 사용자와
- 229. 트래픽만
- 230. 허용
- 231. VPC를
- 232. 이용하여
- 233. 공격지점
- 234. 최소화
- 235. • VPC와
- 236. Internet
- 237. Gateway
- 238. 구성
- 239. • 보안그룹
- 240. 구성
- 241. • Network
- 242. ACL
- 243. 구성
- 244. • VPC
- 245. 상에서
- 246. 인스턴스
- 247. 기동
- 249. 노출된 리소스에 대한 대책을 세우세요. • CloudFront 리소스에 대한 제한된 접근 • 불필요한 지역 blocking, Origin Access Identity(S3) • Route 53을 통해 DNS 노출 정보 최소화 • Private DNS, Alias Record Sets • 확장이 쉽지 않은 비싼 벡엔드 리소스에 대한 보호조치 - WAF • Request rate limits • 특정 유형의 요청 블락 • Auto Scaling with WAF Sandwich
- 250. AWS를 이용해 공격을 흡수할 수 있는 확장성을 구현하세요. EC2
- 251. Enhanced
- 252. Networking
- 261. 활성화
- 262. Elastic
- 263. Load
- 264. Balancing
- 266. Auto
- 267. Scaling
- 268. 설정
- 269. Amazon
- 270. CloudFront를
- 271. 통해
- 272. 지역별로
- 273. 분산
- 274. Amazon
- 275. Route
- 276. 53의
- 277. Shuffle
- 278. Sharding,
- 279. Anycast
- 280. Routing을
- 281. 통 한
- 282. 가용성
- 283. 향상
- 284. • 공격자가
- 285. 더많은
- 286. 노력을
- 287. 쏟아야…⋯
- 288. • 인스턴스,
- 289. 네트웍에
- 290. 대한
- 291. 유연성
- 292. • 생각하고
- 293. 대응할
- 294. 시간을
- 295. 제공
- 297. 공격에 대응하기 위한 계획을 수립하세요. • 공격을 대비하여 다음을 확인: • 복원력있는 아키텍쳐인지 è 수립한 아키텍쳐에 대한 검증 및 사전 기능 테스 트(모의해킹은 AWS에 사전 공지 필수!!) • 공격 수용시 서비스 확장의 규모 및 비용에 대한 부분 고려 • 공격 받을 경우 비상 연락망 • Account Team • AWS 담당 영업은 여러분들의 대리인 • Solutions Architect의 축적된 경험 활용 • AWS 써포트 티어 • 비지니스 – 전화/채팅/이메일, 1 시간 응답 • 엔터프라이즈 – 15 분내 응답, 전담 Technical Account Manager, proactive notification
- 298. 보다 자세한 정보는? • 백서 : DDoS 대응을 위한 AWS 모범 사례 http://d0.awsstatic.com/International/ko_KR/whitepapers/DDoS_Whitepaper.pdf • AWS 클라우드 보안소개 http://aws.amazon.com/ko/security/ DDoS
- 299. 대응을
- 300. 위한
- 301. AWS
- 302. 모범사례
- 303. June
- 304. 2015
- 306. Security by Design
- 307. AWS를 활용할 때의 보안 대책/감사의 핵심 • 가상화 OS이상은 기존의 시큐리티 대책/감사와 동일하게 대응 가능 • OS나 응용프로그램의 인증로그, 억세스 로그 • 방화벽 설정 확인 • 안티바이러스의 도입과 패치 버전 확인 • 시스템/자원 모니터링 • 사용자 관리,암호 정책 • 중요한 데이터에 대한 암호화 및 키 관리 • AWS가 제공하는 암호화 기능 사용 • 이용자 임의의 암호화 키를 사용하는 것도 가능 • AWS Compliance, 보안백서의 활용
- 308. 고객의 규제준수를 지원하기 위한 AWS의 노력들 컴플라이언스 인증 지원 문서 패키지 고객 사례 Security by Design (SbD) AWS CloudTrail AWS CloudHSM AWS IAM AWS KMS AWS Config
- 309. Security by Design – SbD • Security by Design (SbD)은 AWS 계정 설 계, 자동화된 보안 통제, 밀겹합된 감사등에 대해 공식적으로 보증하는 최신, 보안 보증 프로그램입니다. • SbD는 보안을 검증하기 위한 시스템 화된 절차로서, 기존처럼 사후 증적 감사에 의존하 지 않도록 IT관리 프로세스 전반에걸쳐 통제 요건들을 제시합니다. CloudTrail CloudHSM IAM KMS Config
- 310. ‘Security by Design’ 기대효과 • 고객의 거버닝 정책을 스크립트로 만들수 있습니다. • 관리 통제에 대한 신뢰할 만한 기술적인 구현을 제공합니다.
- 311. Tom Soderstrom – CTO – NASA JPL “우리의
- 312. 경험을
- 313. 바탕으로
- 314. 보면,
- 315. AWS
- 316. 클라우드가
- 317. 우리의
- 318. 데이터센터보다
- 319. 더
- 320. 안전할
- 321. 수
- 322. 있다고
- 323. 생각합니다”