클라우드 보안의 슈퍼 히어로가 되기 위한 3가지 비밀 :: TrendMicro 양희선 ::...

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Luke_Yang, Cloud Security Team / Trendmicro Kor

2016.05.17

클라우드 보안 슈퍼 히어로가

되기 위한 3가지 비밀

지금 현재의 당신입니다…

변신(Shapeshift)

각 서비스(서버) 중심으로 디자인된보안 아키텍처(security architecture)

Superpower #1

변화 전(Before)

Firewall IPS Load

Balancer

Web

TierApp

Tier

DB

Tier

On-premises

S3

DynamoDB

RDS

…

변화 후(After)

Firewall IPS

AWS

Web

Tier

on

EC2

App

Tier

on

EC2

Elastic

Load

Balancer

VPC

&

Security

Groups

Load

Balancer

DB

TierWeb

TierApp

Tier

IAM CloudTrail

You

Physical

Infrastructure

Network

Virtualization

Operating System

Applications

Data

Service Configuration

책임 공유 모델(Shared Responsibility Model)

AWS

Physical

Infrastructure

Network

Virtualization

You

Operating System

Applications

Data

Service Configuration

추가 내용은 aws.amazon.com/security 참고

책임 공유 모델(Shared Responsibility Model)

하이브리드 IT 환경

Crypt-o

24h

48h

72h

Attack Source IP – CVE-2014-6271, 7169, 6277, 6278

Disclosure

24h

48h

72h

Disclosure

Attack Source IP – CVE-2014-6271, 7169, 6277, 6278

단일 G/W 보안의 문제점…

경고(Warning):

단일 장애 포인트(Single Point of Failure)

제한된 처리량(Limited Throughput)

변신(Shapeshift)

임무 완수:

단일 장애 포인트 해결(No Single Point of Failure)

제한 없는 처리량(UN-Limited Throughput)

VPC

&

Security

Groups

S3

DynamoDB

RDS

…

AWS

Web

Tier

on

EC2

App

Tier

on

EC2

Elastic

Load

Balancer

IAM CloudTrail

AWS를 위한 변신(Shapeshift)

IPS• 각각의 서비스(서버)에 대한맞춤형 보안 서비스

• 내부 Instance간 트레픽 보호

• 각각의 서비스에 최적화된 정책(빠르고 오탐이 적다)

• 속도에 최적화(처리속도, 낮은 점유)

• 단일 장애 포인트 해결

= CLOUD에 최적화

자동화(Invisibility)

운영자의 개입이 필요 없는 자동 설치

Superpower #2

보안, 감사 로그 구성, 변화 전(before)

Servers

Storage Area Network

On-premises

Firewall

IPS

Central logging

Change

Records

Report

Payment

Client Data

On-premises

AWS

Amazon CloudTrail

EC2 instances

Central management

Amazon S3

Amazon CloudFrontAmazon RDS

보안, 감사 로그 구성, 변화 후(after)

Report

Audit-o

CloudTrail

& AWS Config

Security Tools

AWS를 위한 자동 구성(보안)

• 보안 Agent 자동 적용 및 자동구성

• 완벽한 자동화 보안 정책 적용

• 운영자를 위한 자동화된 로깅제공

= AWS에 최적화된 보안

적용 구현

X-Ray 투시(Vision)

AWS 및 하이브리드 보안에 최적화된가시성

Superpower #3

Integrity Monitoring

AWS에 X-ray 투시 사용

• 무결성 모니터링(Integrity

Monitoring)과 로그감사(Log

monitoring)를 통한 인스턴스들(instances) 내부 감시

• 의심스러고, 의도하지 않은변화를 탐지

= 가시성(visibility) 증가

AWS 자체 영역의 독립적 감사(인증 기관)GxP

ISO 13485

AS9100

ISO/TS 16949

AWS Foundation Services

Compute Storage Database Networking

AWS Global Infrastructure

Regions

Availability ZonesEdge

Locations

AWS 클라우드의자체 보안에 대한

책임 영역

AWS Foundation Services

Compute Storage Database Networking

AWS Global Infrastructure

Regions

Availability ZonesEdge

Locations

Client-side Data

Encryption

Server-side Data

EncryptionNetwork Traffic

Protection

Platform, Applications,

Identity & Access

Management

Operating System, Network, & Firewall Configuration

Customer applications & content

고객이클라우드에서자신을 위한

보안 구성을 선택

AWS 클라우드의자체 보안에 대한

책임 영역

보안은 AWS와 고객 사이에서 공유C

usto

mers

Partner solutions – including

Trend Micro

SANS/CIS TOP 20 CRITICAL SECURITY CONTROLS

1. Inventory of Authorized & Unauthorized Devices 11. Secure Configurations for Network Devices

2. Inventory of Authorized & Unauthorized Software 12. Boundary Defense

3. Secure Configurations for Hardware & Software on

Mobile Devices, Laptops, Workstations, & Servers 13. Data Protection

4. Continuous Vulnerability Assessment & Remediation 14. Controlled Access Base on the Need to Know

5. Controlled Use of Administrative Privileges 15. Wireless Access Control

6. Maintenance, Monitoring, & Analysis of Audit Logs 16. Account Monitoring & Control

7. Email and Web Browser Protections 17. Security Skills Assessment & Appropriate Training

to Fill Gaps

8. Malware Defenses 18. Application Software Security

9. Limitation and Control of Network Ports, Protocols,

and Services 19. Incident Response Management

10. Data Recovery Capability 20. Penetration Tests & Red Team Exercises

좀더 나은 AWS 보안을 위해서…

당신은 새로운 슈퍼 파워를 가질 수 있습니다.

변신(Shapeshifting) X-ray 투시자동화(Invisibility)

슈퍼 히어로의 도움을 받는 고객들

참고 (Gartner Best Practices)

Best Practices for

Securing Workloads

in Amazon Web

Services

http://bit.ly/1pxaFTL

trendmicro.com/aws

클라우드 보안의 슈퍼 히어로가 되기 위한 3가지 비밀 :: TrendMicro 양희선 ::...

Technology

Transcript of 클라우드 보안의 슈퍼 히어로가 되기 위한 3가지 비밀 :: TrendMicro 양희선 ::...