AWS 클라우드 보안 및 규정 준수 소개 (박철수) - AWS 웨비나 시리즈
-
Upload
amazon-web-services-korea -
Category
Technology
-
view
1.234 -
download
11
Transcript of AWS 클라우드 보안 및 규정 준수 소개 (박철수) - AWS 웨비나 시리즈
기초 - AWS 기초개념설명
핵심 - AWS 핵심서비스사용법
Q&A - AWS 전문가들의답변
AWS 기초웨비나시리즈 | 세번째강연
2016년 1월 26일월요일 | 오후 3시
http://aws.amazon.com/ko
AWS 보안및규정준수소개
목차
1. 클라우드보안개요2. AWS 보안철학3. AWS 보안서비스4. 사용사례및 기타정보
물리적인보안 네트워크보안 시스템보안 데이터보안
심층보안
전통적인데이터센터
정적이고고정적인사일로아키텍처
클라우드컴퓨팅
On demand Pay as you go
Uniform Available
컴퓨트
스토리지
보안 확장
데이터베이스
네트워킹모니터링
메시징
워크플로우
DNS부하분산
백업CDN
탄력적이고민첩한동적인아키텍처
월요일 금요일 휴가시즌의끝
Security is Zero Job
친숙한보안모델 고객보안전문가의 검증 모든고객에게동일한혜택
PEOPLE & PROCESS
SYSTEM
NETWORK
PHYSICAL
보안에대한책임공유
AWS 기반서비스
컴퓨터 스토리지 데이터베이스 네트워킹
AWS 글로벌인프라
리전
가용영역
엣지로케이션
네트워크보안
서버보안
고객의애플리케이션 & 컨텐츠
You get to define your controls INthe Cloud
AWS takes care of the security OF the Cloud
고객 데이터보안
접근제어
보안에대한 AWS의역할
데이터센터의물리적인보안
• 다년간대규모데이터센터구축경험• 최소한의접근권한허용• 모든접근에대한로깅및감사• 명확한직무분장
보안에대한 AWS의역할
서버및네트워크보안
• 호스트운영체제보안• 인스턴스운영체제보안• 스테이트풀방화벽• IP 스푸핑공격및패킷스니핑기본차단
보안에대한 AWS의역할
스토리지보안
• 독자적인스토리지관리기능으로타인의데이터접근완벽히통제• 사용전디스크청소(Disk Wiping)• 데이터저장시고객이직접암호화적용가능• 산업표준에따른디스크폐기처리
이것이
이렇게
보안기준을지속적으로개선하기위해서모든것을구축합니다
AWS 주요인증및보증프로그램
보안에대한고객의역할
애플리케이션&컨텐츠보안에집중
• 데이터암호화• 네트워크트래픽보호• 게스트운영체제• 네트워크및방화벽구성• 가상서버, 애플리케이션,
ID 및접근관리
보안에대한고객의역할
AWS 기반서비스
컴퓨터 스토리지 데이터베이스 네트워킹
AWS 글로벌인프라
리전
가용영역
엣지로케이션
고객
• 고객의범위와노력을줄여줌
• 집중화로보다나은결과도출
• AWS의견고한기반통제를통해확보
고객 자신의 규정준수 승인
고객 자신의 인증 고객 자신의외부 감사
인프라보안 로깅모니터링 계정및접근제어 구성및취약점제어 데이터보호
SaaS
SaaS SaaS
AWS Marketplace: 네트워크/보안파트너생태계
보안과규정준수에초점을맞춘 AWS 서비스
“우리의경험을바탕으로보면, AWS 클라우드가우리의데이터센터보다심지어더안전할수있다고생각합니다”
– Tom Soderstrom, CTO, NASA JPL
가시성
클릭한번으로전체인프라보기
AWS CloudTrail 통한깊은통찰력
제어데이터가저장되는위치에대한단독
소유권한책임공유모델
감사제 3자검증 –워크로드들에관련된인증
“우리의경험을바탕으로보면, AWS 클라우드가우리의데이터센터보다더안전할수있다고
생각합니다” – Tom Soderstrom, CTO, NASA JPL
가시성시스템, 네트워크 및 감사
가시성: 보안의기본속성여러분의 데이터 센터를 보면…
한눈에 전체의 상황이 다 들어오는
것을 원합니다보통 이런 그림을 보시게 됩니다
클라우드에서는…
• 인프라 = software!
• 변경이 빈번하게 발생하고, 자동화 되며, 즉각 반영된다.
• 리소스 등이 서로 연계되어 있음.
• 셀프서비스와 민첩성.
가시성: 보안의기본속성
VPC Flow Logs 인스턴스들의모든트래픽정보관찰
• 보안 그룹의 규칙 적용 효과에대한 가시성
• 네트워크 연결 문제에 대한해결 방법 제공
• 트래픽을 분석하는 능력
VPC Flow Logs 데이터
Source IP address,Dest IP address
Source port, dest port
Packets, Bytes
VPC Flow Logs 활용
출처: https://github.com/awslabs/cloudwatch-logs-subscription-consumer/blob/master/README.md
Trusted Advisor
Trusted Advisor
Trusted Advisor
AWS Inspector
• 어플리케이션보안수준진단 (Agent 기반)
• 내장진단규칙적용• CVE (Common Vulnerabilities and Exposures) 항목
• 네트워크보안모범사례
• 인증모범사례
• 운영체제보안모범사례
• 애플리케이션보안모범사례
• 규정준수 (예:PCI DSS 3.0) 준비상태
• 보안진단결과 –가이드제공
모든작업은 API
호출로처리됨...사용하는서비스와인스턴스들이늘어남에따라…
CloudTrail은계속해서모든API 요청들에
대해신뢰성있는기록을수행…
모든이벤트들에대한추적이가능
: 누가언제어디서무엇을하려했고,
결과가어떠했는지…
AWS CloudTrail
보안 분석저장된 로그 파일들을 로그 관리 및 분석 솔루션의 입력 데이터로 사용해서, 보안 분석을수행하고 사용자 행동 패턴을 감지
AWS 자원에 대한 변경사항을 추적Amazon EC2, VPC 보안 그룹 및 EBS 볼륨과 같은 AWS 자원에 대한 생성, 수정, 및 삭제를추적
운영문제를 해결가장 최근에 변경된 사용자 환경의 자원 변경 사항을 신속하게 식별
규정준수 지원보다 쉽게 내부 정책이나 규정 기준을 증명
AWS CloudTrail로가능한사용사례
인스턴스정지관련 API(StopInstances) 호출
제어데이터, 사용자, 네트워크
컴퓨팅과스토리지의위치를고객이직접선택
12리전
AWS Identity & Access Management
AWS 계정에서누가무엇을할수있는지제어
•사용자, 그룹, 롤(Role) 및 권한•제어…•중앙집중식•잘 갖춰진 - APIs, 자원, 및 AWS 관리 콘솔
•보안…•기본적으로 안전함 (거부 규칙)•다중 사용자, 개별 보안 신원 및 권한
암호화
일반 텍스트데이터
하드웨어/
소프트웨어암호화된데이터
스토리지에 저장된암호화된 데이터
암호화된데이터 키
대칭형데이터 키
마스터 키대칭형데이터 키
? 키계층
?
다양한키관리옵션DIY
AWS Marketplace Partner Solution
AWS CloudHSMAWS Key Management
Service
키생성및저장장소 Your network or in AWS Your network or in AWS In AWS, on an HSM that you control
AWS
키가사용되는위치 Your network or your EC2 instance
Your network or your EC2 instance
AWS or your applications AWS services or your applications
키사용을제어하는방법 Config files, Vendor-specific management
Vendor-specific management
Customer code + SafenetAPIs
Policy you define; enforced in AWS
성능/확장에대한책임 You You You AWS
AWS 서비스와의통합 Limited Limited Limited Yes
가격모델 Variable Per hour/per year Per hour Per key/usage
AWS Key Management Service
• 암호화 키의 생성, 제어 및 사용을 쉽게 할 수 있도록 지원하는관리형 서비스
• Amazon EBS, Amazon S3, Amazon RDS 및 Amazon Redshift와 같은 AWS 서비스와 AWS SDK에 통합
• 규정 준수 활동에 도움을 줄 수 있는 감사 로그를 제공하기위해 AWS CloudTrail 과 통합
AWS Key Management ServiceAWS IAM 콘솔과통합
AWS Key Management ServiceAmazon EBS와통합
AWS Key Management ServiceAmazon S3와통합
AWS Key Management ServiceAmazon Redshift와통합
언제어느곳에서도암호화
AWS CloudTrail
AWS IAM
EBS
RDS
Amazon Redshift
S3
Glacier
전송시암호화
그리고저장시암호화
전면감사
완전관리형키
제한된접근
AWS 내에격리된가상사설네트워크생성가용영역
A
가용영역
B
AWS Virtual Private Cloud
• 논리적으로 분리된 일종의
가상 사설망 생성
• VPC상에서 사설 IP대역 선택
• 적절하게 서브넷팅하고 EC2
인스턴스를 배치
AWS network security
• AWS 네트워크는 IP 스푸핑
및 레이어 2 공격차단
• 소유하지 않은
EC2인스턴스에 대한 스니핑
불가
• 외부와의 모든 라우팅과
연결을 통제
애플리케이션에맞도록서브넷분리
앱
DB웹
웹
각서브넷에네트워크접근제어목록(NACL)사용
앱
웹
웹
허가
DB모든트래픽거부
Availability Zone ‘A’
Availability Zone ‘B’
Subnet ACL예시
각서브넷에네트워크접근제어목록(NACL)사용
각 EC2인스턴스에보안그룹방화벽사용
앱
포트443
DB웹
웹 포트 443
v보안그룹 규칙
적용포인트 : 인바운드/아웃 바운
Protocol : 모든 인터넷 프로토콜 지원
IP/Port 에 대한 접속 허용/차단
Stateful 방화벽
보안그룹
각 EC2인스턴스에보안그룹방화벽사용
계층적인 보안그룹 규칙 (Rule) 동적으로 생성되는 규칙
보안그룹 멤버쉽 에 따름
계층적인 네트워크 구조 생성TCP 22
163.128.25.32/32
TCP 800.0.0.0/0
TCP 22“ ”
TCP 8080 “ ”TCP 22
“ ”
TCP 3306 “ ”TCP 22 “ ”
각 EC2인스턴스에보안그룹방화벽사용
163.128.0.0/16
서브넷에대한라우팅제어 (인터넷 or 고객DC)
프라이빗
앱
On-Prem 복제
DB
퍼블릭
프라이빗
웹
웹
안전하게 VPC간리소스공유
디지털웹
싸이트
빅데이터분석
기업용앱
• 사설 VPC들및각 VPC
간의특정서브넷피어사이에트래픽라우팅
• 심지어다른 AWS 계정과도가능
범용서비스
AWS
VPC 피어링
기존데이터센터와안전하게연결
디지털웹
싸이트
빅데이터분석
기업용앱개발/
테스트 AWS Direct
Connect고객 DC
AWS Internet
VPN
고객 AWS환경
감사컴플라이언스, 변경 내역, 로그
AWS Config
•AWS 리소스에 대한 인벤토리
•신규 또는 삭제된 리소스에 대한 인식
•지속적으로 구성정보 변경을 기록
•구성이 변경되면 통지
정규화변경 내역 기록리소스변경
AWS Config
전달
스트림
스냅샷(ex. 2014-11-05)
AWS Config
APIs
저장
이력
보안 분석: 나는안전한가요?
규정 감사: 어디에증거가있나요?
변경 관리: 이변경에대한영향은무엇이될까요?
문제 해결: 무엇이변경되었나요?
AWS Config로가능한사용사례
Config Rules
• 변경된 내역에 대해 검증하는 규칙 설정
• AWS가 제공하는 내장된 규칙 사용
• AWS Lambda를 활용한 커스텀 규칙 지원
• 지속적인 진단수행을 자동화
• 컴플라이언스 시각화나 위험한 변경을 식별하기 위해대쉬보드 제공.
AWS Config & Config Rules
AWS Config
APIs
정규화변경 내역 기록리소스변경
전달저장
스트림
스냅샷(ex. 2014-11-05)
이력
CloudWatch Logs 로 모든 것을 모니터링
Amazon CloudWatch Logs: EC2 인스턴스나 다른 자원에
대해서 시스템, 애플리케이션 및 커스텀 로그를 모니터링
할 수 있음. 예를들면;
웹 서버의 HTTP 로그 파일을 모니터링하고 에러(404 등)를
식벽하기 위해 CloudWatch Metrics의 필터를 사용하여
지정된 기간 내에 발생 횟수를 카운트
404 에러의 횟수가 사전에 설정된 임계치에 도달하게 되면
CloudWatch Alarms가 통지를 할 수 있음.
=> 문제의 원인을 파악하기 위해 자동으로 티켓을
생성하도록 사용 가능
AWS 보안은…을제공합니다
더나은가시성더나은제어더나은감사기능
NASDAQ 암호화기반의데이터분석
• 구내에 HSM을구축• 암호화키를 HSM에서관리• S3의데이터암호화• EMR 이용시에만암호해독
S3 EMR HSM
암호화된데이터S3에저장
암호화된데이터EMR로처리
HSM에서온암호화키계층
S3암호화클라이언트
메가마트
• VPC 및관련구성요소활용• VPN을이용해안전하게
IDC와연결• 파트너솔루션을이용한
DB 암호화 & 접근제어
참고: AWS Summit Seoul 2015 –국내엔터프라이즈클라우드도입구축사례및고려사항
AWS 보안 센터다양한 보안 정보 및 문서를 제공하는 AWS 보안 포털: http://aws.amazon.com/security
• 보안 프로세스 소개• AWS 리스크 및 컴플라이언• AWS 보안 베스트 프랙티스
보안 백서
보안 리소스 취약점 리포팅
침해 테스팅신청 절차
수상한 이메일신고
보안 게시판
보안 리소스 및 블로그
보안 리소스, 교육, 도구들에 대한 광범위한 소개:
http://aws.amazon.com/security/security-resources/
개발자정보
기고문 +
튜토리얼보안 제품 백서
AWS보안 및 컴플라이언스와 관련된 최신 정보를 제공:
http://blogs.aws.amazon.com/security/
AWS 보안 블로그
AWS 보안 리소스
보안과 규정 준수가클라우드를 도입하는중요한 이유입니다
온라인 자습 및 실습
다양한 온라인 강의자료 및 실습을 통해
AWS에 대한 기초적인사용법 및 활용 방법을익히실 수 있습니다.
강의식 교육
AWS 전문 강사가 진행하는강의를 통해 AWS 클라우드로고가용성, 비용 효율성을 갖춘안전한 애플리케이션을 만드는
방법을 알아보세요. 아키텍쳐 설계및 구현에 대한 다양한 오프라인
강의가 개설되어 있습니다.
인증 시험을 통해클라우드에 대한 자신의전문 지식 및 경험을공인받고 개발 경력을제시할 수 있습니다.
AWS 공인 자격증
http://aws.amazon.com/ko/training
다양한 교육 프로그램
AWS 기초 웨비나 시리즈에 참여해 주셔서 감사합니다!
이번 웨비나가 여러분의 궁금증 해소에 도움이 되었길 바랍니다.이후 이어질 설문 조사를 통해 오늘 웨비나에 대한 의견을 알려주세요.
http://twitter.com/AWSKoreahttp://facebook.com/AmazonWebServices.kohttp://youtube.com/user/AWSKoreahttp://slideshare.net/AWSKorea