"차이를 만드는 AWS 클라우드 보안 첫걸음" 태그로 연결된 11개 게시물개의 게시물이 있습니다.

AWS IAM의 고급 활용​

IAM 정책의 적용 방식​

• 명시적인 Deny는 언제나 우선 적용
  • 하나라도 Deny가 있다면 다른 Allow들은 무시됨
• 명시적으로 Allow 하지 않는 경우 묵시적으로 Deny
• 명시적으로 Allow가 있다면 권한 획득

AWS Secret Manager​

AWS Secret Manager의 개념​

• 애플리케이션, 서비스, IT 리소스에 액세스할 때 필요한 보안 정보를 보호
• 수명 주기에 걸쳐 데이터베이스 자격 증명, API 키 및 다른 보안 정보를 손쉽게 교체, 관리 및 검색할 수 있음

Secret Manager 특징​

• 보안 정보(암호, API Key 등)를 안전하게 저장하고 손쉽게 사용할 수 있도록 도와주는 서비스
• 보안 정보의 주기적인 교체(Rotation) 지원
• CloudFormation 등 다른 서비스와 연동하여 안전한 보안 확보 가능

이벤트 기반 아키텍처​

이벤트의 특성​

• 명령 : 생성 주체가 대상의 행동에 대한 관심을 가지고 회신을 기다림
• 이벤트 : 생성주체는 대상의 행동에 관심이 없음
• AWS에서는 대부분의 액션들이 모두 이벤트로 구성

Security Group (보안그룹)​

• 인스턴스에 대한 Inbound 및 Outbound 트래픽을 제어하는 가상 방화벽 역할
• VPC에서 인스턴스 시작시, 최대 5개의 보안 그룹에 인스턴스 할당 가능
• 기본적으로 모든 포트는 비활성화
• 선택적으로 트래픽이 지나갈 수 있는 Port와 Source를 설정 가능
• Deny는 불가능
• 인스턴스 단위 : 하나의 EC2 인스턴스에만 적용되고, 하나의 인스턴스에 하나 이상의 보안 그룹을 설정할 수 있음
• Stateful : Inbound로 들어온 트래픽이 별다른 Outbound 설정 없이 나갈 수 있음

AWS CloudTrail​

• AWS 계정의 거버넌스, 규정 준수, 운영 감사, 위험 감사를 지원하는 서비스
• AWS 인프라에서 계정 활동과 관련된 작업을 기록하고 지속적으로 모니터링, 보관할 수 있음
• AWS 보안 감사를 위한 서비스 : CCTV
• 여러 서비스에 대한 API 이용 로그 등 제공
  • API 호출의 시간 및 결과, 에러, 사용 인증 정보 등을 기록
  • AWS CLI, 콘솔 이용, API 호출 등 모든 이벤트가 대상
  • 일부 Data API의 경우 수동으로 활성화 필요

S3 암호화​

Amazon S3​

• 객체 스토리지 서비스 : 파일 보관만 가능
• 글로벌 서비스 단, 데이터는 리전에 저장
• 무제한 용량 : 하나의 객체는 0byte에서 5TB의 용량
• 내구성 : 99.999999999% 내구성

S3의 보안 설정​

• S3 모든 버킷은 새로 생성시 기본적으로 Private(비공개)
• 보안 설정은 객체 단위와 버킷 단위로 구성
• MFA를 활용해 객체 삭제 방지 가능
• Versioning을 통해 파일 관리 가능
• 액세스 로그 생성 및 전송 가능

암호화(Encryption)​

암호화​

• 암호화 기술을 사용하는 상황
  • 저장된 데이터 보호(Encryption At Rest)
  • 전송 중 데이터 보호(Encryption At Transit)
• 암호화 방법 : 대칭키 암호화, 비대칭키 암호화

저장된 데이터 보호​

• 데이터를 저장할 때 암호화, 필요할 때 복호화 하는 방식
• 주로 하나의 물리적인 기기에 보안을 적용하기 위해 사용
• 주로 키 팔일 혹은 암호를 사용하여 암호화/복호화

보안이란?​

시스템, 네트워크, 데이터, 애플리케이션 등의 정보기술의 무결성을 유지하고 외부의 공격으로부터 보호하는 관리적, 기술적 방법

CIA 모델​

• Confidentiality 기밀성
• Intearity 무결성
• Availability 가용성

위 세가지를 중심으로 한 보안 모델​

-> 이 모델을 통해 다른 카테고리를 추가 / 보안하여 모델 적용

클라우드 컴퓨팅 개념​

클라우드 컴퓨팅은 IT 리소스를 인터넷을 통해 온디맨드로 제공하고 사용한 만큼만 비용을 지불하는 것

클라우드 = 빌려쓰기​

AWS 인프라 구성​

AWS의 리전(Region)​

• 각 리전에는 고유의 코드가 부여됨
• 리전별로 가능한 서비스가 다름

IAM의 개념​

AWS Identity and Access Management(IAM)를 사용하면 AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있습니다. 또한, AWS 사용자 및 그룹을 만들고 관리하며 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있습니다.

• AWS의 보안 및 관리를 담당하는 글로벌 서비스

주요 기능​

• AWS 어카운트 관리 및 리소스 / 사용자 / 서비스의 권한 제어
• 사용자의 생성, 관리, 계정의 보안
• 다른 계정과의 리소스 공유
• Identity Federation(Facebook 로그인, 구글 로그인 등)

VPC (Virtual Private Cloud)​

1. VPC란?

• 사용자의 AWS 계정 전용 가상 네트워크
• 원하는 대로 사설망 구축 가능
  • 부여된 IP 대역을 분할하여 사용 가능
• 리전 단위

2. VPC 활용

• EC2, RDS, Lambda 등의 AWS 컴퓨팅 서비스 실행
• 다양한 서브넷 구성
• 보안 설정(IP, Block, 인터넷에 노출되지 않는 EC2 등 구성)