security on aws - resources.trendmicro.com iam amazon cloudwatch aws cloudtrail aws config aws...
Post on 29-Mar-2018
331 Views
Preview:
TRANSCRIPT
Security on AWS
Amazon Web Services
Kyungsoo Lee – Partner Solutions Architect
Kyungsol@amazon.com
2
▪ Firewall/NG Firewall : 방화벽
▪ IPS/IDS : 침입탐지/방지 시스템
▪ NAC : 네트워크 접근제어
▪ WAF : 웹 방화벽
▪ Anti-Spam : 스팸차단 장비
App/DB 서버
Web 서버
전통적인 방식 – 정적인 시스템
3
AWS의 유연성/가변성
“Cloud applications have
amorphous, polymorphic
attack surfaces.”
- Jason Chan
Director of Engineering,
Cloud Security
Netflix
4
한눈에 전체 상황이 다
들어오는 것 같지만,
기존 데이터 센터를 보면
그 이면은 …
5
AWS의 가시성/제어성
AWS IAM Amazon CloudWatch
AWSCloudTrail
AWSConfig
AWSCloudFormation
AWS Trusted Advisor
…
6
기존 데이타센터 내 네트워크 보안 솔루션 구성 방식
Corporate Data center
Servers
Span/Tab
Router
• 트래픽 경로를 벗어나 구성
• 모니터링(스캐닝) 이 필요한
트래픽에 대한 선별적 포워딩
One-Arm 구성
7
유연성 , 가시성 , 네트워크 환경이 다름
≠
8
Security is our #1 priority
9
This
To this
10
보안은 AWS의 최우선 순위 과제입니다!고객층의 증가와 더불어 더 나은 서비스 제공을 위해 보안, 규제/감사, 거버넌스 관련 다양한 업데이트를 빠르게 진행
2007 2008 2009 2010 2011 2012 2013 2014 2015
48 6182
159
280
514
722
269(37%)보안, 거버넌스, 컴플라이언스, 감사관련
신규서비스출시및업데이트
기타신규서비스출시및업데이트
2015년에는 전년대비 40% 증가한, 722건의 새로운 서비스 및 기능을 출시
11
Shared Security Responsibility
12
WHAT NEEDS
TO BE DONE
TO KEEP THE
SYSTEM SAFE
13
WHAT WE DO
WHAT YOU HAVE TO DO
14
AWS와 고객이 보안에 대한 책임 분담
Client-side Data
Encryption
Server-side Data
EncryptionNetwork Traffic
Protection
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer content
Custo
mers
Customers are
responsible for
their security IN
the Cloud
AWS is
responsible for
the security OF
the Cloud
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability ZonesEdge
Locations
AWS Foundation Services
15
모든 고객은 동일한 AWS 보안 기초위에…
Client-side Data
Encryption
Server-side Data
EncryptionNetwork Traffic
Protection
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer contentC
usto
mers
Customers are
responsible for
their security IN
the Cloud
Independent validation by experts
• Every AWS Region is in scope
• SOC 1 (SSAE 16 & ISAE 3402) Type II
• SOC 2 Type II and public SOC 3 report
• ISO 27001 Certification
• Certified PCI DSS Level 1 Service Provider
• FedRAMP Certification, HIPAA capable
16
“Based on our experience, I believe that
we can be even more secure in the AWS
cloud than in our own data center”
Tom Soderstrom –
CTO – NASA JPL
17
심층 방어
AWS compliance
program
Third-party
attestationsPh
ysic
al
Security groups
VPC configuration
Netw
ork
Se
cu
rity
Web application firewalls
Bastion hosts
Encryption in-transit
Hardened AMIs
OS and apppatch mgmt.
IAM roles for EC2
IAM credentials
Syste
m s
ecu
rity
Logical access controls
User authentication
Encryption at-rest
Data
se
cu
rity
18
“AWS 의 보안은
여러분이 지금 수행하고 있는 것과 같은
익숙함을 제공하기 위해서 지속적으로
노력하고 있습니다.”
• 가시성(Visibility)
• 제어(Controllability)
• 감사 기능(Auditability)
19
더 나은 제어(DATA, USER, NETWORK)
20
컴퓨팅과 스토리지의 위치를 고객이 직접 선택가능AWS 클라우드는 전 세계 16개 지리적 Region 내에 42개의 Availability Zone을
운영
21
AWS 리젼 과 가용영역
US West (OR)
AZ A AZ B
AZ C
GovCloud (US)
AZ A AZ B
US West (CA)
AZ A AZ B
AZ C
US East (VA)
AZ A AZ B
AZ C AZ D
AZ E
China (Beijing)*
AZ A
*A limited preview of the China (Beijing) Region is available to a select group of China-based and multinational companies with customers in China. These customers are required to create a AWS Account, with a set of credentials that are distinct and separate from other global AWS Accounts.
EU (Ireland)
AZ A AZ B
AZ C
AZ A AZ B
S. America (Sao Paulo)
Asia Pacific (Tokyo)
AZ A AZ B
AZ C
AZ A AZ B
Asia Pacific (Singapore)
China (Bejing)Asia Pacific (Sydney)
AZ A AZ B
EU (Frankfurt)
AZ A AZ B
AWS Regions
China (Bejing)Asia Pacific (Seoul)
AZ A AZ B
22
AWS 리젼 과 가용영역
Details about encryption can be found in the AWS Whitepaper,“Securing Data at Rest with Encryption”.
Encryption In-Transit
HTTPS
SSL/TLS
SSH
VPN
Object
Encryption At-Rest
Object
Database
Filesystem
Disk
23
AWS KMS - 암호화키 생성/보관/관리
Centralized Key Management for use with AWS: Customer MasterKey(s)
Data Key 1
S3 Object EBS Volume Redshift Cluster
Data Key 2 Data Key 3 Data Key 4
EBS S3 Redshift AWS SDK
AWS CloudTrail
Details about security controls can be found in the AWS Whitepaper: KMS Cryptographic Details.
Application or
AWS Service
+
Data Key Encrypted Data Key
Encrypted
Data
Master Key(s) in
Customer’s Account
KMS
24
AWS Key Management ServiceIntegrated with Amazon EBS
25
USER
에 대한 더 나은 제어
26
AWS IAM : Identity + Authentication + Authorization
• Access to specific services.• Access to console and/or APIs.• Access to Customer Support (Business and Enterprise).
IAM Users, Groups and Roles
• Access to specific services.• Access to console and/or APIs.
Temporary Security Credentials
• Access to all subscribed services.• Access to billing.• Access to console and APIs.• Access to Customer Support.
Account Owner ID (Root Account)
AWS Account Owner (Root)
AWS IAM User
Temporary Security
Credentials
27
28
NETWORK
에 대한 더 나은 제어
29
AWS Cloud 내에 격리된 사설 네트워크를 생성가용
영역
A
가용
영역
B
AWS Virtual Private Cloud
• 논리적으로 분리된 일종의
가상 사설망을 제공
• VPC상에서 사설 IP대역을
선택
• 적절하게 서브넷팅하고
EC2 인스턴스를 배치
AWS network security
• AWS 는 IP Spoofing과 같은
레이어 2 공격 차단
• 소유하지 않은 EC2인스턴스에
대한 스니핑 불가
• 외부와의 모든 라우팅과
연결을 통제
30
애플리케이션 아키텍쳐에 맞게 VPC를 서브넷으로 분리
Web App
DBWeb
31
각 서브넷에 네트워크 액세서 제어 목록 (NACL) 사용
App
DBWeb
Web
Deny all traffic
Allow
32
각 EC2 인스턴스에 보안 그룹(Security Group) 방화벽 사용
App
DBWeb
WebPort 443
Port 443
Deny all traffic
33
라우팅테이블
라우팅테이블
인터넷게이트웨이
가상 사설게이트웨이
가상라우터
VPC 10.1.0.0/16
VPC 보안 통제
34
[WAF] AWS WAF (WAF on CDN)
WEBWAS
WEBWAS
www.a.com WAF on CloudFront edges
users
SafeTraffic
Edge Location
Edge Location
…
54 edges
WAF
WAF
hackers
Bad bots
legitimatetraffic
SQL Injection,
XSS, ..
site scripting
• CloudFront edge단에서
WAF가 monitor & filter처리
• 분산된 edge에서 처리되어
scaling에 대한 부담 없음
• SQL injection, XSS 룰셋 기본
제공
• CloudFront 사용이 전제됨
35
더 나은 가시성(NETWORK, SYSTEM, AUDIT)
36
가시성: 보안의 기본 속성
여러분의 데이터 센터를 보면…
한눈에 전체의상황이 다 들어오는
것을 원하시겠지만,
보통 이런 그림을 보시게 됩니다.
37
가시성: 보안의 기본 속성
AWS IAM Amazon CloudWatch
AWSCloudTrail
AWSConfig
AWSCloudFormation
AWS Trusted Advisor
…
AWS는 이 분야에 혁신적인
개선과 진보된 IT Governance
서비스들을 가지고 있습니다.
38
AWS CloudWatchAWS 리소스와 AWS기반어플리케이션에대한모니터링서비스
EC2
AutoScaling
ELB
Route 53
EBS
Storage Gateway
CloudFront
DynamoDB
ElastiCache
RDS
EMR
SNS
SQS
EBS
빌링
취합과
추적
항목들 Custom
모니터링과로그저장
경보설정
그래프와통계조회
39
AWS Trusted Advisor Security
40
41
AWS Inspector
• Agent 기반 - 어플리케이션보안수준진단
• 보안진단결과 –가이드제공
• API를통한자동화
• Rule Package• CVE (common vulnerabilities and exposures) –수천개항목
• Network security best practices – 4개항목
• Authentication best practices – 9개항목
• Operating system security best practices – 4개항목
• Application security best practices – 2개항목
• PCI DSS 3.0 readiness – 25개항목
42
더 나은 감사기능(COMPLIANCE, HISTORY, LOG)
43
44
45
AWS CloudTrailAWS상의모든관리작업에대한로깅
모든작업은 API
콜로처리됨...
사용하는서비스와인스턴스들이늘어
남에따라 …
CloudTrail은계속해서모든API 요청들에
대해신뢰성있는기록을수행…
CloudTrail이 제공하는정보:
• API 호출한사용자 정보(누가)
• API call 이발생한시간(언제)
• API 호출한사용자의 IP주소(어디서)
• 요청파라미터 값(무엇을)
• AWS서비스에서 반환한응답(결과)
46
AWS CloudTrailAWS상의모든관리작업에대한로깅
• CloudWatch Logs 내
CloudTrail 로그 활용
47
AWS Config/RulesAWS리소스에대한인벤토리관리와구성정보변경관리및통보(AWS SNS)
보안분석 변경관리감사
컴플라이언스Troubleshooting Discovery
ConfigRules 의 custom rule 지원
특정변경이력의실시간/주기적
감시/통보
• Lambda blueprint 내관련참조
소스제공
• GitHub내관련 Lambda 소스공개
48
AWS Service CatalogAWS 리소스생성및관리용셀프서비스포털
관리자
Clo
ud
Form
atio
n템플릿
생성
포트폴리오와퍼미션설정Service Catalog
Product등록
통지
포트폴리오
ProductA
ProductB
배치된스택
통지
Product기동
Product 조회사용자
• 승인된 리소스 카탈로그를 생성하고 관리.
• 사용자는 셀프서비스 포털에서 필요한 Product을 찾고 기동.
• 관련 컴플라이언스나 규제항목에 따라 어플리케이션 혹은 AWS 리소스에대한 사용자 접근을 통제함
• API를 통해 셀프서비스 기능 확장 가능
49
WHAT WE DO
WHAT YOU HAVE TO DO
THANK YOUAmazon Web Services
Kyungsoo Lee
top related