aws 클라우드 보안 및 규정 준수 소개 - 박철수 솔루션즈 아키텍트:: aws cloud...
TRANSCRIPT
AWS 보안및규정준수소개박철수 | AWS 솔루션즈 아키텍트
데이터
물리적인보안 네트워크보안 시스템보안 데이터보안
심층보안
전통적인데이터센터
데이터베이스
네트워크 스위치
부하분산장치
데이터베이스
애플리케이션
웹
네트워크 스위치
부하분산장치
웹 웹 웹
애플리케이션 애플리케이션
정적이고고정적인사일로아키텍처
클라우드컴퓨팅
On demand Pay as you go
Uniform Available
컴퓨트
스토리지
보안 확장
데이터베이스
네트워킹모니터링
메시징
워크플로우
DNS부하 분산
백업CDN
탄력적이고민첩한동적인아키텍처
월요일 금요일 휴가시즌의끝
Security is Zero Job
친숙한보안모델 고객보안전문가의 검증 모든고객에게동일한혜택
PEOPLE & PROCESS
SYSTEM
NETWORK
PHYSICAL
보안에대한책임공유
AWS 기반 서비스
컴퓨터 스토리지 데이터베이스 네트워킹
AWS 글로벌 인프라
리전
가용 영역
엣지 로케이션
네트워크보안
서버 보안
고객의 애플리케이션 & 컨텐츠
You get to define your controls INthe Cloud
AWS takes care of the security OF the Cloud
고객 데이터보안
접근 제어
보안에대한 AWS의역할
데이터센터의물리적인보안
• 다년간대규모데이터센터구축경험• 최소한의접근권한허용• 모든접근에대한로깅및감사• 명확한직무분장
보안에대한 AWS의역할
서버및네트워크보안
• 호스트운영체제보안• 인스턴스운영체제보안• 스테이트풀방화벽• IP 스푸핑공격및패킷스니핑기본차단
보안에대한 AWS의역할
스토리지보안
• 독자적인스토리지관리기능으로타인의데이터접근완벽히통제• 사용전디스크청소(Disk Wiping)• 데이터저장시고객이직접암호화적용가능• 산업표준에따른디스크폐기처리
이것이
이렇게
보안기준을지속적으로개선하기위해서모든것을구축합니다
AWS 주요인증 및보증프로그램
보안에대한고객의역할
애플리케이션&컨텐츠보안에집중
• 데이터암호화• 네트워크트래픽보호• 게스트운영체제• 네트워크및방화벽구성• 가상서버, 애플리케이션,
ID 및접근관리
보안에대한고객의역할
AWS 기반 서비스
컴퓨터 스토리지 데이터베이스 네트워킹
AWS 글로벌 인프라
리전
가용 영역
엣지 로케이션
고객
• 고객의 범위와노력을 줄여줌
• 집중화로 보다나은 결과도출
• AWS의견고한기반 통제를통해 확보
고객 자신의 규정준수 승인
고객 자신의 인증 고객 자신의 외부 감사
인프라보안 로깅모니터링 계정및접근제어 구성및취약점제어 데이터보호
SaaS
SaaS SaaS
AWS Marketplace: 네트워크/보안파트너생태계
보안과규정준수에초점을 맞춘AWS 서비스
“우리의경험을바탕으로보면, AWS 클라우드가우리의데이터센터보다심지어더안전할수있다고생각합니다”
– Tom Soderstrom, CTO, NASA JPL
가시성
클릭 한 번으로전체인프라 보기
AWS CloudTrail통한깊은 통찰력
제어데이터가 저장되는위치에 대한 단독
소유 권한책임 공유 모델
감사제 3자 검증 – 워크로드들에 관련된 인증
“우리의경험을바탕으로보면, AWS 클라우드가우리의데이터센터보다더안전할수있다고생각
합니다” – Tom Soderstrom, CTO, NASA JPL
가시성시스템, 네트워크 및 감사
가시성: 보안의기본속성
여러분의 데이터 센터를 보면…
한눈에 전체의 상황이 다들어오는 것을 원합니다
보통 이런 그림을 보시게 됩니다
클라우드에서는…
• 인프라 = software!
• 변경이 빈번하게 발생하고, 자동화 되며, 즉각 반영된다.
• 리소스 등이 서로 연계되어 있음.
• 셀프서비스와 민첩성.
가시성: 보안의기본속성
VPC Flow Logs 인스턴스들의 모든 트래픽 정보 관찰
• 보안 그룹의 규칙 적용효과에 대한 가시성
• 네트워크 연결 문제에 대한해결 방법 제공
• 트래픽을 분석하는 능력
VPC Flow Logs 활용
출처: https://github.com/awslabs/cloudwatch-‐logs-‐subscription-‐consumer/blob/master/README.md
Trusted Advisor
Trusted Advisor
AWS Inspector
• 어플리케이션 보안 수준 진단 (Agent 기반)• 내장 진단 규칙 적용
• CVE (Common Vulnerabilities and Exposures) 항목• 네트워크 보안 모범사례• 인증 모범 사례• 운영체제 보안 모범 사례• 애플리케이션 보안 모범 사례• 규정 준수 (예:PCI DSS 3.0) 준비 상태
• 보안 진단 결과 – 가이드 제공
모든 작업은 API호출로 처리됨...
사용하는 서비스와인스턴스들이 늘어
남에 따라 …
CloudTrail은 계속해서 모든 API요청들에 대해 신뢰성 있는 기록을
수행…
모든 이벤트들에 대한 추적이 가능
: 누가 언제 어디서무엇을 하려 했고,결과가 어떠했는지
…
AWS CloudTrail
보안 분석저장된 로그 파일들을 로그 관리 및 분석 솔루션의 입력 데이터로 사용해서, 보안 분석을 수행하고 사용자 행동 패턴을 감지
AWS 자원에 대한 변경사항을 추적Amazon EC2, VPC 보안 그룹 및 EBS 볼륨과 같은 AWS 자원에 대한 생성, 수정, 및 삭제를추적
운영문제를 해결가장 최근에 변경된 사용자 환경의 자원 변경 사항을 신속하게 식별
규정준수 지원보다 쉽게 내부 정책이나 규정 기준을 증명
AWS CloudTrail로 가능한사용사례
제어데이터, 사용자, 네트워크
컴퓨팅과스토리지의위치를고객이 직접선택
12리전
AWS Identity & Access Management
AWS 계정에서누가무엇을할수있는지제어
• 사용자, 그룹, 롤(Role) 및 권한• 제어…
• 중앙집중식• 잘갖춰진 - APIs, 자원, 및 AWS 관리 콘솔
• 보안…• 기본적으로 안전함 (거부 규칙)• 다중 사용자, 개별보안 신원 및 권한
암호화
일반 텍스트데이터
하드웨어/소프트웨어
암호화된데이터
스토리지에 저장된암호화된 데이터
암호화된데이터 키
대칭형데이터 키
마스터 키대칭형데이터 키
? 키 계층
?
다양한키관리옵션
DIY AWS Marketplace Partner Solution AWS CloudHSM AWS Key Management
Service
키생성및저장장소 Your network or in AWS Your network or in AWS In AWS, on an HSM that you control
AWS
키가사용되는위치 Your network or your EC2 instance
Your network or your EC2 instance
AWS or your applications AWS services or your applications
키사용을제어하는방법 Config files, Vendor-‐specific management
Vendor-‐specific management
Customer code + SafenetAPIs
Policy you define; enforced in AWS
성능/확장에대한책임 You You You AWS
AWS 서비스와의통합 Limited Limited Limited Yes
가격모델 Variable Per hour/per year Per hour Per key/usage
AWS Key Management Service
•암호화 키의 생성, 제어 및 사용을 쉽게 할 수 있도록지원하는 관리형 서비스
• Amazon EBS, Amazon S3, Amazon RDS 및 Amazon Redshift 와 같은 AWS 서비스와 AWS SDK에 통합
• 규정 준수 활동에 도움을 줄 수 있는 감사 로그를제공하기 위해 AWS CloudTrail 과 통합
AWS Key Management Service다양한 AWS 서비스들과 통합
IAM S3 RedShift GlacierEBS RDS
언제어느곳에서도암호화
AWS CloudTrail
AWS IAMEBS
RDS
Amazon Redshift
S3
Glacier
전송시암호화
그리고 저장 시암호화
전면 감사
완전 관리형키
제한된 접근
AWS 내에 격리된 가상 사설 네트워크 생성가
용영
역A
가용
영역
B
AWS Virtual Private Cloud • 논리적으로 분리된 일종의 가
상 사설망 생성
• VPC상에서 사설 IP대역 선택
• 적절하게 서브넷팅하고 EC2
인스턴스를 배치
AWS network security• AWS 네트워크는 IP 스푸핑
및 레이어 2 공격차단
• 소유하지 않은 EC2인스턴스
에 대한 스니핑불가
• 외부와의 모든 라우팅과 연
결을 통제
애플리케이션에 맞도록 서브넷 분리
앱
DB웹
웹
각 서브넷에 네트워크 접근 제어 목록(NACL)사용
앱
웹
웹
허가
DB모든트래픽거부
각 EC2인스턴스에 보안그룹 방화벽 사용
앱
포트443
DB웹
웹 포트 443
서브넷에 대한 라우팅 제어 (인터넷 or 고객DC)
프라이빗
앱
On-Prem 복제
DB
퍼블릭
프라이빗
웹
웹
안전하게 VPC간리소스공유
디지털웹 싸이트
빅 데이터분석
기업용앱
• 사설 VPC들및 각 VPC간의특정 서브넷 피어 사이에트래픽 라우팅
• 심지어다른 AWS 계정과도가능범용 서비스
AWSVPC 피어링
기존 데이터센터와안전하게 연결
디지털웹 싸이트
빅 데이터분석
기업용앱
개발/테스트 AWS Direct
Connect고객 DC
AWS Internet VPN
고객 AWS환경
감사컴플라이언스, 변경 내역, 로그
AWS Config
• AWS 리소스에 대한 인벤토리•신규 또는 삭제된 리소스에 대한 인식•지속적으로 구성정보 변경을 기록•구성이 변경되면 통지
정규화변경 내역 기록리소스변경
AWS Config
전달
스트림
스냅샷(ex. 2014-11-05)AWS Config
APIs
저장
이력
보안 분석: 나는 안전한가요?
규정 감사: 어디에 증거가 있나요?
변경 관리: 이 변경에 대한 영향은 무엇이될까요?
문제 해결: 무엇이 변경되었나요?
AWS Config로 가능한사용사례
Config Rules
• 변경된 내역에 대해 검증하는 규칙 설정• AWS가 제공하는 내장된 규칙 사용• AWS Lambda를 활용한 커스텀 규칙 지원• 지속적인 진단수행을 자동화• 컴플라이언스 시각화나 위험한 변경을 식별하기위해 대쉬보드 제공.
AWS Config & Config Rules
AWS Config
APIs
정규화변경 내역 기록리소스변경
전달저장
스트림
스냅샷(ex. 2014-11-05)
이력
CloudWatch Logs 로 모든 것을 모니터링
Amazon CloudWatch Logs: EC2 인스턴스나 다른 자원에대해서 시스템, 애플리케이션 및 커스텀 로그를 모니터링할 수 있음. 예를들면;
웹 서버의 HTTP 로그 파일을 모니터링하고 에러(404 등)를식벽하기 위해 CloudWatch Metrics의필터를 사용하여 지정
된 기간 내에 발생 횟수를 카운트
404 에러의 횟수가 사전에 설정된 임계치에 도달하게 되면CloudWatch Alarms가 통지를 할 수 있음.=> 문제의 원인을 파악하기 위해 자동으로 티켓을 생성하도록 사용 가능
AWS 보안은 …을 제공합니다
더나은가시성더나은제어더나은감사기능
NASDAQ 암호화 기반의 데이터 분석
• 구내에 HSM을구축• 암호화 키를 HSM에서 관리• S3의 데이터암호화• EMR 이용 시에만암호 해독
S3 EMR HSM
암호화된 데이터S3에 저장
암호화된 데이터EMR로 처리
HSM에서온암호화 키계층
S3암호화클라이언트
메가마트
• VPC 및 관련구성 요소활용• VPN을 이용해 안전하게
IDC와 연결• 파트너솔루션을 이용한
DB암호화 & 접근 제어
참고: AWS Summit Seoul 2015 –국내엔터프라이즈 클라우드도입구축사례 및 고려사항
AWS 보안 센터
다양한 보안 정보 및 문서를 제공하는 AWS 보안 포털: http://aws.amazon.com/security
• 보안 프로세스 소개• AWS 리스크 및 컴플라이언• AWS 보안 베스트 프랙티스
보안 백서
보안 리소스 취약점 리포팅
침해 테스팅신청 절차
수상한 이메일신고
보안 게시판
보안 리소스 및 블로그
보안 리소스, 교육, 도구들에 대한 광범위한 소개:http://aws.amazon.com/security/security-resources/
개발자정보
기고문 + 튜토리얼
보안 제품 백서
AWS보안 및 컴플라이언스와 관련된 최신 정보를 제공:http://blogs.aws.amazon.com/security/
AWS 보안 블로그
AWS 보안 리소스
보안과 규정 준수가 클라우드를 도입하는 중요한
이유입니다