aws summit seoul 2015 - aws를 통한 클라우드 보안 이해하기
TRANSCRIPT
SEOUL
©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
AWS 클라우드에서의 보안 이해
양승도솔루션즈 아키텍트, 아마존 웹서비스 코리아
Multi level security• 데이타 센터의 물리적인 보안• 네트워크 보안• 시스템 보안• 데이타 보안
DATA
심층 방어
전통적인 방식 – Static, Fixed Systems
DB1 DB2
App1 App2
Web1 Web2
SW1 SW2
LB1 LB2
“Cloud applications haveamorphous, polymorphic
attack surfaces.”
- Jason Chan Director of Engineering,
Cloud SecurityNetflix
Monday Friday End of vacation season
Security is our #1 priority
This
To this
Shared Security Responsibility
WHAT NEEDS TO BE DONE TO KEEP THE SYSTEM SAFE
WHAT WE DO
WHAT YOU HAVE TO DO
Client-side Data Encryption
Server-side Data Encryption
Network Traffic Protection
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer contentCustomers
AWS와 고객이 보안에 대한 책임 분담
Customers are responsible for their security INthe Cloud
AWS is responsible for the security OFthe Cloud
Compute Storage Database Networking
AWS Global Infrastructure Regions
Availability Zones Edge Locations
AWS Foundation Services
Client-side Data Encryption
Server-side Data Encryption
Network Traffic Protection
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer contentCustomers
모든 고객은 동일한 AWS 보안 기초위에…
Customers are responsible for their security INthe Cloud
Independent validation by experts• Every AWS Region is in scope• SOC 1 (SSAE 16 & ISAE 3402) Type II• SOC 2 Type II and public SOC 3 report• ISO 27001 Certification• Certified PCI DSS Level 1 Service Provider • FedRAMP Certification, HIPAA capable
Your own compliant solutions
• Culture of security and continual improvement
• Ongoing audits and assurance
• Protection of large-scale service endpoints
Your own ISO certifications
Your own external audits and assurance
• Achieve PCI, HIPAA and MPAA compliance
• Certify against ISO27001 with a reduced scope
• Have key controls audited or publish your own independent attestations
Compute Storage Database Networking
AWS Global Infrastructure Regions
Availability Zones Edge Locations
AWS Foundation Services
Customers
고객들 스스로 필요한 인증을 받을 수 있습니다!
“Based on our experience, I believe that we can be even more secure in the AWS cloud than in our own data center”
Tom Soderstrom – CTO – NASA JPL
Security is familiar
AWS 의 보안은지금 수행하고 있는 것과 같은익숙함을 제공하기 위해서 노력
AWS Marketplace: 익숙한 솔루션에 대한 One-stop shop
Advanced Threat
Analytics
Application Security
Identity and Access Mgmt
Encryption & Key Mgmt
Server and Endpoint Protection
Network Security
Vulnerability & Pen Testing
AWS 보안은 더욱 더 나은
가시성감사 기능
제어
더 나은 가시성(NETWORK, SYSTEM, AUDIT)
현재의 네트워크 맵을 정확하게그릴 수 있나요?
바로 지금 여러분의 운영환경은어떻게 구성되어 있나요?
TRUSTED ADVISOR
AWS CLOUDTRAIL
You are making API calls...
On a growing set of services …
CloudTrail is continuously recording API
calls…
And delivering log files to you
보안 분석Use log files as an input into log management and analysis solutions to perform security analysis and to detect user behavior patterns.
AWS 자원에 대한 변경사항을 추적Track creation, modification, and deletion of AWS resources such as Amazon EC2 instances, Amazon VPC security groups and Amazon EBS volumes.
운영문제를 해결Quickly identify the most recent changes made to resources in your environment.
규정준수 지원Easier to demonstrate compliance with internal policies and regulatory standards.
CloudTrail 로 가능한 사용 사례
Example(Logstash)
Logstash: AWS CloudTrail Edition - powered by Stratalux
더 나은 감사기능(COMPLIANCE, HISTORY, LOG)
AWS CONFIG
Continuous ChangeRecordingChanging Resources
AWS ConfigHistory
Stream
Snapshot (ex. 2014-11-05)AWS Config
보안 분석: Am I safe?
규제 감사: Where is the evidence?
변경관리: What will this change affect?
문제 해결: What has changed?
Config 로 가능한 사용 사례
CloudWatch Logs 로 모든 것을 모니터링
Amazon CloudWatch Logs: EC2 인스턴스나 다른 자원에대해서 시스템, 애플리케이션 및 커스텀 로그를 모니터링할 수 있음. 예를들면;
웹 서버의 HTTP 로그 파일을 모니터링하고 에러(404등)를 식벽하기 위해 CloudWatch Metrics의 필터를사용하여 지정된 기간 내에 발생 횟수를 카운트
404 에러의 횟수가 사전에 설정된 임계치에 도달하게 되면CloudWatch Alarms 가 통지를 할 수 있음.=> 문제의 원인을 파악하기 위해 자동으로 티켓을생성하도록 사용 가능
더 나은 제어(DATA, USER, NETWORK)
DATA에 대한 더 나은 제어
YOUR DATA STAYSWHERE YOU PUT IT
RegionUS-WEST (N. California) EU (Ireland)
ASIA PAC (Tokyo)
ASIA PAC (Singapore)
US-WEST (Oregon)
SOUTH AMERICA (Sao Paulo)
US-EAST (Virginia)
GOV CLOUD
ASIA PAC (Sydney)
컴퓨팅과 스토리지의 위치를 고객이 직접 선택 가능
CHINA (Beijing)
EU (Frankfurt)
퍼스트 클래스 보안 및 규정준수는암호화로 시작됩니다
(그리고 끝나지 않습니다!)
Managed key encryption
Key storage with AWS CloudHSM
Customer-supplied key encryption
DIY on Amazon EC2
Create, store & retrieve keys securely
Rotate keys regularly
Securely audit access to key
Partner enablement of crypto
AWS 환경에서 암호화 옵션
DIY AWS MarketplacePartner Solution AWS CloudHSM
AWS KeyManagement Service
키 생성 및저장 장소
Your network or inAWS
Your network or inAWS
In AWS, on an HSM that you control
AWS
키가 사용되는 위치 Your network or your EC2 instance
Your network or your EC2 instance
AWS or your applications
AWS services or your applications
키 사용을 제어하는방법
Config files,Vendor-specific management
Vendor-specific management
Customer code + Safenet APIs
Policy you define;; enforced in AWS
성능/확장에 대한책임
You You You AWS
AWS 서비스와의통합
Limited Limited Limited Yes
가격 모델 Variable Per hour/per year Per hour Per key/usage
키 관리 옵션에 대한 비교
AWS KMS(Key Management Service)
AWS Key Management Service
• 암호화 키의 생성, 제어 및 사용을 쉽게 할 수 있도록지원하는 관리형 서비스
• Amazon EBS, Amazon S3, Amazon RDS 및 Amazon Redshift 와 같은 AWS 서비스와 AWS SDK에 통합
• 규제 준수 활동에 도움을 줄 수 있는 감사 로그를제공하기 위해 AWS CloudTrail과 통합
AWS Key Management ServiceIntegrated with AWS IAM Console
AWS Key Management ServiceIntegrated with Amazon EBS
AWS Key Management ServiceIntegrated with Amazon S3
AWS Key Management ServiceIntegrated with Amazon Redshift
USER에 대한 더 나은 제어
LEAST PRIVILEGE PRINCIPLE
AWS 어카운트를 이용하여 누가 어떤 작업을할 수 있는 지를 제어
NETWORK에 대한 더 나은 제어
AWS Cloud 내에 격리된 사설 네트워크를 생성Availability Zone A
Availability Zone B
AWS Virtual Private Cloud • Provision a logically isolated section of the AWS cloud
• You choose a private IP range for your VPC
• Segment this into subnets to deploy your compute instances
AWS network security• AWS network will prevent spoofing and other common layer 2 attacks
• You cannot sniff anything but your own EC2 host network interface
• Control all external routing and connectivity
애플리케이션 아키텍쳐에 맞게 VPC를 서브넷으로 분리
Web App
DBWeb
각 서브넷에 네트워크 액세서 제어 목록 (NACL) 사용
App
DBWeb
Web
Allow
Deny all traffic
AllowAllow
각 EC2 인스턴스에 보안 그룹(Security Group) 방화벽 사용
App
DB
Port
3306
Web
Web
Port 443
Port 443
Port 443
Port
443
Port 443
서브넷에 대한 라우팅 경로 제어(Internet or on-premise)
App
DBWeb
WebPUBLIC
PRIVATE PRIVATE
REPLICATE ON-PREM
Application Services
안전하게 VPC 간 리소스 공유
Digital WebsitesBig Data
Analytics
Enterprise Apps
Route traffic between VPCs in private and peer specific subnets between each VPC
Even between AWS accounts
Common Services
Security Services
AWS VPC Peering
기존 데이터 센터에 안전하게 연결
YOUR AWS ENVIRONMENT
AWS DirectConnect
YOUR PREMISES
Digital Websites
Big Data Analytics
Dev and Test
Enterprise Apps
AWS Internet VPN
AWS SECURITY 는 제공합니다
더 나은 가시성더 나은 감사 기능
더 나은 제어
심층 방어
Data
AWS compliance program
Third-partyattestationsPh
ysical
Security groups
VPC configuration
NetworkSecurity
Web application firewalls
Bastion hosts
Encryption in-transit
Hardened AMIs
OS and apppatch mgmt.
IAM roles for EC2
IAM credentials
System security
Logical access controls
User authentication
Encryption at-rest
Data security
더 이상 보안은클라우드 도입을 가로막는
걸림돌이 아닙니다!
이제는 보안과 규제준수가클라우드를 도입하는
중요한 이유가 되고 있습니다!
AWS.AMAZON.COM/SECURITY
SEOUL