cloud sec 2015 megazone slideshare 20150910

클라우드보안, 고객사례를중심으로기영삼상무메가존 | 플랫폼서비스그룹

#CLOUDSEC

WHO WE ARE?메가존은누구인가?

2www.cloudsec.com | #CLOUDSEC

3

메가존

설립일자

임직원수

본사

1998

278

서울, 대한민국

고객수

파트너쉽

+ 1,000

+ 20

하노이,베트남해외사무소

디지털에이전시그룹

디지털마케팅그룹

플랫폼서비스그룹

4

AWS TRACK RECORDS

1st AWS 레지스터드파트너

1st AWS 스탠다드파트너

1st AWS 어드밴스드파트너

세계유일 AWS 인증서포트프로그램제공

+100 고객사

+400 어카운트

5

AWS TRACK RECORDS

6

주요고객사

CLOUD MARKET


8

Data source : “Worldwide Quarterly Cloud IT Infrastructure Tracker” by IDC 2015

Worldwide Cloud IT Infrastructure Market

빠르게성장하는시장

U$ 32 B, 2015 성장률 21% 전체 IT 지출중 33%

U$ 52 B, 2019 CAGR 14% 전체 IT 지출중 45%

비용절감

IT 기술의부족

복잡성의단순화

글로벌확장

타임투마켓 –속도

비즈니스다변화

클라우드이전의이유는?

DRIVERS : CLOUD MIGRATION

11

SECURITY, SELECTION CRITERIA

12

SECURITY, NO.1 ISSUE

13

SECURITY, NO.1 ISSUE

14

REPORT CASE A

Data source : “Cloud Security Spotlight report” by bitglass

15

REPORT CASE A


16


REPORT CASE A

17

REPORT CASE B

Data source : “Cloud: Driving a Faster, More connected Business” by HBR, sponsored by Verisign 2014

클라우드사업자선정시중요요소는?

29

26

18

18

Security practice

Interoperate

Compliance

Long term viability

클라우드가보안에미친영향은? 도입후

34

39

10

17

Neutral

Positive

Negative

Not applicable

클라우드보안공유책임모델


19

1

2

3

4

5

6

7

8

9

Data Breaches

Data Loss

Account Hijacking

Data Insecure interface & APIs

Denial of Service

Malicious Insiders

Abuse of Cloud Service

Insufficient Due diligence

Shared Technology Issues

데이터유출

데이터손실

계정탈취

보안성이낮은인터페이스& API

서비스거부

내부자유출

클라우드서비스의남용

공유기술이슈

불충분한절차

클라우드보안의주요위험들

Hypervisor

Virtual Machines

Data

Interface (APIs, GUIs)

Application & Solution Stack

Guest Operating System

Compute & Storage

Shared Network

Physical Facilities / DCs

IT Layer On Premise

전통적인고객의책임범위

Hypervisor

Virtual Machines

Data

Interface (APIs, GUIs)

Application & Solution Stack

Guest Operating System

Compute & Storage

Shared Network

Physical Facilities / DCs

IT Layer On Premise IaaS PaaS SaaS

공유책임범위

22

Infrastructure services : EC2, EBS, Auto Scaling, VPC

AWS 보안책임공유모델 1

AWS Foundation Services

Compute Storage Database Networking

AWS Global Infrastructure Regions

Availability ZonesEdge Locations

Optional – Opaque data: 1’s and 0’s (in transit/at rest)

Platform & Applications Management

Customer content

Client-Side Data encryption & Data Integrity Authentication

Network Traffic ProtectionEncryption / Integrity / Identity

AW

S IAM

Cu

stom

er IA

M

Operating System, Network & Firewall Configuration

Server-Side EncryptionFire System and/or Data C

ust

om

ers

Managed by

Managed by

23

Container services : RDS, EMR, Elastic Beanstalk 등


Cu

sto

mer

sManaged by

Managed byAWS Foundation Services




Optional – Opaque data: 1’s and 0’s (in transit/at rest)

Firew

all C

on

figuratio

n


Operating System, Network Configuration

Customer content

Client-Side Data encryption & Data Integrity Authentication

Network Traffic ProtectionEncryption / Integrity / Identity

AW

S IAM

Cu

stom

er IAM

24

Abstracted Services : S3, Glacier, DynamoDB, SQS, SES 등


AWS Foundation Services





Operating System, Network & Firewall Configuration

Customer content

Optional – Opaque Data: 1’s and 0’s

(in flight / at rest)

Network Traffic Protection by the PlatformProtection of Data at Rest

Network Traffic Protection by the PlatformProtection of Data at in Transit

Client-Side Data Encryption & Data Integrity Authentication

AW

S IAM

Customers

Managed by

Managed by

CASE A계정탈취사례


26

1

2

3

4

5

6

7

8

9

Data Breaches

Data Loss

Account Hijacking


Denial of Service

Malicious Insiders




데이터유출

데이터손실

계정탈취


서비스거부

내부자유출


공유기술이슈

불충분한인식, 절차

CLOUD SECURITY TOP THREAT

27

모바일게임회사사례 A

모바일게임스튜디오

서비스대상지역 : 한국, 태국

7 명의인력

1 명의인프라담당자

월 U$ 200 ~ 300 개발서버사용

28

고객사례 A | 계정탈취

29


30


Identity and Access Management

31

제한 없는 특정 포트/액세스

IAM 사용 및 암호 정책

S3 버킷 권한

RDS 보안 그룹 액세스

루트 계정의 MFA 등

AWS TRUSTED ADVISOR

AWS Cloud에서 운영되는 Infra의 Security는 안전한지, 확인할 방법은 없을까?

CASE BDenial of Service


33

1

2

3

4

5

6

7

8

9

Data Breaches

고객사례 B | 서비스거부

Data Loss

Account Hijacking


Denial of Service

Malicious Insiders




데이터유출

데이터손실

계정탈취


서비스거부

내부자유출


공유기술이슈

불충분한인식, 절차

34


유통업체 B사

스포츠, 화장품전자상거래

서비스지역 : 한국, 일본, 중국

35



36

37

DDOS 공격최근트렌드

인프라스트럭쳐공격 (Layer 3,4)

전체공격의 78% 정도 (손쉬운공격실행)평균공격규모 900 Mbps (50% 정도는 500 Mbps 이하)

어플리케이션공격 (Layer 7)모든공격중 22% 정도는포트 80 & 443 (방어하기어려움!)

Multi-Vector –다양한유형의공격을섞어서실행

치고빠지기 (91% < 1시간이내)

Data source Arbor Networks

38

AWS 베스트프랙티스

DDOS에대한 AWS 대응방안

1. 공격대상이될수있는노출엔드포인트의최소화

2. 정상적인트래픽 (사용자) 패턴을숙지

3. 공격을흡수할수있는확장가능한아키텍처설계

4. 확장이어렵고중요한자원의집중보고

5. DDoS 공격에대한사전계획수립

39

AWS 베스트프랙티스 #1


1. 공격대상이될수있는노출엔드포인트의최소화

백앤드 서버들은 퍼블릭 서브넷에 노출 금지

서비스 서버에 불필요한 Port 및 IP 접근 차단

인프라 외부접속 포인트(Bastion서버)를 숨기거나 제거

장점

공격자 목표로 할 수 있는 유효 공격 대상 감소

모니터링 및 보호대상 자원 감소

40



2. 정상적인트래픽 (사용자) 패턴을숙지

시간 별 패턴 및 사용자 이벤트 시 트래픽 레벨 확인

인프라 서비스 한계시점에 따른 경보 설정

장점

비정상적인 패턴을 신속하게 감지

침해 발생 시 수사를 위한 참고자료 사용가능

41


42



3. 공격을흡수할수있는확장가능한아키텍처설계

상황에 따라 자동으로 용량 확장 및 감축

엣지서비스 (Cloud Front, Route 53)를 활용하여 수용력 호가장

고 가용성 인프라 구축 (> 멀티 Azs)

장점

공격자 피로도 증가

대응방안에 대한 고려 시간 확보

43


44


DISASTER RECOVERY ON AWSAWS에서의 DR


46

AWS GLOBAL INFRASTRUCTE

Region

Edge Location

11 Regions

29 Availability Zones

53 Edge Locations

47

AWS DR SCENARIOS

A

B

C

백업과복구

빠른복구를위한파일롯라이트

웜스탠바이솔루션

D 멀티사이트솔루션

48

Customer Infrastructure

Amazon Route 53

Bucket with

Objects

Data copied to S3

Legacy server

AWS Import/Export

A. 백업과복구

S3 : 99.999999999%

49

Availability Zone

AWS Region

AMI

Instance

S3 Bucket

Pre-bundled with OS and applications

Instance quickly

provisioned from AMI

Data copied from objects

in S3

Data Volume

Amazon EC2

Restore from Amazon S3 into AWS

A. 백업과복구

50

www.example.com

Data Mirroring / Replication

Reverse Proxy / Caching Server

DataVolume

ApplicationServer

DatabaseServer


DataVolume

ApplicationServer

DatabaseServer

Not Running

Smaller Instance

“Pilot Light” in Non-DR Phase

B. 빠른복구를위한파일롯라이트

51

www.example.com


DataVolume

ApplicationServer

DatabaseServer


DataVolume

ApplicationServer

DatabaseServer

Not Running

Smaller Instance

“Pilot Light” in Disaster Phase


52

www.example.com


DataVolume

ApplicationServer

DatabaseServer


DataVolume

ApplicationServer

DatabaseServer

Start in Minutes

Resize Instance toProd Capacity

“Pilot Light” in Recovered Phase


53

Mirroring / Replication

DataVolume

ApplicationServer

MasterDatabaseServer


Application Data Source

Cut Over

DataVolume

SlaveDatabaseServer

ApplicationServer


Elastic Load

Balancer

On site

ActiveNot Active for

Production Traffic

Amazon Route 53

www.example.comWarm Standby in Non-DR Phase

C. 웜스탠바이

54

DataVolume

ApplicationServer

DatabaseServer


DataVolume


ApplicationServer


Elastic Load

Balancer

On site

Active Active

Amazon Route 53

www.example.com Standby Scaled Up in DR Phase

C. 웜스탠바이

55

DataVolume

ApplicationServer



DataVolume

SlaveDatabaseServer

ApplicationServer


Elastic LoadBalancer

On site

Active

Amazon Route 53

www.example.com

Active

Mirroring / Replication

Application Data Source

Cut Over

Multi-Site Hot Standby in Non-DR Phase

D. 멀티사이트

56

DataVolume

ApplicationServer

DatabaseServer


DataVolume


ApplicationServer


Elastic Load

Balancer

On site

Active

Amazon Route 53

www.example.com

Active

Multi-Site Hot Standby in Non-DR Phase

D.멀티사이트

Youngsam KheeSVPMegazone | Platform Service

#CLOUDSEC