cloud sec 2015 megazone slideshare 20150910
TRANSCRIPT
클라우드보안, 고객사례를중심으로기영삼상무메가존 | 플랫폼서비스그룹
#CLOUDSEC
WHO WE ARE?메가존은누구인가?
2www.cloudsec.com | #CLOUDSEC
3
메가존
설립일자
임직원수
본사
1998
278
서울, 대한민국
고객수
파트너쉽
+ 1,000
+ 20
하노이,베트남해외사무소
디지털에이전시그룹
디지털마케팅그룹
플랫폼서비스그룹
4
AWS TRACK RECORDS
1st AWS 레지스터드파트너
1st AWS 스탠다드파트너
1st AWS 어드밴스드파트너
세계유일 AWS 인증서포트프로그램제공
+100 고객사
+400 어카운트
5
AWS TRACK RECORDS
6
주요고객사
CLOUD MARKET
7www.cloudsec.com | #CLOUDSEC
8
Data source : “Worldwide Quarterly Cloud IT Infrastructure Tracker” by IDC 2015
Worldwide Cloud IT Infrastructure Market
빠르게성장하는시장
U$ 32 B, 2015 성장률 21% 전체 IT 지출중 33%
U$ 52 B, 2019 CAGR 14% 전체 IT 지출중 45%
비용절감
IT 기술의부족
복잡성의단순화
글로벌확장
타임투마켓 –속도
비즈니스다변화
클라우드이전의이유는?
DRIVERS : CLOUD MIGRATION
11
SECURITY, SELECTION CRITERIA
12
SECURITY, NO.1 ISSUE
13
SECURITY, NO.1 ISSUE
14
REPORT CASE A
Data source : “Cloud Security Spotlight report” by bitglass
15
REPORT CASE A
Data source : “Cloud Security Spotlight report” by bitglass
16
Data source : “Cloud Security Spotlight report” by bitglass
REPORT CASE A
17
REPORT CASE B
Data source : “Cloud: Driving a Faster, More connected Business” by HBR, sponsored by Verisign 2014
클라우드사업자선정시중요요소는?
29
26
18
18
Security practice
Interoperate
Compliance
Long term viability
클라우드가보안에미친영향은? 도입후
34
39
10
17
Neutral
Positive
Negative
Not applicable
클라우드보안공유책임모델
18www.cloudsec.com | #CLOUDSEC
19
1
2
3
4
5
6
7
8
9
Data Breaches
Data Loss
Account Hijacking
Data Insecure interface & APIs
Denial of Service
Malicious Insiders
Abuse of Cloud Service
Insufficient Due diligence
Shared Technology Issues
데이터유출
데이터손실
계정탈취
보안성이낮은인터페이스& API
서비스거부
내부자유출
클라우드서비스의남용
공유기술이슈
불충분한절차
클라우드보안의주요위험들
Hypervisor
Virtual Machines
Data
Interface (APIs, GUIs)
Application & Solution Stack
Guest Operating System
Compute & Storage
Shared Network
Physical Facilities / DCs
IT Layer On Premise
전통적인고객의책임범위
Hypervisor
Virtual Machines
Data
Interface (APIs, GUIs)
Application & Solution Stack
Guest Operating System
Compute & Storage
Shared Network
Physical Facilities / DCs
IT Layer On Premise IaaS PaaS SaaS
공유책임범위
22
Infrastructure services : EC2, EBS, Auto Scaling, VPC
AWS 보안책임공유모델 1
AWS Foundation Services
Compute Storage Database Networking
AWS Global Infrastructure Regions
Availability ZonesEdge Locations
Optional – Opaque data: 1’s and 0’s (in transit/at rest)
Platform & Applications Management
Customer content
Client-Side Data encryption & Data Integrity Authentication
Network Traffic ProtectionEncryption / Integrity / Identity
AW
S IAM
Cu
stom
er IA
M
Operating System, Network & Firewall Configuration
Server-Side EncryptionFire System and/or Data C
ust
om
ers
Managed by
Managed by
23
Container services : RDS, EMR, Elastic Beanstalk 등
AWS 보안책임공유모델 2
Cu
sto
mer
sManaged by
Managed byAWS Foundation Services
Compute Storage Database Networking
AWS Global Infrastructure Regions
Availability ZonesEdge Locations
Optional – Opaque data: 1’s and 0’s (in transit/at rest)
Firew
all C
on
figuratio
n
Platform & Applications Management
Operating System, Network Configuration
Customer content
Client-Side Data encryption & Data Integrity Authentication
Network Traffic ProtectionEncryption / Integrity / Identity
AW
S IAM
Cu
stom
er IAM
24
Abstracted Services : S3, Glacier, DynamoDB, SQS, SES 등
AWS 보안책임공유모델 3
AWS Foundation Services
Compute Storage Database Networking
AWS Global Infrastructure Regions
Availability ZonesEdge Locations
Platform & Applications Management
Operating System, Network & Firewall Configuration
Customer content
Optional – Opaque Data: 1’s and 0’s
(in flight / at rest)
Network Traffic Protection by the PlatformProtection of Data at Rest
Network Traffic Protection by the PlatformProtection of Data at in Transit
Client-Side Data Encryption & Data Integrity Authentication
AW
S IAM
Customers
Managed by
Managed by
CASE A계정탈취사례
25www.cloudsec.com | #CLOUDSEC
26
1
2
3
4
5
6
7
8
9
Data Breaches
Data Loss
Account Hijacking
Data Insecure interface & APIs
Denial of Service
Malicious Insiders
Abuse of Cloud Service
Insufficient Due diligence
Shared Technology Issues
데이터유출
데이터손실
계정탈취
보안성이낮은인터페이스& API
서비스거부
내부자유출
클라우드서비스의남용
공유기술이슈
불충분한인식, 절차
CLOUD SECURITY TOP THREAT
27
모바일게임회사사례 A
모바일게임스튜디오
서비스대상지역 : 한국, 태국
7 명의인력
1 명의인프라담당자
월 U$ 200 ~ 300 개발서버사용
28
고객사례 A | 계정탈취
29
고객사례 A | 계정탈취
30
고객사례 A | 계정탈취
Identity and Access Management
31
제한 없는 특정 포트/액세스
IAM 사용 및 암호 정책
S3 버킷 권한
RDS 보안 그룹 액세스
루트 계정의 MFA 등
AWS TRUSTED ADVISOR
AWS Cloud에서 운영되는 Infra의 Security는 안전한지, 확인할 방법은 없을까?
CASE BDenial of Service
32www.cloudsec.com | #CLOUDSEC
33
1
2
3
4
5
6
7
8
9
Data Breaches
고객사례 B | 서비스거부
Data Loss
Account Hijacking
Data Insecure interface & APIs
Denial of Service
Malicious Insiders
Abuse of Cloud Service
Insufficient Due diligence
Shared Technology Issues
데이터유출
데이터손실
계정탈취
보안성이낮은인터페이스& API
서비스거부
내부자유출
클라우드서비스의남용
공유기술이슈
불충분한인식, 절차
34
고객사례 B | 서비스거부
유통업체 B사
스포츠, 화장품전자상거래
서비스지역 : 한국, 일본, 중국
35
고객사례 B | 서비스거부
고객사례 B | 서비스거부
36
37
DDOS 공격최근트렌드
인프라스트럭쳐공격 (Layer 3,4)
전체공격의 78% 정도 (손쉬운공격실행)평균공격규모 900 Mbps (50% 정도는 500 Mbps 이하)
어플리케이션공격 (Layer 7)모든공격중 22% 정도는포트 80 & 443 (방어하기어려움!)
Multi-Vector –다양한유형의공격을섞어서실행
치고빠지기 (91% < 1시간이내)
Data source Arbor Networks
38
AWS 베스트프랙티스
DDOS에대한 AWS 대응방안
1. 공격대상이될수있는노출엔드포인트의최소화
2. 정상적인트래픽 (사용자) 패턴을숙지
3. 공격을흡수할수있는확장가능한아키텍처설계
4. 확장이어렵고중요한자원의집중보고
5. DDoS 공격에대한사전계획수립
39
AWS 베스트프랙티스 #1
DDOS에대한 AWS 대응방안
1. 공격대상이될수있는노출엔드포인트의최소화
백앤드 서버들은 퍼블릭 서브넷에 노출 금지
서비스 서버에 불필요한 Port 및 IP 접근 차단
인프라 외부접속 포인트(Bastion서버)를 숨기거나 제거
장점
공격자 목표로 할 수 있는 유효 공격 대상 감소
모니터링 및 보호대상 자원 감소
40
AWS 베스트프랙티스 #2
DDOS에대한 AWS 대응방안
2. 정상적인트래픽 (사용자) 패턴을숙지
시간 별 패턴 및 사용자 이벤트 시 트래픽 레벨 확인
인프라 서비스 한계시점에 따른 경보 설정
장점
비정상적인 패턴을 신속하게 감지
침해 발생 시 수사를 위한 참고자료 사용가능
41
AWS 베스트프랙티스 #2
42
AWS 베스트프랙티스 #3
DDOS에대한 AWS 대응방안
3. 공격을흡수할수있는확장가능한아키텍처설계
상황에 따라 자동으로 용량 확장 및 감축
엣지서비스 (Cloud Front, Route 53)를 활용하여 수용력 호가장
고 가용성 인프라 구축 (> 멀티 Azs)
장점
공격자 피로도 증가
대응방안에 대한 고려 시간 확보
43
AWS 베스트프랙티스 #3
44
AWS 베스트프랙티스 #3
DISASTER RECOVERY ON AWSAWS에서의 DR
45www.cloudsec.com | #CLOUDSEC
46
AWS GLOBAL INFRASTRUCTE
Region
Edge Location
11 Regions
29 Availability Zones
53 Edge Locations
47
AWS DR SCENARIOS
A
B
C
백업과복구
빠른복구를위한파일롯라이트
웜스탠바이솔루션
D 멀티사이트솔루션
48
Customer Infrastructure
Amazon Route 53
Bucket with
Objects
Data copied to S3
Legacy server
AWS Import/Export
A. 백업과복구
S3 : 99.999999999%
49
Availability Zone
AWS Region
AMI
Instance
S3 Bucket
Pre-bundled with OS and applications
Instance quickly
provisioned from AMI
Data copied from objects
in S3
Data Volume
Amazon EC2
Restore from Amazon S3 into AWS
A. 백업과복구
50
www.example.com
Data Mirroring / Replication
Reverse Proxy / Caching Server
DataVolume
ApplicationServer
DatabaseServer
Reverse Proxy / Caching Server
DataVolume
ApplicationServer
DatabaseServer
Not Running
Smaller Instance
“Pilot Light” in Non-DR Phase
B. 빠른복구를위한파일롯라이트
51
www.example.com
Reverse Proxy / Caching Server
DataVolume
ApplicationServer
DatabaseServer
Reverse Proxy / Caching Server
DataVolume
ApplicationServer
DatabaseServer
Not Running
Smaller Instance
“Pilot Light” in Disaster Phase
B. 빠른복구를위한파일롯라이트
52
www.example.com
Reverse Proxy / Caching Server
DataVolume
ApplicationServer
DatabaseServer
Reverse Proxy / Caching Server
DataVolume
ApplicationServer
DatabaseServer
Start in Minutes
Resize Instance toProd Capacity
“Pilot Light” in Recovered Phase
B. 빠른복구를위한파일롯라이트
53
Mirroring / Replication
DataVolume
ApplicationServer
MasterDatabaseServer
Reverse Proxy / Caching Server
Application Data Source
Cut Over
DataVolume
SlaveDatabaseServer
ApplicationServer
Reverse Proxy / Caching Server
Elastic Load
Balancer
On site
ActiveNot Active for
Production Traffic
Amazon Route 53
www.example.comWarm Standby in Non-DR Phase
C. 웜스탠바이
54
DataVolume
ApplicationServer
DatabaseServer
Reverse Proxy / Caching Server
DataVolume
MasterDatabaseServer
ApplicationServer
Reverse Proxy / Caching Server
Elastic Load
Balancer
On site
Active Active
Amazon Route 53
www.example.com Standby Scaled Up in DR Phase
C. 웜스탠바이
55
DataVolume
ApplicationServer
MasterDatabaseServer
Reverse Proxy / Caching Server
DataVolume
SlaveDatabaseServer
ApplicationServer
Reverse Proxy / Caching Server
Elastic LoadBalancer
On site
Active
Amazon Route 53
www.example.com
Active
Mirroring / Replication
Application Data Source
Cut Over
Multi-Site Hot Standby in Non-DR Phase
D. 멀티사이트
56
DataVolume
ApplicationServer
DatabaseServer
Reverse Proxy / Caching Server
DataVolume
MasterDatabaseServer
ApplicationServer
Reverse Proxy / Caching Server
Elastic Load
Balancer
On site
Active
Amazon Route 53
www.example.com
Active
Multi-Site Hot Standby in Non-DR Phase
D.멀티사이트
Youngsam KheeSVPMegazone | Platform Service
#CLOUDSEC