[gaming on aws] 클라우드에 대한 오해들 - 한빛소프트
DESCRIPTION
클라우드에 대한 오해들 - 한빛소프트 (조경철 파트장, 시스템 운영팀)TRANSCRIPT
Hanbitsoft on AWS
Status History
AWS Migration Start
Reserved Instance 전환
AWS Migration End
5개 Online game 이전
2013.4
2013.6
2013.9
2013.9
Game Title : 5 EA
EC2 Instances : 120 Count
AWS Regions : US-EAST, Tokyo
AWS Services : EC2, S3, CloudFront,
Business Support, Route 53
글로벌 IDC 인프라를 AWS 인프라로
이전 후 안정적인 게임 서비스 제공
보안에 취약한 클라우드?
1. 물리적 보안
2. 기술적 보안
3. 관리적 보안
데이터 센터의 출입관리, 주요시설 관리 등
네트워크, 서버, 데이터베이스 기술 보안 등
사용자 관리, 접근 관리, 보안 정책 관리
보안 요소
보안에 대한 오해
보안에 대한 오해
데이터 센터의 물리적 보안
• 데이터 센터의 위치가 노출되지 않음.
• 모든 출입은 기록되고 리뷰됨
• 멀티 팩터 인증
- 인가된 직원이라 할지라도 2가지 요소를 이용하여 인증절차를 최소 2번
통과해야함
• 역할의 분리
- 물리적 출입 권한을 갖는 직원은 논리적 접속 권한을 가질 수 없음
• 24 x 7 경비 체제
• 다양한 인증 기관에서 요구하는 보안 수준을 만족하고 있음.
기술적 보안 – VPC 보안
보안에 대한 오해
Web Server
Group
Game Server
Group
DB Server
Group
Manage Server
Group
Internet
Gateway VPN
Gateway
회사 네트워크
Public Subnet
(10.1.0.0/16)
Private Subnet
(10.3.0.0/16)
인터넷
Public Subnet
(10.2.0.0/16)
Private Subnet
(10.4.0.0/16)
VPC
10.0.0.0/8
• 다양한 Software, Middleware를 제3자가 판매하고 구매할 수 있는 곳
• Big Data, Security, Network Monitoring 등의 SW를 사용할 수 있음
• 인스턴스 비용 외에 시간당 라이센스 비용을 붙여 판매 하고 있음
기술적 보안 – AWS MarketPlace
보안에 대한 오해
• AWS 보안 규정상 Appliance는 불가능
• Host-Based IPS / IDS 사용 가능
• AWS MarketPlace를 통해 검색하면 다양
한 Solution 검색 가능
• TrendMicro Deep , AlertLogic,
Sourcefire Snort, Tripwire, OSSEC,
Verisys, McAfee HIDS
• OWASP Top 10 protection
• Reporting 및 분석 기능 포함
• AWS MarketPlace를 통해 검색하면 다양
한 Solution 검색 가능
• Prolexic, Imperva CloudWAF, Incapsula,
Alert Logic
IPS/IDS WAF
기술적 보안 – IPS/IDS 보안
보안에 대한 오해
재무 시스템
Master
개발 총무 QA
Master 계정은 사용하지 않음 (Default)
부서별/사용자별 역할과 권한을 부여해야함.
한빛소프트에서는 AWS Console에 접근하는 것을 서버실에 접근
하는 것과 동일하게 판단하여 계정 관리를 강화함.
관리적 보안 – IAM(Identity and Access Management)
보안에 대한 오해
관리적 보안 - IAM
AWS 관리 콘솔에 접근하기 위해
사용자명과 패스워드를 입력 후 로그인 한다.
관리적 보안 - IAM
AWS 관리 콘솔에 접근하기 위해
사용자명과 패스워드를 입력 후 로그인 한다.
인스턴스가 삭제되었습니다.
충분히 가능한 사실!
AWS 관리 콘솔에 접근하기 위해 사용자명과 패스
워드로 1차 인증하고 Google Authenticator를
이용하여 2차 인증후에 로그인한다.
보안에 대한 오해
관리적 보안 – MFA
여전히 비SE 입장에서는
전문적인 지식 없이는 접근
하기 어려운 영역
System Engineer 로서
새로운 영역 발굴
VPC Setting
Subnet Setting
Route Table
VPN Setting
ACL Control
…
Auto Scaling
Data Modeling
Performance 최적화 High Available Infra 자동화
…
일자리에 대한 오해
예약 요금제 소개
- 선납금 지불 후, 매 월 할인 - 온 디맨드 대비 최대 65% 비용 절감 - 비즈니스에 따라 확장 용이 - 용량 예약 기능 - 추가 비용 없이 변경 가능
120대 예약 인스턴스 사용중
“Reserved Instance”
1년 최대 45% ~ 3년 최대 65%Saving
On-demand 1yr RI 3yr RI
100
55
35
최대 45% 최대 65%
비용에 대한 오해
• Windows, MSSQL STD, Oracle STD One 은 License Included로 사용가능
• AWS와의 Partnership을 통한 종량제 요금에 포함됨으로써 별도의 License 계
약이 필요하지 않음.
0
50
100
150
IDC AWS
License
Infra
100
50
Software License 측면에서 많은 절감을 이룰 수 있었음
비용에 대한 오해
구분 월 1년 비고
IDC 인프라 52,000,000 634,000,000 해외 출장비용 10,000,000
AWS 인프라 36,000,000 432,000,000 1년 예약비용 121,000,000
절감 금액 16,000,000 192,000,000 무려 32% 절감
비용에 대한 오해
• m1.xlarge 2개를 RI로 구입했음.
• m1.xlarge 중 1개의 인스턴스가 더이상 쓸모없게 되었음
• 대신 새로운 게임 런치로 m1.large 2대를 사용하게 됨
• m1.xlarge = 1 x m1.xlarge + 2 x large 로 전환함
Example
비용에 대한 오해 – RI TIP
• GAME1 Account에서 4개의 m1.large Instance를 구매했음
• GAME1 Account에서 3개월 뒤 서비스를 중단했음
• 자동으로 GAME2~5의 사용 현황을 본 뒤 m1.large Instance를 사용하는
것이 있으면 해당 인스턴스를 RI 가격으로 적용함
Payer Account ([email protected])
GAME 1 ([email protected])
GAME 2 ([email protected])
GAME 3 ([email protected])
GAME 4 ([email protected])
GAME 5 ([email protected])
비용에 대한 오해 – RI TIP
Example
구분 IDC 인프라 (물리) AWS 인프라 (가상)
장애적인 측면
인력이 IDC로 직접 이동해야함. 시간이 소요되고 서비스 지연이 발생됨. OP가 필요할 수 있음.
컴퓨터 앞에서 처리함. OP가 필요하지 않음. (현재까지 장애 없음)
작업적인 측면 네트워크 라인 작업부터 서버 설치 등 여러 사람이 분산 작업 해야함.
컴퓨터 앞에서 소수 인원만 작업함. (한 사람이 해도 됨)
비용적인 측면 고정 비용으로 발생 부품 비용 발생
유동적으로 발생 (사용한만큼)
시간적인 측면 서버 1대 설치시 최소 2~3시간 소요
서버 1대 설치시 최대 5분~15분 (이미지 활용)
마지막으로..