security on aws :: 이경수 솔루션즈아키텍트
TRANSCRIPT
© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
이경수 | Solutions Architect
2017. 3. 22
Security on AWS
제조 계열사들을 위한 Cloud 정보 교류회
Security is our #1 priority
This
To this
보안은 AWS의 최우선 순위 과제입니다!
고객층의 증가와 더불어 더 나은 서비스 제공을 위해 보안, 규제/감사, 거버넌스 관련 다양한 업데이트를 빠르게 진행
2007 2008 2009 2010 2011 2012 2013 2014 2015
48 6182
159
280
514
722
269(37%)보안, 거버넌스, 컴플라이언스, 감사 관련
신규 서비스 출시 및 업데이트
기타 신규 서비스 출시 및 업데이트
2015년에는 전년대비 40% 증가한, 722건의 새로운 서비스 및 기능을 출시
Shared Security Responsibility
AWS와 고객이 보안에 대한 책임 분담
Client-side Data
Encryption
Server-side Data
EncryptionNetwork Traffic
Protection
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer content
Custo
mers
Customers are
responsible for
their security IN
the Cloud
AWS is
responsible for
the security OF
the Cloud
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability ZonesEdge
Locations
AWS Foundation Services
모든 고객은 동일한 AWS 보안 기초위에…
Client-side Data
Encryption
Server-side Data
EncryptionNetwork Traffic
Protection
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer contentC
usto
mers
Customers are
responsible for
their security IN
the Cloud
Independent validation by experts
• Every AWS Region is in scope
• SOC 1 (SSAE 16 & ISAE 3402) Type II
• SOC 2 Type II and public SOC 3 report
• ISO 27001 Certification
• Certified PCI DSS Level 1 Service Provider
• FedRAMP Certification, HIPAA capable
Agenda
• 네트워크 구성
• 보안관제
• 암호화
• 접근통제
• 감사
네트워크 구성
DMZ망, 서버/DB망, 관리망 네트워크 분리
Amazon VPC - 격리된 사설 네트워크가용
영역
A
가용
영역
B
AWS Virtual Private Cloud
• 논리적으로 분리된 일종의
가상 사설망을 제공
• VPC상에서 사설 IP대역을
선택
• 적절하게 서브넷팅하고
EC2 인스턴스를 배치
AWS network security
• AWS 는 IP Spoofing과 같은
레이어 2 공격 차단
• 소유하지 않은 EC2인스턴스에
대한 스니핑 불가
• 외부와의 모든 라우팅과
연결을 통제
Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet
Subnet: 10.1.10.0/24
EIP EIP
Amazon VPC - 격리된 사설 네트워크
AWS 방화벽 – 보안그룹 ( Security Group )
보안그룹
인스턴스 단위 적용
적용포인트 : 인바운드/아웃 바운
Protocol : 모든 인터넷 프로토콜
지원
IP/Port 에 대한 접속 허용/차단
Stateful 방화벽
보안그룹
AWS 방화벽 - Network ACL(NACL)
Availability Zone ‘A’
Availability Zone ‘B’
Network ACL
• 서브넷 단위 적용
• Stateless 방화벽
• DENY 규칙 적용 가능
웹/어플리케이션 서버
DMZ 퍼블릭 서브넷
ssh
bastion
NAT
ELB사용자
관리자
인터넷
Amazon EC2보안그룹
보안그룹
보안그룹
security group
frontend 프라이빗 서브넷
TCP:
8080Amazon EC2
TCP:
80/443
backend 프라이빗 스브넷
security group
TCP: 1433;
3306
MySQL
db
TCP: Outbound
TCP: 22
단일 VPC 기반 보안 구성 예시
Outbound
Proxy
Inbound
WAFWeb
Application
Outbound HTTP
Inbound HTTP Inbound
CloudFront
보안팀 운영팀
AWS API Endpoints
API requests
VPC peering을 활용한 복수 VPC기반 보안 구성
보안 관제
방화벽 / 침입 탐지 / 웹 방화벽 / DDoS 대응
라우팅테이블
라우팅테이블
인터넷게이트웨이
가상 사설게이트웨이
가상라우터
VPC 10.1.0.0/16
보안관제 -
1. 방화벽
VPC
구성요소로
대응
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
…
FirewallIDS/IPS...
UTM
WEBWAS …
DB…
(10.0.0.0/16 : Local)…
0.0.0.0/0 : UTM
10.0.0.0/16 : Local0.0.0.0/0 : IGW
…
대상 subnet 내 트래픽이 UTM 인스턴스를
경유하도록 Route Table 설정
Network Security관련된 설정을 단일
UTM솔루션에서 관리
성능 병목점이나 Single Failure Point 여부
확인 필요
AWS VPC 제공 기능(pub/pri subnet, nat,
nacl, …) 활용이 제한적임
보안관제 - 2. 침입탐지 (UTM Gateway 유형)
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
…
UTM(Active
)
WEBWAS …
DB…
(10.0.0.0/16 : Local)…
0.0.0.0/0 : Firewall
10.0.0.0/16 : Local0.0.0.0/0 : IGW
…
UTM(Stand-by)
Conf. Sync.
Move EIP or ENI
A-S형태로 구성 후 장애 발생 시
EIP나 ENI 를 Standby 인스턴스로
맵핑
A-S 가 단일 subnet을 벗어나 az간
구성이 가능한지, A-S 절체 시간이
얼마나 소요되는지 확인 필요
보안관제 - 2. 침입탐지 (UTM Gateway A-S 유형)
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
UTM(Standalone)
WEBWAS … …
(10.0.0.0/16 : Local)…
0.0.0.0/0 : Firewall
10.0.0.0/16 : Local0.0.0.0/0 : IGW
…
WEBWAS
10.0.2.0/24
UTM(Standalone)
AZ 1 AZ 2
StandAlone 타입으로 az간 구성 후
ELB나 Route53으로 이중화 구성
관리대상 서버의 subnet이
참조하는 route table 셋팅을
UTM으로 해야함
or
보안관제 - 2. 침입탐지 (UTM Gateway A-A 유형)
YOUR AWS ENVIRONMENT
AWS
Direct
Connect
YOUR
PREMISES
Digital
Websites
Big Data
Analytics
Dev and
Test
Enterprise
Apps
AWS
Internet
VPN
보안관제 - 2. 침입탐지 (기존 UTM appliance 활용)
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
…
FirewallIDS/IPSAV/Malware...
UTMManager
WAS … Batch …
10.0.0.0/16 : Local0.0.0.0/0 : NAT
…
10.0.0.0/16 : Local0.0.0.0/0 : IGW
…
A A
10.0.2.0/24
WEB …
A
10.0.127.0/24
NATA
대상 인스턴스에 agent 설치 후
이를 관리
Scalability , Availability 장점
AWS Security Group, NACL과 UTM
F/W기능을 조합하여 관리하여야 함
보안관제 - 2. 침입탐지 (UTM Agent 유형 – Hosted IDS)
AZ 2AZ 1
• 고객 VPC 내 proxy형 WAF 설치 운영
• ELB 샌드위치 내 WAF 구성 (상단
external ELB는 Route53으로 필요시
대체하거나 UTM 복합 구성)
• WAF 리소스를 모니터링하여 Scaling
구성 대비 필요
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
WAF(Standalone)
WEBWAS … …
WEBWAS
10.0.2.0/24
WAF(Standalone)
or
보안관제 - 3. 웹 방화벽 (Gateway 유형1)
• Proxy형 WAF1의 변형으로 WAF 내
target 설정이 단일 IP 만 지원하는
솔루션
• WEB 서버를 WAF 타겟으로 하고
WEB/WAS 구간을 was bridge로
구성(internal ELB 구성도 OK)
• WAF 상단 구성은 ELB, Route53 또는
WEB 서버, UTM 선택 구성 가능AZ 2AZ 1
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
WAF(Standalone)
WEB … …WEB
10.0.2.0/24
WAF(Standalone)
WAS … …WAS
or
보안관제 - 3. 웹 방화벽 (Gateway 유형2)
• 직접 WAF 운용 부담없이 손쉬운
설정만으로 서비스 이용
• 웹서비스의 보안성을 손쉽게 높임
• 사용자 요청 데이타가 1차로 SaaS형
WAF시스템으로 유입되어 data
기밀성에 대해 일부 고객층 거부감
• SaaS WAF <-> Web Ser.간 network
환경 확인 필요 ( 같은 AWS Region
이면 OK )
WEBWAS
WEBWAS
www.example.
com
Name Server
WAF(monitor
&filter)
SaaS형 WAF
User
nslookup
www.example.com
Safe
Traffic
보안관제 - 3. 웹 방화벽 (SaaS 유형)
WEBWAS
WEBWAS
www.a.com WAF on
CloudFront edges
users
Safe
Traffic
Edge
Location
Edge
Location
…
73 edges
WAF
WAF
hackers
Bad bots
legitimate
traffic
SQL
Injection,
XSS, ..
site
scripting
• CloudFront edge단에서
WAF가 monitor & filter처리
• 분산된 edge에서 처리되어
scaling에 대한 부담 없음
• SQL injection, XSS 룰셋 기본
제공
• CloudFront 사용이 전제됨
보안관제 - 3. 웹 방화벽 (CDN 유형)
보안관제 - 네트워크 보안 제품 마켓플레이스 현황
Solution Company Product name Seoul Region Type
UTM Trend Micro Trend Micro Deep Security (Classic) OK Agent
UTM Sophos Sophos UTM 9 (Support for Auto Scaling BYOL) OK Gateway
UTM paloalto VM Series Next-Gen F/W OK Gateway
UTM Fortinet FortiGate-VM Limited (above c4) Gateway
UTM Check Point Check Point vSEC (PAYG) OK Gateway
UTM Barracuda Barracuda NextGen Firewall F-Series Limited (above c4) Gateway
WAF Fortinet FortiWeb-VM OK Gateway
WAF Penta Security CloudBric OK SaaS
WAF Penta Security Wapples OK Gateway
WAF Monitorapp Monitorapp OK Gateway
WAF Barracuda Barracuda WAF OK Gateway
WAF/DDoS Imperva Incapsular OK(from Tokyo) SaaS
WAF Imperva SecureSphere WAF AV1000 Gateway v11.0 OK Gateway
보안관제 – DDoS 대응
• DDoS 대응을 위한 AWS Best Practices
• AWS Shield (DDoS 관제 서비스)
AWS Shield Standard
레이어 3/4 보호
자동 탐지 및 대응
가장 흔한 공격유형에 대한
방어 (SYN/UDP Floods,
Reflection Attacks, 등)
AWS 서비스에 밀결합
레이어 7 보호
레이어 7 디도스 공격 대응을
위해 AWS WAF 활용
셀프서비스 및 사용량 과금
AWS Shield Advanced
상시 모니터링및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호
24x7 기반 DDoS 대응 팀 연계
• 중대하고 급박한 우선순위의 케이스에 대해 신속하게 답변이 제공될 수 있도록 디도스 전문가와직접 연결됨
• 복잡한 케이스를 AWS 및 아마존을 비롯한 기타서비스들을 보호하고 있는 경험많은 AWS 디도스대응팀(DRT)으로 바로 요청할 수 있음.
보안관제 - 요약
Requirement AWS AWS MarketplaceManaged Security Service Partner
방화벽방화벽: NACL, Security Group방화벽 로그: VPC Flow Logs
Hosted Agent, Gateway 형TrendMicro Deep SecuritySophos UTM, PaloAlto NGFW, CheckPoint vSEC, Barracuda NGFW, FortiGate-VM, Junipher vSRXCyberMethod, PCS,
MSP – 메가존, GS네오텍, 베스핀
침입탐지
Ahnlab, SKinfosec
- 원격 관제
웹 방화벽
AWS WAF Gateway, WAF on CDN, SaaS 형CloudBric, Wapples, WIWAF, Barracuda WAF, SecureSphere WAF AV1000
웹 쉘ShellMonitor, Anti-WebShell
DDoS 대응
DDoS Best PracticeAWS Shield
주로 SaaS 형DDoS툴: Incapsula, aiProtectDDoS툴 포함 관제: IndusGuard Premium
암호화
통신 암호화 / 키관리 및 블럭 암호화 / DB 암호화
Encryption - 전송중 / 저장시 암호화
자세한 정보가 담긴 백서,“Securing Data at Rest with Encryption”.
전송 중 암호화
HTTPS
SSL/TLS
SSH
VPN
Object
저장 시 암호화
Object
Database
Filesystem
Disk
AWS KMS - 암호화키 생성/보관/관리Customer Master
Key(s)
Data Key 1
Amazon S3
Object
Amazon EBS
Volume
Amazon Redshift Cluster
Data Key 2 Data Key 3 Data Key 4
• 암호화키를 안전하게 생성/보관/관리 해주는 관리형서비스
• 중앙 집중 암호화 키 관리:
EBS S3 RedshiftAWS SDK
AWS CloudTrail
자세한 내용을 담고 있는 백서: KMS Cryptographic Details.
AWS Key Management ServiceIntegrated with Amazon EBS
암호화 – DB 암호화
Amazon
RDS
TDE
사용가능
각 DBMS별TDE 사용 가능
or
3rd party solution
(ex. D’Amo)
DBMS on EC2
암호화 – 통신 암호화 (Client-Server간, WAS-DB간)
client
Amazon
RDS
Amazon
CloudFront
Amazon
S3Elastic Load
Balancing
Amazon EC2
Amazon API
Gateway
HTTPS
DB connection
over SSL
접근제어
사용자 접근 제어 / 서버 접근제어 / DB 접근제어
AWS IAM : 인증, 인가 그리고 인증 연계
User, Group 그리고 Role
Security credentials
• Login/Password
• Access/secret keys (APIs, CLI)
• MFA device(선택사항)
AWS 리소스 사용에 대한 유연한
인가 정책 구성
Account
Administrators
Developers Applications
Jim
Bob
Brad
Mark
Susan
Kevin
Monitor
Reporting
WAS
Batch
Groups Roles
Multi-factor authentication
Service UsersConsole Users
AWS IAM 권한 구성 예시
• 특정 서비스의 특정
리소스에 대한 권한 제어
가능
• 사전 정의된 권한셋을
이용한 손쉬운 사용
• JSON 형태 정책문서
수정을 통한 다양한 확장
Dev/Ops
Sales/
Marketing
Amazon
EC2
Amazon
S3
S3 Read-
only access
granted
All
operations
granted
Authorizes every request from API and
Management Console
Authz
AWS Organizations
Organization• AWS 계정들을 중앙에서 제어할 수 있는 통합된 조직
AWS account• AWS 리소스를 사용하는 amazon 계정
• AWS Identity and Access Management (IAM) principals (users, roles)
• AWS Organizations의 최소 구성 요소
Master account• 해당 organization 내 모든 AWS accounts의 사용비용을 지불하는 AWS account
• 해당 organization의 정책 및 권한을 관리하는 AWS account
Organizational unit (OU)• 해당 organization 내 AWS accounts 및 다른 OUs들의 논리적인 집합
Administrative root• 최상위 OU
Organization control policy (OCP)• 특정 AWS accounts에게 적용된 권한 제어 문서
Example
A6
Development Test Production
A8A1
A5A4A3
A2
A9
A7
Security
접근제어 – 서버 접근 제어 (Bastion Host)
• 서블릭 서브넷 내 위치
• 관리용 SSH(또는 RDP) 접속
• 프라이빗 서브넷 내 인스턴스에 접속하기
위한 경유 서버
Availability Zone
Public Subnet
Internet Gateway
Internet
Bastion
Private Subnet
EC2
접근제어 – 서버 접근 제어 (Agent 유형)
Manager Server
users
Amazon EC2
Agent 탑재
admin
1.신청
2.승인
3.토큰
4.접근
5.통제
접근제어 – 서버 접근 제어 (Proxy 유형)
Proxy
Server
Users
Admin
1.정책설정
Amazon EC2
2. 접근
접근제어 – DB 접근 제어 (Proxy 유형)
Users
Admin
1.정책설정
Amazon
RDS
Proxy
Server (or VDI)
Agent2. 접근
감사(Security Audit)
CloudTrail / Config / ConfigRules
모든 작업은 API콜로 처리됨...
사용하는 서비스와인스턴스들이 늘어
남에 따라 …
CloudTrail은계속해서 모든API 요청들에
대해 신뢰성 있는기록을 수행…
AWS CloudTrailAWS상의 모든 관리작업에 대한 로깅
AWS ConfigAWS 리소스에 대한 인벤토리 관리와 구성정보 변경관리 및 통보(AWS SNS)
변경 관리감사
컴플라이언스보안 분석 Troubleshooting Discovery
ConfigRules 의 custom rule 지원
특정변경이력의실시간/주기적
감시/통보
• Lambda blueprint 내관련참조소스
제공
• GitHub내관련 Lambda 소스공개
AWS Config/Rules
AWS Config Rules
네트워크 구성
보안관제
감사
• 암호화
• 접근통제
VPC
MSSP, Marketplace
CloudTrail,
Config/Rules
통신/저장 데이타 암호화, KMS,
DBMS 암호화
IAM, Organizations,
Marketplace
WHAT
WE DO
WHAT YOU
HAVE TO DO
필요에 따라 네트워크/보안 관련 다양한 솔루션들을선택하실 수 있습니다.
인프라 보안 로깅 모니터링 계정 및 접근제어 구성 및 취약점 제어 데이터 보호
SaaS
SaaS SaaS
AWS에서 보안은 강점입니다!
AWS IAM Amazon CloudWatch
AWSCloudTrail
AWSConfig
AWSCloudFormation
AWS Trusted Advisor
…
+
…
VPC