© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

이경수 | Solutions Architect

2017. 3. 22

Security on AWS

제조 계열사들을 위한 Cloud 정보 교류회

Security is our #1 priority

This

To this

보안은 AWS의 최우선 순위 과제입니다!

고객층의 증가와 더불어 더 나은 서비스 제공을 위해 보안, 규제/감사, 거버넌스 관련 다양한 업데이트를 빠르게 진행

2007 2008 2009 2010 2011 2012 2013 2014 2015

48 6182

159

280

514

722

269(37%)보안, 거버넌스, 컴플라이언스, 감사 관련

신규 서비스 출시 및 업데이트

기타 신규 서비스 출시 및 업데이트

2015년에는 전년대비 40% 증가한, 722건의 새로운 서비스 및 기능을 출시

Shared Security Responsibility

AWS와 고객이 보안에 대한 책임 분담

Client-side Data

Encryption

Server-side Data

EncryptionNetwork Traffic

Protection

Platform, Applications, Identity & Access Management

Operating System, Network & Firewall Configuration

Customer content

Custo

mers

Customers are

responsible for

their security IN

the Cloud

AWS is

responsible for

the security OF

the Cloud

Compute Storage Database Networking

AWS Global

Infrastructure Regions

Availability ZonesEdge

Locations

AWS Foundation Services

모든 고객은 동일한 AWS 보안 기초위에…

Client-side Data

Encryption

Server-side Data

EncryptionNetwork Traffic

Protection

Platform, Applications, Identity & Access Management

Operating System, Network & Firewall Configuration

Customer contentC

usto

mers

Customers are

responsible for

their security IN

the Cloud

Independent validation by experts

• Every AWS Region is in scope

• SOC 1 (SSAE 16 & ISAE 3402) Type II

• SOC 2 Type II and public SOC 3 report

• ISO 27001 Certification

• Certified PCI DSS Level 1 Service Provider

• FedRAMP Certification, HIPAA capable

Agenda

• 네트워크 구성

• 보안관제

• 암호화

• 접근통제

• 감사

네트워크 구성

DMZ망, 서버/DB망, 관리망 네트워크 분리

Amazon VPC - 격리된 사설 네트워크가용

영역

A

가용

영역

B

AWS Virtual Private Cloud

• 논리적으로 분리된 일종의

가상 사설망을 제공

• VPC상에서 사설 IP대역을

선택

• 적절하게 서브넷팅하고

EC2 인스턴스를 배치

AWS network security

• AWS 는 IP Spoofing과 같은

레이어 2 공격 차단

• 소유하지 않은 EC2인스턴스에

대한 스니핑 불가

• 외부와의 모든 라우팅과

연결을 통제

Route Table

Destination Target

10.1.0.0/16 local

0.0.0.0/0 igw

Availability Zone A Availability Zone B

Subnet: 10.1.1.0/24

Internet Gateway

VPC CIDR: 10.1.0.0 /16

Internet

Subnet: 10.1.10.0/24

EIP EIP

Amazon VPC - 격리된 사설 네트워크

AWS 방화벽 – 보안그룹 ( Security Group )

보안그룹

인스턴스 단위 적용

적용포인트 : 인바운드/아웃 바운

Protocol : 모든 인터넷 프로토콜

지원

IP/Port 에 대한 접속 허용/차단

Stateful 방화벽

보안그룹

AWS 방화벽 - Network ACL(NACL)

Availability Zone ‘A’

Availability Zone ‘B’

Network ACL

• 서브넷 단위 적용

• Stateless 방화벽

• DENY 규칙 적용 가능

웹/어플리케이션 서버

DMZ 퍼블릭 서브넷

ssh

bastion

NAT

ELB사용자

관리자

인터넷

Amazon EC2보안그룹

보안그룹

보안그룹

security group

frontend 프라이빗 서브넷

TCP:

8080Amazon EC2

TCP:

80/443

backend 프라이빗 스브넷

security group

TCP: 1433;

3306

MySQL

db

TCP: Outbound

TCP: 22

단일 VPC 기반 보안 구성 예시

Outbound

Proxy

Inbound

WAFWeb

Application

Outbound HTTP

Inbound HTTP Inbound

CloudFront

보안팀 운영팀

AWS API Endpoints

API requests

VPC peering을 활용한 복수 VPC기반 보안 구성

보안 관제

방화벽 / 침입 탐지 / 웹 방화벽 / DDoS 대응

라우팅테이블

라우팅테이블

인터넷게이트웨이

가상 사설게이트웨이

가상라우터

VPC 10.1.0.0/16

보안관제 -

1. 방화벽

VPC

구성요소로

대응

VPC 10.0.0.0/16

Public Subnets

Private Subnets

10.0.1.0/24

10.0.128.0/24 10.0.129.0/24

…

FirewallIDS/IPS...

UTM

WEBWAS …

DB…

(10.0.0.0/16 : Local)…

0.0.0.0/0 : UTM

10.0.0.0/16 : Local0.0.0.0/0 : IGW

…

대상 subnet 내 트래픽이 UTM 인스턴스를

경유하도록 Route Table 설정

Network Security관련된 설정을 단일

UTM솔루션에서 관리

성능 병목점이나 Single Failure Point 여부

확인 필요

AWS VPC 제공 기능(pub/pri subnet, nat,

nacl, …) 활용이 제한적임

보안관제 - 2. 침입탐지 (UTM Gateway 유형)

VPC 10.0.0.0/16

Public Subnets

Private Subnets

10.0.1.0/24

10.0.128.0/24 10.0.129.0/24

…

UTM(Active

)

WEBWAS …

DB…

(10.0.0.0/16 : Local)…

0.0.0.0/0 : Firewall

10.0.0.0/16 : Local0.0.0.0/0 : IGW

…

UTM(Stand-by)

Conf. Sync.

Move EIP or ENI

A-S형태로 구성 후 장애 발생 시

EIP나 ENI 를 Standby 인스턴스로

맵핑

A-S 가 단일 subnet을 벗어나 az간

구성이 가능한지, A-S 절체 시간이

얼마나 소요되는지 확인 필요

보안관제 - 2. 침입탐지 (UTM Gateway A-S 유형)

VPC 10.0.0.0/16

Public Subnets

Private Subnets

10.0.1.0/24

10.0.128.0/24 10.0.129.0/24

UTM(Standalone)

WEBWAS … …

(10.0.0.0/16 : Local)…

0.0.0.0/0 : Firewall

10.0.0.0/16 : Local0.0.0.0/0 : IGW

…

WEBWAS

10.0.2.0/24

UTM(Standalone)

AZ 1 AZ 2

StandAlone 타입으로 az간 구성 후

ELB나 Route53으로 이중화 구성

관리대상 서버의 subnet이

참조하는 route table 셋팅을

UTM으로 해야함

or

보안관제 - 2. 침입탐지 (UTM Gateway A-A 유형)

YOUR AWS ENVIRONMENT

AWS

Direct

Connect

YOUR

PREMISES

Digital

Websites

Big Data

Analytics

Dev and

Test

Enterprise

Apps

AWS

Internet

VPN

보안관제 - 2. 침입탐지 (기존 UTM appliance 활용)

VPC 10.0.0.0/16

Public Subnets

Private Subnets

10.0.1.0/24

10.0.128.0/24 10.0.129.0/24

…

FirewallIDS/IPSAV/Malware...

UTMManager

WAS … Batch …

10.0.0.0/16 : Local0.0.0.0/0 : NAT

…

10.0.0.0/16 : Local0.0.0.0/0 : IGW

…

A A

10.0.2.0/24

WEB …

A

10.0.127.0/24

NATA

대상 인스턴스에 agent 설치 후

이를 관리

Scalability , Availability 장점

AWS Security Group, NACL과 UTM

F/W기능을 조합하여 관리하여야 함

보안관제 - 2. 침입탐지 (UTM Agent 유형 – Hosted IDS)

AZ 2AZ 1

• 고객 VPC 내 proxy형 WAF 설치 운영

• ELB 샌드위치 내 WAF 구성 (상단

external ELB는 Route53으로 필요시

대체하거나 UTM 복합 구성)

• WAF 리소스를 모니터링하여 Scaling

구성 대비 필요

VPC 10.0.0.0/16

Public Subnets

Private Subnets

10.0.1.0/24

10.0.128.0/24 10.0.129.0/24

WAF(Standalone)

WEBWAS … …

WEBWAS

10.0.2.0/24

WAF(Standalone)

or

보안관제 - 3. 웹 방화벽 (Gateway 유형1)

• Proxy형 WAF1의 변형으로 WAF 내

target 설정이 단일 IP 만 지원하는

솔루션

• WEB 서버를 WAF 타겟으로 하고

WEB/WAS 구간을 was bridge로

구성(internal ELB 구성도 OK)

• WAF 상단 구성은 ELB, Route53 또는

WEB 서버, UTM 선택 구성 가능AZ 2AZ 1

VPC 10.0.0.0/16

Public Subnets

Private Subnets

10.0.1.0/24

WAF(Standalone)

WEB … …WEB

10.0.2.0/24

WAF(Standalone)

WAS … …WAS

or

보안관제 - 3. 웹 방화벽 (Gateway 유형2)

• 직접 WAF 운용 부담없이 손쉬운

설정만으로 서비스 이용

• 웹서비스의 보안성을 손쉽게 높임

• 사용자 요청 데이타가 1차로 SaaS형

WAF시스템으로 유입되어 data

기밀성에 대해 일부 고객층 거부감

• SaaS WAF <-> Web Ser.간 network

환경 확인 필요 ( 같은 AWS Region

이면 OK )

WEBWAS

WEBWAS

www.example.

com

Name Server

WAF(monitor

&filter)

SaaS형 WAF

User

nslookup

www.example.com

Safe

Traffic

보안관제 - 3. 웹 방화벽 (SaaS 유형)

WEBWAS

WEBWAS

www.a.com WAF on

CloudFront edges

users

Safe

Traffic

Edge

Location

Edge

Location

…

73 edges

WAF

WAF

hackers

Bad bots

legitimate

traffic

SQL

Injection,

XSS, ..

site

scripting

• CloudFront edge단에서

WAF가 monitor & filter처리

• 분산된 edge에서 처리되어

scaling에 대한 부담 없음

• SQL injection, XSS 룰셋 기본

제공

• CloudFront 사용이 전제됨

보안관제 - 3. 웹 방화벽 (CDN 유형)

보안관제 - 네트워크 보안 제품 마켓플레이스 현황

Solution Company Product name Seoul Region Type

UTM Trend Micro Trend Micro Deep Security (Classic) OK Agent

UTM Sophos Sophos UTM 9 (Support for Auto Scaling BYOL) OK Gateway

UTM paloalto VM Series Next-Gen F/W OK Gateway

UTM Fortinet FortiGate-VM Limited (above c4) Gateway

UTM Check Point Check Point vSEC (PAYG) OK Gateway

UTM Barracuda Barracuda NextGen Firewall F-Series Limited (above c4) Gateway

WAF Fortinet FortiWeb-VM OK Gateway

WAF Penta Security CloudBric OK SaaS

WAF Penta Security Wapples OK Gateway

WAF Monitorapp Monitorapp OK Gateway

WAF Barracuda Barracuda WAF OK Gateway

WAF/DDoS Imperva Incapsular OK(from Tokyo) SaaS

WAF Imperva SecureSphere WAF AV1000 Gateway v11.0 OK Gateway

보안관제 – DDoS 대응

• DDoS 대응을 위한 AWS Best Practices

• AWS Shield (DDoS 관제 서비스)

AWS Shield Standard

레이어 3/4 보호

자동 탐지 및 대응

가장 흔한 공격유형에 대한

방어 (SYN/UDP Floods,

Reflection Attacks, 등)

AWS 서비스에 밀결합

레이어 7 보호

레이어 7 디도스 공격 대응을

위해 AWS WAF 활용

셀프서비스 및 사용량 과금

AWS Shield Advanced

상시 모니터링및 탐지

고도화된 L3/4 & L7

디도스 방어

공격 통보 및 리포팅24x7 기반 DDoS 대응 팀

연계

AWS 청구 보호

24x7 기반 DDoS 대응 팀 연계

• 중대하고 급박한 우선순위의 케이스에 대해 신속하게 답변이 제공될 수 있도록 디도스 전문가와직접 연결됨

• 복잡한 케이스를 AWS 및 아마존을 비롯한 기타서비스들을 보호하고 있는 경험많은 AWS 디도스대응팀(DRT)으로 바로 요청할 수 있음.

보안관제 - 요약

Requirement AWS AWS MarketplaceManaged Security Service Partner

방화벽방화벽: NACL, Security Group방화벽 로그: VPC Flow Logs

Hosted Agent, Gateway 형TrendMicro Deep SecuritySophos UTM, PaloAlto NGFW, CheckPoint vSEC, Barracuda NGFW, FortiGate-VM, Junipher vSRXCyberMethod, PCS,

MSP – 메가존, GS네오텍, 베스핀

침입탐지

Ahnlab, SKinfosec

- 원격 관제

웹 방화벽

AWS WAF Gateway, WAF on CDN, SaaS 형CloudBric, Wapples, WIWAF, Barracuda WAF, SecureSphere WAF AV1000

웹 쉘ShellMonitor, Anti-WebShell

DDoS 대응

DDoS Best PracticeAWS Shield

주로 SaaS 형DDoS툴: Incapsula, aiProtectDDoS툴 포함 관제: IndusGuard Premium

암호화

통신 암호화 / 키관리 및 블럭 암호화 / DB 암호화

Encryption - 전송중 / 저장시 암호화

자세한 정보가 담긴 백서,“Securing Data at Rest with Encryption”.

전송 중 암호화

HTTPS

SSL/TLS

SSH

VPN

Object

저장 시 암호화

Object

Database

Filesystem

Disk

AWS KMS - 암호화키 생성/보관/관리Customer Master

Key(s)

Data Key 1

Amazon S3

Object

Amazon EBS

Volume

Amazon Redshift Cluster

Data Key 2 Data Key 3 Data Key 4

• 암호화키를 안전하게 생성/보관/관리 해주는 관리형서비스

• 중앙 집중 암호화 키 관리:

EBS S3 RedshiftAWS SDK

AWS CloudTrail

자세한 내용을 담고 있는 백서: KMS Cryptographic Details.

AWS Key Management ServiceIntegrated with Amazon EBS

암호화 – DB 암호화

Amazon

RDS

TDE

사용가능

각 DBMS별TDE 사용 가능

or

3rd party solution

(ex. D’Amo)

DBMS on EC2

암호화 – 통신 암호화 (Client-Server간, WAS-DB간)

client

Amazon

RDS

Amazon

CloudFront

Amazon

S3Elastic Load

Balancing

Amazon EC2

Amazon API

Gateway

HTTPS

DB connection

over SSL

접근제어

사용자 접근 제어 / 서버 접근제어 / DB 접근제어

AWS IAM : 인증, 인가 그리고 인증 연계

User, Group 그리고 Role

Security credentials

• Login/Password

• Access/secret keys (APIs, CLI)

• MFA device(선택사항)

AWS 리소스 사용에 대한 유연한

인가 정책 구성

Account

Administrators

Developers Applications

Jim

Bob

Brad

Mark

Susan

Kevin

Monitor

Reporting

WAS

Batch

Groups Roles

Multi-factor authentication

Service UsersConsole Users

AWS IAM 권한 구성 예시

• 특정 서비스의 특정

리소스에 대한 권한 제어

가능

• 사전 정의된 권한셋을

이용한 손쉬운 사용

• JSON 형태 정책문서

수정을 통한 다양한 확장

Dev/Ops

Sales/

Marketing

Amazon

EC2

Amazon

S3

S3 Read-

only access

granted

All

operations

granted

Authorizes every request from API and

Management Console

Authz

AWS Organizations

Organization• AWS 계정들을 중앙에서 제어할 수 있는 통합된 조직

AWS account• AWS 리소스를 사용하는 amazon 계정

• AWS Identity and Access Management (IAM) principals (users, roles)

• AWS Organizations의 최소 구성 요소

Master account• 해당 organization 내 모든 AWS accounts의 사용비용을 지불하는 AWS account

• 해당 organization의 정책 및 권한을 관리하는 AWS account

Organizational unit (OU)• 해당 organization 내 AWS accounts 및 다른 OUs들의 논리적인 집합

Administrative root• 최상위 OU

Organization control policy (OCP)• 특정 AWS accounts에게 적용된 권한 제어 문서

Example

A6

Development Test Production

A8A1

A5A4A3

A2

A9

A7

Security

접근제어 – 서버 접근 제어 (Bastion Host)

• 서블릭 서브넷 내 위치

• 관리용 SSH(또는 RDP) 접속

• 프라이빗 서브넷 내 인스턴스에 접속하기

위한 경유 서버

Availability Zone

Public Subnet

Internet Gateway

Internet

Bastion

Private Subnet

EC2

접근제어 – 서버 접근 제어 (Agent 유형)

Manager Server

users

Amazon EC2

Agent 탑재

admin

1.신청

2.승인

3.토큰

4.접근

5.통제

접근제어 – 서버 접근 제어 (Proxy 유형)

Proxy

Server

Users

Admin

1.정책설정

Amazon EC2

2. 접근

접근제어 – DB 접근 제어 (Proxy 유형)

Users

Admin

1.정책설정

Amazon

RDS

Proxy

Server (or VDI)

Agent2. 접근

감사(Security Audit)

CloudTrail / Config / ConfigRules

모든 작업은 API콜로 처리됨...

사용하는 서비스와인스턴스들이 늘어

남에 따라 …

CloudTrail은계속해서 모든API 요청들에

대해 신뢰성 있는기록을 수행…

AWS CloudTrailAWS상의 모든 관리작업에 대한 로깅

AWS ConfigAWS 리소스에 대한 인벤토리 관리와 구성정보 변경관리 및 통보(AWS SNS)

변경 관리감사

컴플라이언스보안 분석 Troubleshooting Discovery

ConfigRules 의 custom rule 지원

특정변경이력의실시간/주기적

감시/통보

• Lambda blueprint 내관련참조소스

제공

• GitHub내관련 Lambda 소스공개

AWS Config/Rules

AWS Config Rules

네트워크 구성

보안관제

감사

• 암호화

• 접근통제

VPC

MSSP, Marketplace

CloudTrail,

Config/Rules

통신/저장 데이타 암호화, KMS,

DBMS 암호화

IAM, Organizations,

Marketplace

WHAT

WE DO

WHAT YOU

HAVE TO DO

필요에 따라 네트워크/보안 관련 다양한 솔루션들을선택하실 수 있습니다.

인프라 보안 로깅 모니터링 계정 및 접근제어 구성 및 취약점 제어 데이터 보호

SaaS

SaaS SaaS

AWS에서 보안은 강점입니다!

AWS IAM Amazon CloudWatch

AWSCloudTrail

AWSConfig

AWSCloudFormation

AWS Trusted Advisor

…

+

…

VPC

kyungsol@amazon.com

Thank you!

이경수 | 아마존웹서비스