[AWS] AWSome Day (Network / Security)

2022.6.9
AWS 무료 온라인 컨퍼런스

Networking

Amazon Virtual Private Cloud (Amazon VPC)

AWS 클라우드의 프라이빗 네트워크 공간

 

 

• 워크로드의 논리적 격리 제공
• 리소스에 대한 사용자 지정 액세스 제어 및 보안 설정 허용

---

심층 방어 ( VPC의 계층화된 네트워크 방어 )

1. VPC : 라우팅 테이블
2. 서브넷 ACL : 인바운드 / 아웃바운드
3. EC2 / 탄력적 네트워크 인터페이스 보안 그룹 : 인바운드 / 아웃바운드
4. 서드 파트 호스팅 기반 보호

인프라 구조화

• 네트워크 ACL(액세스 제어 목록)
• 서브넷과 주고받는 트래픽 허용 / 거부
• 서브넷 수준에서 2차 방어 계층으로 보안 강화

보안 그룹

• 네트워크 인터페이스(인스턴스) 수준에서 인바운드 / 아웃바운드 트래픽을 허용할 때 사용
• 일반적으로 애플리케이션 개발자가 관리

---

Elastic Load Balancing(ELB)

수신되는 애플리케이션 트래픽을 여러 Amazon EC2 인스턴스, 컨테이너, IP 주소에 분산하는

관리형 로드밸런싱 서비스

 

• 고가용성
• 상태 확인
• 보안 기능

---

Amazon Route 53

가용성과 확정성이 뛰어난 클라우드 DNS 서비스

 

 

• DNS는 도메인 이름을 IP주소로 변환
• 도메인 이름을 구입하여 관리하고 DNS 설정을 자동으로 구성
• AWS에서 유연한 고성능, 고가용성 아키텍처를 위한 도구 제공
• 멀티플 라우팅 옵션

---

Security

AWS 보안 목표

• 보안을 고려한 설계
• 지속적 모니터링
• 고도의 자동화
• 높은 가용성
• 엄격한 인증

---

공동 책임 모델

고객 책임

1. 고객 데이터
2. 플랫폼, 애플리케이션, 자격 증명 및 액세스 관리
3. 운영 체제, 네트워크, 방화벽, 구성
4. 클라이언트 측 데이터 암호화 및 데이터 무결성 인증
5. 서버 측 암호화 ( 파일 시스템 / 데이터 )
6. 네트워크 트래픽 보호 ( 암호화 / 무결성 / 자격 증명 )

AWS의 책임

1. AWS 기초 서비스 ( 컴퓨팅 / 스토리지 / 데이터베이스 / 네트워킹 )
2. AWS 글로벌 인프라 ( 리전 / 가용 영역 / 엣지 로케이션 )

---

AWS Identity and Access Management (IAM)

AWS 리소스에 대한 액세스를 안전하게 제어

 

 

• 사용자 / 그룹 또는 역할에 세분화된 권한 할당
• AWS 계정에 대한 임시 액세스 공유
• 회사 네트워크의 사용자 연동 또는 인터넷 자격증명 공급자와 연동

1. 구성요소

• IAM 사용자는 별도의 AWS 계정이 아닌 계정 내 사용자
• 각 사용자는 자체 자격 증명 보유
• IAM 사용자는 자체 권한을 기준으로 특정 AWS 작업을 수행할 권한 보유

2. 생성

• 사용자 : AWS와 상호 작용하는 사람 / 애플리케이션
• 그룹 : 동일한 권한을 가진 사용자 모음
• 역할 : 엔터티가 맡을 수 있는 임시 권한

3. 사용자가 액세스 할 수 있는 AWS 리소스 정의

• 일부 서비스는 S3 버킷 정책과 같은 리소스 기반 정책 지원

4. 자격 증명 및 액세스 제어 표준을 충족하는데 도움

• 인증
• 권한 부여

---

AWS CloudTrail

AWS 계정의 사용자 활동 및 API 사용 추적

 

 

• 지속적으로 사용자 활동을 모니터링하고 API 호출을 기록
• 규정 준수 감사 / 보안 분석 / 문제 해결에 유용
• 로그 파일은 Amazon S3 버킷으로 전송

---

 

* AWS Trusted Advisor란?

비용 절감 / 성능 개선 / 보안 강화에 도움이 되는 지침 제공 서비스