2016, Amazon Web Services, Inc. 또는계열사. All rights reserved. 고지사항 이문서는정보제공목적으로만제공됩니다. 본문서의발행일당시 AWS의현재제품및실행방법을설명하며, 예고없이변경될수있습니다. 고객은본문서에포함된정보나 AWS 제품또

Transcription

1 AWS 보안모범사례 ( 이문서의최신버전은 를참조 )

2 2016, Amazon Web Services, Inc. 또는계열사. All rights reserved. 고지사항 이문서는정보제공목적으로만제공됩니다. 본문서의발행일당시 AWS의현재제품및실행방법을설명하며, 예고없이변경될수있습니다. 고객은본문서에포함된정보나 AWS 제품또는서비스의사용을독립적으로평가할책임이있으며, 각정보및제품은명시적이든묵시적이든어떠한종류의보증없이 " 있는그대로 " 제공됩니다. 본문서는 AWS, 그계열사, 공급업체또는라이선스제공자로부터어떠한보증, 표현, 계약약속, 조건또는보증을구성하지않습니다. 고객에대한 AWS의책임및의무는 AWS 계약에준거합니다. 본문서는 AWS와고객간의어떠한계약도구성하지않으며이를변경하지도않습니다.

3 목차 요약 1 개요 1 AWS 공동책임모델알기 2 AWS 보안글로벌인프라이해 4 IAM 서비스사용 4 리전, 가용영역및엔드포인트 4 AWS 서비스에대한보안공동책임 5 인프라서비스의공동책임모델 6 컨테이너서비스의공동책임모델 9 추상화된서비스의공동책임모델 10 Trusted Advisor 도구사용 11 AWS에서자산정의및분류 12 AWS에서자산을보호하기위한 ISMS 설계 13 AWS 계정, IAM 사용자, 그룹및역할관리 15 여러 AWS 계정을사용하기위한전략 16 IAM 사용자관리 17 IAM 그룹관리 17 AWS 자격증명관리 18 IAM 역할및임시를사용하는권한위임이해보안자격증명 19 Amazon EC2의 IAM 역할 20 교차계정액세스 21 자격증명연동 22

4 Amazon EC2 인스턴스에대한 OS 수준액세스관리 23 데이터보호 24 리소스액세스권한부여 24 클라우드상의암호화키저장및관리 25 유휴데이터보호 26 Amazon S3에서유휴데이터보호 28 Amazon EBS에서유휴데이터보호 29 Amazon RDS에서유휴데이터보호 30 Amazon Glacier에서유휴데이터보호 32 Amazon DynamoDB에서유휴데이터보호 32 Amazon EMR에서유휴데이터보호 33 데이터와미디어의안전한폐기 34 전송중데이터보호 35 AWS 퍼블릭클라우드서비스에대한애플리케이션및관리자액세스 관리 36 AWS 서비스를관리할때전송중데이터보호 37 Amazon S3로전송중인데이터보호 38 Amazon RDS로전송중인데이터보호 38 Amazon DynamoDB로전송중인데이터보호 39 Amazon EMR로전송중인데이터보호 39 운영체제와애플리케이션보호 40 사용자지정 AMI 생성 41 부트스트래핑 43 패치관리 43 퍼블릭 AMI 보안제어 44 시스템을맬웨어로부터보호 44

5 손상및침해완화 46 추가애플리케이션보안사례사용 49 인프라보안유지 50 Amazon Virtual Private Cloud(VPC) 사용 50 보안영역조정및네트워크세분화사용 52 네트워크보안강화 56 주변시스템보호 : 사용자리포지토리, DNS, NTP 57 위협방지계층구축 59 테스트보안 62 측정치및개선관리 63 DoS 및 DDoS 공격완화및방지 64 보안모니터링, 알림, 감사추적및사고대응관리 67 변경관리로그사용 70 중요트랜잭션로그관리 70 로그정보보호 71 로깅결함 72 결론 72 기고자 72 참조및추가자료 73

6 요약 본백서는 Amazon Web Services(AWS) 에서실행하는애플리케이션의보안인프라및구성을설계하는기존고객과잠재고객을대상으로합니다. 본백서는 AWS 클라우드에있는데이터및자산을보호할수있도록 ISMS( 정보보안관리시스템 ) 를정의하고조직의보안정책및프로세스세트를구축하는데도움이되는보안모범사례를제공합니다. 또한 AWS의자산을확인, 분류및보호하고계정, 사용자및그룹을사용한 AWS 리소스에대한액세스관리및클라우드에서데이터, 운영체제, 애플리케이션및전반적인인프라를보안조치할수있는방법을제시하는등다양한보안주제의개요를제공합니다. 백서는 IT 의사결정자와보안직원을대상으로하며네트워킹, 운영체제, 데이터 암호화및운영제어분야의기본적인보안개념을숙지하고있다고가정합니다. 개요 정보보안은 Amazon Web Services(AWS) 고객에게가장중요한것입니다. 보안은우발적또는의도적인도난, 유출, 무결성손상, 삭제로부터미션크리티컬정보를보호하는핵심적기능요구사항입니다. AWS 공동책임모델에따라, AWS는글로벌보안인프라및기반컴퓨팅, 스토리지, 네트워킹및데이터베이스서비스와더높은수준의서비스를제공합니다. AWS는 AWS 고객의자산보호에사용할수있는다양한보안서비스와기능을제공합니다. AWS 고객은클라우드에있는데이터의기밀성, 무결성, 가용성을보호하고정보보호에대한구체적인비즈니스요구사항을준수할책임이있습니다. AWS의보안기능에대한자세한내용은보안프로세스개요백서를참조하십시오. 본백서는 AWS에있는조직의자산에대한정보보안정책및프로세스의모음인 ISMS( 정보보안관리시스템 ) 를구축및정의하는데활용할수있는모범사례를설명합니다. ISMS에대한자세한내용은 htm의 ISO 27001을참조하십시오. AWS 사용에있어 ISMS 구축이필수는아니지만, 널리채택된글로벌보안접근방식의기본빌딩블록을바탕으로한정보보안관리를위한정형화된접근방식을통해조직의전반적인보안태세를개선할수있다고생각합니다. 1/74 페이지

7 백서는다음주제를다룹니다. AWS와고객이보안책임을분담하는방법고객의자산을정의하고분류하는방법권한을가진계정과그룹을사용하여데이터에대한사용자액세스를관리하는방법고객의데이터, 운영체제및네트워크보안유지를위한모범사례모니터링과알림을통해보안목표를달성하는방법 본백서는이러한분야의보안모범사례를높은수준에서설명합니다. ( 백서는 " 방법론 " 적인구성지침을제공하지않습니다. 구성지침은 의 AWS 문서를참조하십시오.) AWS 공동책임모델알기 Amazon Web Services(AWS) 는클라우드에서보안글로벌인프라와서비스를제공합니다. AWS를기반으로시스템을구축하고 AWS 기능을활용하는 ISMS를설계할수있습니다. AWS 에서 ISMS 를설계하려면먼저 AWS 와고객이보안목표를위해 협력하는 AWS 공동책임모델을숙지해야합니다. AWS는보안인프라와서비스를제공하고고객은보안운영체제, 플랫폼, 데이터를책임집니다. 보안글로벌인프라를위해 AWS는인프라구성요소를구성하고사용자및사용자권한을 AWS 서비스하위세트로관리하는 Identity and Access Management(IAM) 서비스등보안강화에사용할수있는서비스와기능을제공합니다. 보안서비스를위해 AWS는제공하는다양한유형의서비스별공동책임모델을제공합니다. 2/74 페이지

8 인프라서비스 컨테이너서비스 추상화된서비스 예를들어 Amazon Elastic Compute Cloud(Amazon EC2) 와같은인프라서비스의공동책임모델은 AWS가다음자산의보안을관리한다고명시합니다. 시설 하드웨어의물리적보안 네트워크인프라 가상화인프라 ISMS 자산정의에따라 AWS 를이러한자산의소유자로간주하십시오. 이러한 AWS 제어를활용하고 ISMS 에포함시키십시오. 예로든 Amazon EC2 에서고객은다음자산의보안을책임집니다. Amazon 머신이미지 (AMI) 운영체제애플리케이션전송중인데이터저장된데이터데이터스토어자격증명정책및구성 특정서비스는고객과 AWS 가책임을분담하는방법을더자세히규정합니다. 자세한내용은 를 참조하십시오. 3/74 페이지

9 AWS 보안글로벌인프라이해 AWS가관리하는 AWS 보안글로벌인프라와서비스는엔터프라이즈시스템과개별애플리케이션을위해신뢰할수있는기반을제공합니다. AWS는클라우드내정보보안에대한높은표준을설정하고소프트웨어획득및개발을통한물리적보안부터직원수명주기관리및보안조직까지종합적이고전체적인제어목표집합을보유하고있습니다. AWS 보안글로벌인프라및서비스는정기적으로타사규정준수감사를받아야합니다. 자세한내용은 Amazon Web Services 위험및규정준수백서를참조하십시오. ( 참조자료참조 ) IAM 서비스사용 IAM 서비스는본백서에서설명하는 AWS 보안글로벌인프라의한구성요소입니다. IAM으로사용자가어떤 AWS 서비스와리소스에액세스할수있는지를제어하는암호, 액세스키및사용권한정책과같은보안자격증명을한곳에서관리할수있습니다. AWS에가입할때만든 AWS 계정에는사용자이름 ( 이메일주소 ) 과암호가있어야합니다. 사용자이름과암호로 AWS Management Console에로그인해브라우저기반인터페이스를사용하여 AWS 리소스를관리할수있습니다. 또한액세스키 ( 액세스키 ID와보안액세스키로구성 ) 를만들어명령줄인터페이스 (CLI), AWS SDK 또는 API 호출로 AWS 프로그래밍호출을할때사용할수있습니다. IAM을사용하여 AWS 계정내에개별사용자를만들고각사용자에게사용자이름, 암호, 액세스키를부여할수있습니다. 개별사용자는계정별 URL을사용하여콘솔에로그인할수있습니다. 또한사용자별액세스키를만들어 AWS 리소스에액세스할수있도록프로그래밍호출을할수있습니다. 고객의 IAM 사용자가수행한활동에대한모든요금은고객의 AWS 계정으로청구됩니다. 자신이사용할 IAM 사용자도만들어두고일상적인 AWS 액세스에 AWS 계정자격증명을사용하지않는것이가장좋습니다. 자세한내용은 IAM 모범사례를참조하십시오. 리전, 가용영역및엔드포인트 AWS 보안글로벌인프라의구성요소인리전, 가용영역및엔드포인트에대해서도숙지해야합니다. 4/74 페이지

10 AWS 리전을사용하면네트워크지연시간과규제준수를관리할수있습니다. 데이터를특정리전에저장하면해당리전밖으로복제되지않습니다. 회사에서필요한경우리전간에데이터를복제하는일은고객의책임입니다. 즉, 다음과같습니다. AWS는국가에대한정보를제공하고필요한경우각리전이포함된주에대한정보를제공합니다. 고객은자체규정준수및네트워크지연시간요구사항에따라데이터를저장할리전을선택할책임이있습니다. 리전은가용성을염두에두고설계되며최소 2개이상의가용영역으로구성됩니다. 가용영역은결함격리를위해설계되었습니다. 여러인터넷서비스제공업체 (ISP) 와다양한전력망에연결되어있습니다. 고속링크를사용해상호연결되어있기때문에애플리케이션은 LAN(Local Area Network) 연결을사용하여같은리전내에있는가용영역간통신이가능합니다. 고객은시스템이상주할가용영역을신중하게선택할책임이있습니다. 시스템은여러가용영역을아우를수있습니다. 시스템을설계할때재해발생시가용영역의임시적또는장기적인장애에도유지될수있도록설계하는것이좋습니다. AWS는 AWS Management Console을통해서비스에대한웹액세스를제공하며, 이후에는각서비스를위한개별콘솔을통해제공합니다. AWS는애플리케이션프로그래밍인터페이스 (API) 와명령줄인터페이스 (CLI) 를통해서비스에대한프로그래밍액세스를제공합니다. AWS가관리하는서비스엔드포인트는관리 (" 백플레인 ") 액세스를제공합니다. AWS 서비스에대한보안공동책임 AWS는다양한인프라와플랫폼서비스를제공합니다. 이러한 AWS 서비스의보안및공동책임을이해할수있도록서비스를세가지주요카테고리 ( 인프라, 컨테이너, 추상화된서비스 ) 로분류합니다. 각카테고리에는상호작용과기능액세스방법에따라조금씩다른보안소유권모델이있습니다. 인프라서비스 : 이카테고리에는 Amazon EC2 등의컴퓨팅서비스, Amazon Elastic Block Store(Amazon EBS), Auto Scaling, Amazon Virtual Private Cloud(Amazon VPC) 등의관련서비스가포함됩니다. 이러한 서비스를사용하면온프레미스솔루션과비슷하거나대부분호환되는 기술을통해클라우드인프라를설계및구축할수있습니다. 운영체제를 제어할수있고가상화스택의사용자계층에대한액세스를제공하는모든 자격증명관리시스템을구성및운영할수있습니다. 5/74 페이지

11 컨테이너서비스 : 이카테고리의서비스는일반적으로별도의 Amazon EC2 나다른인프라인스턴스에서실행되지만운영체제나플랫폼계층을 관리하지않는경우도있습니다. AWS 는이러한애플리케이션 " 컨테이너 " 에 관리형서비스를제공합니다. 고객은방화벽규칙등의네트워크컨트롤을설정 및관리하고플랫폼수준의자격증명및액세스관리를 IAM 과는별도로관리할 책임이있습니다. 컨테이너서비스의예로는 Amazon Relational Database Services(Amazon RDS), Amazon Elastic Map Reduce(Amazon EMR), AWS Elastic Beanstalk 이있습니다. 추상화된서비스 : 이카테고리에는 Amazon Simple Storage Service(Amazon S3), Amazon Glacier, Amazon DynamoDB, Amazon Simple Queuing Service(Amazon SQS), Amazon Simple Service(Amazon SES) 등의상위수준스토리지, 데이터베이스, 메시징 서비스가포함됩니다. 이러한서비스는클라우드애플리케이션을구축하고 운영할수있는플랫폼이나관리계층을추상화합니다. 고객은 AWS API 를 사용하여추상화된서비스의엔드포인트에액세스하고, AWS 는기본 서비스구성요소나이러한요소들이상주하는운영체제를관리합니다. 고객은기본인프라를공유하고, 추상화된서비스는고객의데이터를 안전하게격리하고 IAM 과의강력한통합을제공하는다중테넌트 플랫폼을제공합니다. 각서비스유형에대한공동책임을조금더자세히살펴보겠습니다. 인프라서비스의공동책임모델 Amazon EC2, Amazon EBS, Amazon VPC와같은인프라서비스는 AWS 글로벌인프라를기반으로실행됩니다. 이러한서비스는가용성과내구성목표면에서다양하지만항상시작되었던특정리전내에서작동합니다. 여러가용영역에서복원력이뛰어난구성요소를활용하여 AWS의개별서비스의목표를초과하는가용성목표를충족하는시스템을구축할수있습니다. 그림 1 은인프라서비스공동책임모델의빌딩블록을보여줍니다. 6/74 페이지

12 그림 1: 인프라서비스의공동책임모델 AWS 보안글로벌인프라를바탕으로자체데이터센터에서온프레미스로하는것과같은방식으로 AWS 클라우드에서운영체제와플랫폼을설치및구성합니다. 그런다음플랫폼에애플리케이션을설치합니다. 궁극적으로는고객의데이터가자체애플리케이션에상주하고자체애플리케이션을통해관리됩니다. 고객의비즈니스또는규정준수요구가매우엄격한경우가아니라면, AWS 보안글로벌인프라가제공하는것이상으로보호계층을추가할필요가없습니다. 특정규정준수요구사항이있는경우고객은 AWS 서비스와고객의애플리케이션및데이터가상주하는자체운영체제및플랫폼간에추가보호계층을요구할수있습니다. 유휴데이터의보호와전송중인데이터의보호등추가제어를도입하거나 AWS 서비스와자체플랫폼간의불투명계층을추가할수있습니다. 불투명계층에는데이터암호화, 데이터무결성인증, 소프트웨어및데이터서명, 보안타임스탬프등이포함됩니다. AWS는유휴데이터와전송중인데이터를보호하기위해구현할수있는기술을제공합니다. 자세한내용은본백서의 Amazon EC2 인스턴스에대한 OS 수준의액세스관리와데이터보안유지섹션을참조하십시오. 또는자체데이터보호도구를추가하거나 AWS 파트너상품을활용할수있습니다. 이전섹션에서는 AWS 서비스인증이필요한리소스액세스를관리할수있는방법들을설명했습니다. 하지만 EC2 인스턴스에서운영체제에액세스하려면다른자격증명세트가필요합니다. 공동책임모델에서는고객이운영체제자격증명을소유하지만 AWS가운영체제에대한초기액세스의부트스트랩을지원합니다. 7/74 페이지

13 표준 AMI에서새 Amazon EC2 인스턴스를시작하면 Secure Shell(SSH) 또는 Windows Remote Desktop Protocol(RDP) 등의보안원격시스템액세스프로토콜을사용하여해당인스턴스에액세스할수있습니다. 운영체제수준에서성공적으로인증을해야자체요구사항에따라 Amazon EC2 인스턴스에액세스하고이를구성할수있습니다. Amazon EC2 인스턴스를인증하고원격으로액세스할수있으면원하는운영체제인증메커니즘을설정할수있고, 여기에는 X.509 인증서인증, Microsoft Active Directory 또는로컬운영체제계정등이있습니다. AWS는 EC2 인스턴스인증을활성화할수있도록 Amazon EC2 키페어라고하는비대칭키페어를제공합니다. 업계표준 RSA 키페어입니다. 각사용자는여러개의 Amazon EC2 키페어가있을수있지만서로다른키페어를사용하여새인스턴스를시작할수있습니다. EC2 키페어는앞에서설명한 AWS 계정이나 IAM 사용자자격증명과는관계가없습니다. 이러한자격증명은다른 AWS 서비스에대한액세스를제어합니다. EC2 키페어는특정인스턴스에대한액세스만제어합니다. OpenSSL과같은업계표준도구를사용하여자체 Amazon EC2 키페어를생성할수있습니다. 안전하고신뢰할수있는환경에서키페어를생성하고키페어의퍼블릭키만 AWS에가져옵니다. 프라이빗키를안전하게저장합니다. 이경로를선택하는경우품질이높은난수생성기를사용하는것이좋습니다. AWS로 Amazon EC2 키페어를생성할수있습니다. 이경우인스턴스를처음만들었을때 RSA 키페어의프라이빗및퍼블릭키모두고객에게제공됩니다. Amazon EC2 키페어의프라이빗키를다운로드해안전하게저장해야합니다. AWS는프라이빗키를저장하지않습니다. 잃어버린경우새키페어를생성해야합니다. cloud-init 서비스를사용하는 Amazon EC2 Linux 인스턴스의경우표준 AWS AMI로부터새인스턴스가시작되면 Amazon EC2 키페어의퍼블릭키는초기운영체제사용자의 ~/.ssh/authorized_keys 파일에추가됩니다. 그러면사용자는 SSH 클라이언트를사용하여 Amazon EC2 Linux 인스턴스에연결할수있습니다. 그방법은올바른 Amazon EC2 인스턴스사용자의이름을 ID( 예 : ec2- user) 로사용하도록클라이언트를구성하고사용자인증에프라이빗키파일을제공하는것입니다. 8/74 페이지

14 ec2config 서비스를사용한 Amazon EC2 Windows 인스턴스의경우표준 AWS AMI로부터새인스턴스가시작되면 ec2config 서비스가인스턴스에대한새로운무작위관리자암호를설정하고해당 Amazon EC2 키페어의퍼블릭키를사용하여암호화합니다. 사용자는 AWS Management Console 또는명령줄도구를사용하거나암호를해독할해당 Amazon EC2 프라이빗키를제공하여 Windows 인스턴스암호를받을수있습니다. 이암호는 Amazon EC2 인스턴스의기본관리계정과함께 Windows 인스턴스인증에사용할수있습니다. AWS는 Amazon EC2 키를관리하고새로시작된 Amazon EC2 인스턴스의업계표준인증을제공하기위한유연하고실용적인도구집합을제공합니다. 보안요구사항이엄격한경우 LDAP나 Active Directory 인증등대체인증메커니즘을구현하고 Amazon EC2 키페어인증을비활성화할수있습니다. 컨테이너서비스의공동책임모델 AWS 공동책임모델은 Amazon RDS와 Amazon EMR 등컨테이너서비스에도적용됩니다. 이러한서비스에대해 AWS는기본인프라와기초서비스, 운영체제와애플리케이션플랫폼을관리합니다. 예를들어 Oracle용 Amazon RDS는 AWS가 Oracle 데이터베이스플랫폼등을포함한컨테이너의모든계층을관리하는관리형데이터베이스서비스입니다. Amazon RDS와같은서비스의경우 AWS 플랫폼은데이터백업및복원도구를제공합니다. 하지만비즈니스연속성및재해복구 (BC/DR) 정책과관련된도구를구성하고사용할책임은고객에게있습니다. AWS 컨테이너서비스의경우컨테이너서비스액세스를위한데이터와방화벽규칙에대한책임은고객에게있습니다. 예를들어 Amazon RDS는 RDS 보안그룹을제공하고, Amazon EMR을사용하면 Amazon EMR 인스턴스에대한 Amazon EC2 보안그룹을통해방화벽규칙을관리할수있습니다. 그림 2 는컨테이너서비스의공동책임모델을보여줍니다. 9/74 페이지

15 그림 2: 컨테이너서비스의공동책임모델 추상화된서비스의공동책임모델 Amazon S3 및 Amazon DynamoDB와같은추상화된서비스의경우 AWS는인프라계층, 운영체제, 플랫폼을작동하고엔드포인트에액세스하여데이터를저장및검색합니다. Amazon S3와 DynamoDB는 IAM과긴밀하게통합됩니다. 데이터를관리 ( 자산분류등 ) 하고 IAM 도구를사용하여플랫폼수준에서개별리소스에 ACL 유형의권한을적용하거나 IAM 사용자 / 그룹수준에서사용자 ID 또는사용자책임에따라권한을적용할책임은고객에게있습니다. Amazon S3와같은일부서비스의경우서비스로또는서비스에서전송중인데이터보호를위해유휴데이터의플랫폼제공암호화또는페이로드에대한플랫폼수준의 HTTPS 캡슐화를사용할수도있습니다. 10/74 페이지

16 그림 3 은 AWS 의추상화된서비스의공동책임모델을개략적으로보여줍니다. 그림 3: 추상화된서비스의공동책임모델 Trusted Advisor 도구사용 일부 AWS Premium Support 계획에는 Trusted Advisor 도구액세스가포함되는데, 이액세스는서비스를한눈에볼수있는스냅샷을제공하고일반적인보안구성오류를확인하는데도움이되며시스템성능개선과활용되지않는리소스에대한제안을제공합니다. 이백서에서는 Amazon EC2에제공되는 Trusted Advisor의보안분야를다룹니다. Trusted Advisor 는다음보안권장사항의규정준수여부를확인합니다. 일반적인관리포트에대한액세스가작은하위집합의주소로제한. 여기에는포트 22(SSH), 23(Telnet) 3389(RDP), 5500(VNC) 이포함됩니다. 일반적인데이터베이스포트액세스제한. 여기에는포트 1433(MSSQL Server), 1434(MSSQL Monitor), 3306(MySQL), Oracle(1521), 5432(PostgreSQL) 가포함됩니다. IAM 은 AWS 리소스의보안액세스제어를보장하도록구성되어있습니다. 멀티팩터인증 (MFA) 토큰은루트 AWS 계정의 2 팩터인증을제공하도록설정되어있습니다. 11/74 페이지

17 배포, 대체, 유지보수, 손실비용 / 결과 Amazon Web Services AWS 보안모범사례 AWS 에서자산정의및분류 ISMS를설계하기전에보호해야하는모든정보자산을확인한다음기술적, 재정적으로실행가능한보호솔루션을고안합니다. 모든자산을재정적인기준으로정량화하기는어려울수있기때문에정성적인지표 ( 예 : 미미함 / 낮음 / 중간 / 높음 / 매우높음 ) 를사용하는것이더나은옵션일수있습니다. 자산은두가지범주로구분합니다. 비즈니스정보, 프로세스, 활동등필수적인요소 하드웨어, 소프트웨어, 인력, 사이트, 파트너조직등필수적인요소를 지원하는구성요소 표 1 은샘플자산표를나타냅니다. 자산이름 자산소유자 자산 카테고리 고객지향웹사이트 애플리케이션 종속성 전자상거래팀필수 EC2, Elastic Load Balancing, RDS, 개발, 비용 고객신용카드 데이터 E-C 전자상거래팀필수 PCI 카드소유자환경, 암호화, AWS PCI 서비스 인력데이터 COO 필수 Amazon RDS, 암호화 공급자, 개발운영 IT, 타사 데이터아카이브 COO 필수 S3, Glacier, 개발운영 IT HR 관리시스템 HR 필수 EC2, S3, RDS, 개발운영 IT, 타사 AWS Direct Connect 인프라 비즈니스인텔리전스 인프라 비즈니스인텔리전스 서비스 CIO 네트워크 네트워크운영, TelCo 공급자, AWS Direct Connect BI 팀 소프트웨어 EMR, Redshift, Dynamo DB, S3, 개발운영 COO 필수 BI 인프라, BI 분석팀 LDAP directory IT 보안팀보안 EC2, IAM, 사용자지정소프트웨어, 개발운영 12/74 페이지

18 자산이름 자산소유자 자산 카테고리 종속성 Windows AMI 서버팀소프트웨어 EC2, 패치관리 소프트웨어, 개발운영 비용 고객자격증명규정준수팀보안일상적인업데이트, 보관 인프라 표 1: 샘플자산표 AWS 에서자산을보호하기위한 ISMS 설계 자산, 카테고리, 비용을결정한후, AWS에서정보보안관리시스템 (ISMS) 를구현, 운영, 모니터링, 검토, 유지보수, 개선하기위한표준을설정합니다. 보안요구사항은조직마다다음과같은요인에따라차이가있습니다. 비즈니스요건과목표 사용하는프로세스 조직의크기와구조 이러한모든요소는시간이지나면서변하기때문에이모든정보를관리하는 주기적프로세스를구축하는것이좋습니다. 13/74 페이지

19 표 2 는 AWS 에서 ISMS 를설계및구축시단계별접근방식을제안합니다. 또한 ISO 과같은표준프레임워크가 ISMS 설계와구현에도움이될수있습니다. 단계 제목 설명 1 범위와경계정의. " 범위내에있는 " 리전, 가용영역, 인스턴스, AWS 리소스를정의합니다. 구성요소를제외하는경우 ( 예 : AWS는시설을관리하기때문에자체관리시스템에서제외할수있음 ) 제외한것과제외한이유를명시적으로진술합니다. 2 ISMS 정책정의. 다음을포함합니다. 정보보안에대한작업방향과원칙을설정하는목표법률, 계약및규제요구사항조직의위험관리목표위험측정방법경영진의계획승인방식 3 위험평가방법을 선택합니다. 조직의그룹으로부터다음요인에대해받은의견에따라위험평가방법을선택합니다. 비즈니스요건 정보보안요구사항 정보기술기능및사용 법적요구사항 규제책임퍼블릭클라우드인프라는레거시환경과는다르게작동하기때문에위험을수락하고허용가능한위험수준 ( 내결함성 ) 을식별하기위한기준을설정해야합니다. 위험평가를시작하고자동화를최대한활용하는것이좋습니다. AWS 위험자동화를통해위험평가에필요한리소스의범위를좁힐수 있습니다. 위험평가방법은 OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation), ISO 31000:2009 Risk Management, ENISA(European Network and Information Security Agency), IRAM(Information Risk Analysis Methodology), NIST(National Institute of Standards & Technology) Special Publication(SP) rev.1 Risk Management Guide 등여러가지가있습니다. 4 위험요소를식별합니다 모든자산을위협에매핑하여위험레지스터를만든다음취약성평가와충격분석결과에따라각 AWS 환경에대해새로운위험표를만드는것이좋습니다. 다음 은위험레지스터의예입니다. 자산 자산에대한위협 위협으로부터침입당할수있는취약성 침입당할경우취약성에미치는결과 14/74 페이지

20 단계제목설명 5 위험을분석및 평가합니다. 6 위험을해결합니다. 7 보안제어 프레임워크를 선택합니다. 8 경영진승인을 받습니다. 비즈니스영향, 가능성과확률, 위험수준을계산하여위험을분석하고 평가합니다. 위험처리를위한옵션을선택합니다. 옵션에는보안컨트롤적용, 위험수락, 위험회피또는위험전가가포함됩니다. 보안제어를선택할때 ISO 27002, NIST SP , COBIT(Control Objectives for Information and related Technology), CSA-CCM(Cloud Security Alliance-Cloud Control Matrix) 과같은프레임워크를사용합니다. 이러한프레임워크는다시사용할수있는모범사례의집합으로구성되고 관련제어를선택하는데도움이됩니다. 모든제어를구현한후에도잔존위험이있습니다. 모든잔존위험을 인정하는기업경영진으로부터승인을받고 ISMS 구현과운영승인을 받는것이좋습니다. 9 적용가능성선언다음정보가포함된적용가능성선언을작성합니다. 선택한제어와선택한이유실시중인제어실시하고자하는제어제외한제어및제외한이유 표 2: ISMS 구축단계 AWS 계정, IAM 사용자, 그룹및역할관리 사용자가필요한리소스에액세스할수있지만그것을초과하지않는적절한수준의권한을가지고있는것은모든 ISMS의중요한부분입니다. IAM을사용하여이기능을수행할수있습니다. 고객은자신의 AWS 계정에서 IAM 사용자를만들고직접권한을할당하거나권한을할당하는그룹에할당합니다. AWS 계정과 IAM 사용자에대한자세한내용은다음과같습니다. AWS 계정. 이것은 AWS에처음가입할때만드는계정입니다. AWS 계정은고객과 AWS 사이의비즈니스관계를나타냅니다. 고객은 AWS 계정을사용하여 AWS 리소스와서비스를관리합니다. AWS 계정은모든 AWS 리소스와서비스에대한루트권한이있기때문에매우강력합니다. AWS와일상적인상호작용을할때루트계정자격증명을사용하지마십시오. 조직에서여러개의 AWS 계정을각주요부서에서하나씩사용하고적절한인력과리소스에대해각 AWS 계정내에 IAM 사용자를만드는경우도있습니다. 15/74 페이지

21 IAM 사용자. IAM으로개별적인보안자격증명을보유한여러사용자를만들어모두단일 AWS 계정에따라제어할수있습니다. IAM 사용자는관리콘솔, CLI를통해또는 API를통해직접 AWS 리소스에액세스해야하는개인, 서비스또는애플리케이션이될수있습니다. AWS 계정에서서비스와리소스에액세스해야하는각개인별로 IAM 사용자를만드는것이좋습니다. AWS 계정에서리소스에대한세부적인권한을만들어자신이만든그룹에적용한다음그룹에사용자를할당할수있습니다. 이모범사례를통해사용자는작업을수행하는데필요한최소권한을가질수있습니다. 여러 AWS 계정을사용하기위한전략 보안을극대화하고비즈니스및거버넌스요구사항을따르기위한 AWS 계정전략을설계합니다. 표 3에는가능한전략들이설명되어있습니다. 비즈니스요구사항제안된설계의견 중앙집중식보안관리프로덕션, 개발및테스트환경의분리여러개의자율부서여러개의자율독립프로젝트가포함된중앙집중식보안관리 단일 AWS 계정 3개의 AWS 계정여러개의 AWS 계정여러개의 AWS 계정 정보보안관리를중앙집중화하고오버헤드를최소화합니다. 프로덕션서비스, 개발, 테스트에각각의 AWS 계정을만듭니다. 조직의각자율부분에대해별도의 AWS 계정을만듭니다. 각계정에권한과정책을할당할수있습니다. 일반적인프로젝트리소스 ( 예 : DNS 서비스, Active Directory, CMS 등 ) 에대해단일 AWS 계정을만든다음프로젝트당별도의 AWS 계정을만듭니다. 각프로젝트계정에서권한과정책을할당하고여러계정에서리소스액세스를허용할수있습니다. 표 3: AWS 계정전략 여러계정에서통합결제관계를구성하여각계정별로청구서를관리하는복잡한 문제를해결하고규모의경제를활용할수있습니다. 결제통합을사용할때여러 계정이리소스와자격증명을공유하지않습니다. 16/74 페이지

22 IAM 사용자관리 적절한수준의권한을가진 IAM 사용자는새로운 IAM 사용자를만들거나기존사용자를관리및삭제할수있습니다. 높은권한을가진이 IAM 사용자는조직내에있는 AWS 구성을관리하거나 AWS 리소스를직접평가하는개인, 서비스또는애플리케이션별로고유 IAM 사용자를만들수있습니다. 여러개체가동일하게공유된사용자자격증명을사용하는것은가급적피해야합니다. IAM 그룹관리 IAM 그룹은하나의 AWS 계정에있는 IAM 사용자의모음입니다. 기능, 조직또는지역별로또는프로젝트별로또는 IAM 사용자들이작업을수행하기위해비슷한 AWS 리소스에액세스해야하는경우에는다른기준으로 IAM 그룹을만들수있습니다. 하나이상의 IAM 정책을할당하여각 IAM 그룹에 AWS 리소스에액세스할권한을제공할수있습니다. IAM 그룹에할당된모든정책은그룹의구성원인 IAM 사용자가상속합니다. 예를들어 IAM 사용자인 John이조직내에서백업을담당하고있는데 Archives라고하는 Amazon S3 버킷의객체를액세스해야한다고가정합니다. John에게 Archives 버킷에액세스할수있도록직접권한을부여할수있습니다. 그런데조직이 Sally와 Betty를 John과같은팀에배치합니다. John, Sally, Betty에게개별적으로사용자권한을할당하여 Archives 버킷에대한액세스권한을부여할수있지만그룹에권한을할당하고그그룹에 John, Sally, Betty를배치하면유지및관리가더쉬워집니다. 추가사용자에게동일한액세스권한이필요하면그룹에이들을추가하여권한을부여할수있습니다. 어떤사용자가어떤리소스에대한액세스권한이더이상필요하지않을경우해당리소스에대한액세스권한을부여하는그룹에서제거할수있습니다. IAM 그룹은 AWS 리소스에대한액세스권한을관리하는강력한도구입니다. 특정리소스에대한액세스권한이필요한사용자가한명이더라도해당액세스권한에대한새 AWS 그룹을식별하거나만들고그룹멤버십을통해사용자액세스권한과그룹수준에서할당된권한및정책을프로비저닝하는것이좋습니다. 17/74 페이지

23 AWS 자격증명관리 각 AWS 계정또는 IAM 사용자는고유 ID이며, 고유의장기자격증명을갖습니다. 이러한 ID와연결된자격증명에는두가지주요유형, 즉 (1) AWS Management Console 및 AWS 포털페이지에로그인하는데사용되는자격증명, (2) AWS API에대한프로그래밍방식의액세스에사용되는자격증명이있습니다. 표 4 는두가지유형의로그인자격증명을설명합니다. 로그인자격증명유형 사용자이름 / 암호 멀티팩터인증 (MFA) 세부정보 AWS 계정의사용자이름은항상이메일주소입니다. IAM 사용자이름을사용하면유연성이높아집니다. AWS 계정암호는어느것으로나정의할수있습니다. IAM 사용자암호는고객이정의하는정책을강제로준수할수있습니다 ( 예를들어최소암호길이또는영숫자문자사용을요구할수있음 ). AWS 멀티팩터인증 (MFA) 은로그인자격증명에적용할수있는보안수준을높입니다. MFA를활성화하면사용자가웹사이트에로그인할때사용자이름과암호 ( 첫번째요소 고객이알고있는것 ) 뿐만아니라 AWS MFA 디바이스의인증코드 ( 두번째요소 고객이갖고있는것 ) 를입력하라는메시지가표시됩니다. 사용자가 S3 객체를삭제할때 MFA를요구할수도있습니다. AWS 환경에대한무단액세스를방지하기위해 AWS 계정과 IAM 사용자에대해 MFA를활성화하는것이좋습니다. 현재 AWS는 Gemalto 하드웨어 MFA 디바이스와가상 MFA 디바이스를스마트폰애플리케이션의형태로지원합니다. 표 4: 로그인자격증명 18/74 페이지

24 표 5 는 API 에대한프로그래밍방식의액세스에사용되는자격증명의유형들을설명합니다. 액세스자격증명유형 액세스키 API 호출용 MFA 세부정보액세스키는 AWS 서비스에대한 API 호출의디지털서명에사용됩니다. 각액세스키자격증명은액세스키 ID와비밀키로구성됩니다. 비밀키부분은 AWS 계정소유자또는할당된 IAM 사용자가보안을유지해야합니다. 사용자는한번에두세트의활성액세스키를가질수있습니다. 사용자는정기적으로액세스키를교체하는것이좋습니다. 멀티팩터인증 (MFA) 을통해보호되는 API 액세스권한을사용하려면 IAM 사용자가유효한 MFA 코드를입력한특정기능인 API를사용해야합니다. API의 MFA 필요여부는 IAM에서만드는정책에따라결정됩니다. AWS Management Console이 AWS 서비스 API를호출하기때문에액세스를콘솔을통해하든 API를통해하든 API에 MFA를적용할수있습니다. 표 5: 프로그래밍방식의액세스자격증명 IAM 역할및임시보안자격증명을사용하는권한위임이해 일반적으로 AWS 리소스에액세스할수없는사용자또는서비스에액세스권한을위임하는시나리오가있습니다. 아래표 6은그러한액세스권한위임을위한일반사용사례를개략적으로설명합니다. 사용사례 AWS 리소스에액세스해야하는 Amazon EC2 인스턴스에서실행하는애플리케이션교차계정액세스 설명 Amazon EC2 인스턴스에서실행하고 Amazon S3 버킷또는 Amazon DynamoDB 표등의 AWS 리소스에대한액세스권한이필요한애플리케이션은보안자격증명이있어야 AWS에프로그래밍방식의요청이가능합니다. 개발자는각인스턴스에자격증명을배포할수있고이후그자격증명을사용하여리소스에액세스할수있지만, 각인스턴스에장기자격증명을배포하는것은관리가어렵고잠재적인보안위험이될수있습니다. 리소스에대한액세스권한을관리하려면, 프로덕션환경에서개발환경을격리하는목적등을위해여러개의 AWS 계정을보유할수있습니다. 하지만개발환경에서프로덕션환경으로의업데이트를승격하는경우처럼한계정의사용자들이다른계정의리소스에액세스해야하는경우가있습니다. 두계정을모두사용하는사용자들이각계정에별도의 ID를보유할수있지만, 여러계정에대한자격증명을관리할경우 ID를관리하기가어렵습니다. 19/74 페이지

25 사용사례 자격증명연동 설명사용자는이미기업디렉토리등 AWS 외부에 ID를보유할수있습니다. 하지만그사용자들이 AWS 리소스로작업하거나리소스에액세스하는애플리케이션으로작업해야하는경우가있습니다. 그런경우, 사용자는 AWS에요청을하기위해 AWS 보안자격증명이필요합니다. 표 6: 일반적인권한위임사용사례 IAM 역할과임시보안자격증명이이러한사용사례를처리합니다. IAM 역할을통해사용자또는서비스에필요한리소스에액세스할수있는권한집합을정의할수있지만, 해당권한이특정 IAM 사용자또는그룹에연결되지는않습니다. 대신 IAM 사용자, 모바일및 EC2 기반애플리케이션또는 AWS 서비스 (Amazon EC2 등 ) 는프로그래밍방식으로역할을부여할수있습니다. 역할을부여하면사용자또는애플리케이션에서 AWS에대한프로그래밍요청을작성하는데사용할수있는임시보안자격증명이반환됩니다. 이러한임시보안자격증명은만료를구성할수있고자동으로교체됩니다. IAM 역할과임시보안자격증명을사용하면리소스에대한액세스권한이필요한각개체에서장기자격증명과 IAM 사용자를사용하지않아도됩니다. Amazon EC2의 IAM 역할 Amazon EC2의 IAM 역할은표 6의첫사용사례를처리하는 IAM 역할을구체적으로구현한것입니다. 다음그림에서는개발자가 photos라는이름의 Amazon S3 버킷에대한액세스권한이필요한 Amazon EC2 인스턴스에서애플리케이션을실행하고있습니다. 관리자가 Get-pics 역할을만듭니다. 이역할에는버킷에대한읽기권한을부여하고개발자가 Amazon EC2 인스턴스로역할을시작할수있는정책이포함됩니다. 애플리케이션이인스턴스에서실행되면역할의임시자격증명을사용하여 photos 버킷에액세스할수있습니다. 관리자는개발자권한을부여하지않아도 photos 버킷에액세스할수있고개발자는자격증명을전혀공유할필요가없습니다. 20/74 페이지

26 그림 4: EC2 역할의작동방법 1. 관리자는 IAM 을사용하여 Get-pics 역할을만듭니다. 이역할에서 관리자는 Amazon EC2 인스턴스만역할을부여할수있는것으로 규정하고 photos 버킷에대한읽기권한만을지정하는정책을사용합니다. 2. 개발자는 Amazon EC2 인스턴스를시작하고그인스턴스에 Getpics 역할을연결합니다. 3. 애플리케이션을실행하면 Amazon EC2 인스턴스의인스턴스 메타데이터에서자격증명을검색합니다. 4. 애플리케이션은역할자격증명을사용하여읽기전용권한으로 photo 버킷에액세스합니다. 교차계정액세스 IAM 역할을이용해다른 AWS 계정의 IAM 사용자들이 AWS 계정내에있는리소스에액세스할수있게함으로써표 6의두번째사용사례를처리할수있습니다. 이프로세스가교차계정액세스입니다. 교차계정액세스를사용하면다른 AWS 계정의사용자와자신의리소스액세스권한을공유할수있습니다. 교차계정액세스를설정하려면신뢰하는계정 ( 계정 A) 에서특정리소스에대한액세스권한을신뢰할수있는계정 ( 계정 B) 에부여하는 IAM 정책을만듭니다. 그러면계정 B는 IAM 사용자들에게이액세스권한을위임할수있습니다. 계정 B는계정 A가부여한권한보다많은액세스권한을 IAM 사용자에게위임할수없습니다. 21/74 페이지

27 자격증명연동 IAM 역할을이용해기업사용자와 AWS 리소스사이에위치하는자격증명브로커를만들어 AWS에서모든사용자를 IAM 사용자로다시만들지않고인증과권한부여프로세스를관리함으로써표 6의세번째사용사례를처리할수있습니다. 그림 5: 임시보안자격증명과의 AWS 자격증명연동 1. 엔터프라이즈사용자가자격증명브로커애플리케이션에액세스합니다. 2. 자격증명브로커애플리케이션이기업자격증명스토어에대해사용자를인증합니다. 3. 자격증명브로커애플리케이션에임시보안자격증명을만들수있도록 AWS Security Token Service(STS) 에액세스할수있는권한이있습니다. 4. 엔터프라이즈사용자는 AWS API 또는 Management Console에액세스할수있는임시 URL을받을수있습니다. AWS가 Microsoft Active Directory에사용할수있는샘플자격증명브로커애플리케이션을제공합니다. 22/74 페이지

28 Amazon EC2 인스턴스에대한 OS 수준액세스관리 이전섹션에서는 AWS 서비스인증이필요한리소스액세스를관리할수있는방법들을설명했습니다. 하지만 EC2 인스턴스에서운영체제에액세스하려면다른자격증명세트가필요합니다. 공동책임모델에서는고객이운영체제자격증명을소유하지만 AWS가운영체제에대한초기액세스의부트스트랩을지원합니다. 표준 AMI에서새 Amazon EC2 인스턴스를시작하면 Secure Shell(SSH) 또는 Windows Remote Desktop Protocol(RDP) 등의보안원격시스템액세스프로토콜을사용하여해당인스턴스에액세스할수있습니다. 운영체제수준에서성공적으로인증을해야자체요구사항에따라 Amazon EC2 인스턴스에액세스하고이를구성할수있습니다. Amazon EC2 인스턴스를인증하고원격으로액세스할수있으면원하는운영체제인증메커니즘을설정할수있고, 여기에는 X.509 인증서인증, Microsoft Active Directory 또는로컬운영체제계정등이있습니다. AWS는 EC2 인스턴스인증을활성화할수있도록 Amazon EC2 키페어라고하는비대칭키페어를제공합니다. 업계표준 RSA 키페어입니다. 각사용자는여러개의 Amazon EC2 키페어가있을수있지만서로다른키페어를사용하여새인스턴스를시작할수있습니다. EC2 키페어는앞에서설명한 AWS 계정이나 IAM 사용자자격증명과는관계가없습니다. 이러한자격증명은다른 AWS 서비스에대한액세스를제어합니다. EC2 키페어는특정인스턴스에대한액세스만제어합니다. OpenSSL과같은업계표준도구를사용하여자체 Amazon EC2 키페어를생성할수있습니다. 안전하고신뢰할수있는환경에서키페어를생성하고키페어의퍼블릭키만 AWS에가져옵니다. 프라이빗키를안전하게저장합니다. 이경로를선택하는경우품질이높은난수생성기를사용하는것이좋습니다. AWS로 Amazon EC2 키페어를생성할수있습니다. 이경우인스턴스를처음만들었을때 RSA 키페어의프라이빗및퍼블릭키모두고객에게제공됩니다. Amazon EC2 키페어의프라이빗키를다운로드해안전하게저장해야합니다. AWS는프라이빗키를저장하지않습니다. 잃어버린경우새키페어를생성해야합니다. 23/74 페이지

29 cloud-init 서비스를사용하는 Amazon EC2 Linux 인스턴스의경우표준 AWS AMI로부터새인스턴스가시작되면 Amazon EC2 키페어의퍼블릭키는초기운영체제사용자의 ~/.ssh/authorized_keys 파일에추가됩니다. 그러면사용자는 SSH 클라이언트를사용하여 Amazon EC2 Linux 인스턴스에연결할수있습니다. 그방법은올바른 Amazon EC2 인스턴스사용자의이름을 ID( 예 : ec2- user) 로사용하도록클라이언트를구성하고사용자인증에프라이빗키파일을제공하는것입니다. ec2config 서비스를사용한 Amazon EC2 Windows 인스턴스의경우표준 AWS AMI로부터새인스턴스가시작되면 ec2config 서비스가인스턴스에대한새로운무작위관리자암호를설정하고해당 Amazon EC2 키페어의퍼블릭키를사용하여암호화합니다. 사용자는 AWS Management Console 또는명령줄도구를사용하거나암호를해독할해당 Amazon EC2 프라이빗키를제공하여 Windows 인스턴스암호를받을수있습니다. 이암호는 Amazon EC2 인스턴스의기본관리계정과함께 Windows 인스턴스인증에사용할수있습니다. AWS는 Amazon EC2 키를관리하고새로시작된 Amazon EC2 인스턴스의업계표준인증을제공하기위한유연하고실용적인도구집합을제공합니다. 보안요구사항이엄격한경우 LDAP나 Active Directory 인증등대체인증메커니즘을구현하고 Amazon EC2 키페어인증을비활성화할수있습니다. 데이터보호 이섹션은 AWS 플랫폼에서의유휴데이터및전송중인데이터보호를설명합니다. 이미자산을식별및분류하고위험프로필에따라보호목표를설정했다고가정합니다. 리소스액세스권한부여 사용자또는 IAM 역할이인증되면권한이부여된리소스에액세스할수있습니다. 사용자가리소스를제어하도록할것인지또는개별사용자제어를무시할것인지에따라리소스정책또는기능정책을사용하여리소스권한을부여합니다. 24/74 페이지

30 리소스정책은사용자가리소스를만든다음다른사용자들에게리소스에대한액세스권한을부여하는경우에적합합니다. 이모델에서는정책이리소스에직접연결되고누가그리소스로어떤작업을할수있는지설명합니다. 사용자는리소스를제어합니다. IAM 사용자에게리소스에대한명시적액세스권한을부여할수있습니다. 루트 AWS 계정은항상리소스정책을관리할수있는액세스권한이있으며해당계정에서만든모든리소스의소유자입니다. 또는사용자에게리소스에대한권한을관리할수있는명시적인액세스권한을부여할수있습니다. 기능정책 (IAM 문서에서는 " 사용자기반권한 " 이라고함 ) 은흔히회사전체의액세스정책을적용하는데사용됩니다. 기능정책은 IAM 그룹을사용하여직접또는간접적으로 IAM 사용자에게할당됩니다. 런타임에부여할역할을할당할수도있습니다. 기능정책은사용자에게어떤기능 ( 작업 ) 이허용또는거부되는지정의합니다. 리소스기반정책권한을명시적으로거부하면무시됩니다. IAM 정책을사용하여액세스권한을특정소스 IP 주소범위로또는특정날짜및시간중에, 그리고그외의조건에따라제한할수있습니다. 리소스정책및기능정책은누적됩니다. 개별사용자의유효권한은리소스정책과직접또는그룹멤버십을통해부여된기능권한의조합입니다. 클라우드상의암호화키저장및관리 암호화를사용하는보안수단에는키가필요합니다. 클라우드에서는온프레미스 시스템과마찬가지로키의보안을유지하는것이필수적입니다. 기존프로세스를사용하여클라우드에서암호화키를관리하거나 AWS 키관리와 스토리지기능에서버측암호화를활용할수있습니다. 자체키관리프로세스를사용하기로결정하는경우다양한접근방식을사용하여키구성요소를저장및보호할수있습니다. HSM(Hardware Security Module) 등부정조작방지스토리지에키를저장하는것이좋습니다. Amazon Web Services는 AWS CloudHSM이라고하는클라우드상의 HSM 서비스를제공합니다. 또는온프레미스로키를저장하는 HSM을사용할수있고 IPSec를통해 Amazon VPC 또는 AWS Direct Connect와연결되는 IPSec 가상프라이빗네트워크 (VPN) 등보안링크를통해액세스할수있습니다. 25/74 페이지

31 온프레미스 HSM 또는 CloudHSM을사용하여인증및권한부여, 문서서명, 트랜잭션처리등을포함하여데이터베이스암호화, 디지털권한관리 (DRM), 퍼블릭키인프라 (PKI) 와같은다양한사용사례와애플리케이션을지원할수있습니다. CloudHSM은현재 SafeNet의 Luna SA HSM을사용합니다. Luna SA는미국정부보안표준 (FIPS) 140-2와공동표준 EAL4+ 표준에부합하도록제작되었으며다양한업계표준암호화알고리즘을지원합니다. CloudHSM 서비스에가입하면 CloudHSM 어플라이언스에대한단일테넌트액세스권한을받습니다. 각어플라이언스는 VPC에서리소스로표시됩니다. AWS가아닌사용자가 CloudHSM의암호화도메인을시작하고관리합니다. 암호화도메인은사용자키에대한액세스를제한하는논리적및물리적보안경계입니다. 오직사용자만자신의키와 CloudHSM에서수행되는작업을제어할수있습니다. Amazon 관리자는 CloudHSM 어플라이언스의상태를관리, 유지보수, 모니터링하지만암호화도메인에대한액세스권한이없습니다. 암호화도메인을초기화한후에는 EC2 인스턴스에서클라이언트를구성해애플리케이션이 CloudHSM에서제공하는 API 사용을허용할수있습니다. 사용자의애플리케이션은 PKCS#11, MS CAPI 및 Java JCA/JCE(Java Cryptography Architecture/Java Cryptography Extensions) 를포함하는 CloudHSM이지원하는 API를사용할수있습니다. CloudHSM 클라이언트는사용자애플리케이션에 API를제공하며수동으로인증된 SSL 연결을사용하여 CloudHSM 어플라이언스에연결하여각 API 호출을구현합니다. 여러가용영역에서 CloudHSM 을구현하고고가용성과스토리지복원성을위해 복제할수있습니다. 유휴데이터보호 규제또는비즈니스요구사항으로인한이유때문에 Amazon EBS, Amazon RDS 또는 AWS의다른서비스에서 Amazon S3에저장된유휴데이터를한층더보호해야할수있습니다. 26/74 페이지

32 표 7 에는 AWS 에서유휴데이터보호를구현하는경우고려할문제가나열되어 있습니다. 문제권장보호접근방식전략 실수로인한정보노출데이터무결성위반실수로인한삭제시스템, 인프라, 하드웨어또는소프트웨어가용성 데이터를기밀로지정하고액세스할수있는사용자의수를제한합니다. AWS 권한을사용하여 Amazon S3 등의서비스리소스에대한액세스권한을관리합니다. 암호화를사용하여 Amazon EBS 또는 Amazon RDS에서기밀데이터를보호합니다. 의도또는실수로인한수정으로인해데이터무결성위반이발생하지않도록리소스권한을사용하여데이터를수정할수있는사용자의범위를제한합니다. 리소스권한을사용하는경우에도권한이있는사용자가실수로삭제할위험은여전히존재하기때문에 ( 트로이목마가권한이있는사용자의자격증명을사용하여공격할수있는잠재적가능성등 ) 최소권한원칙이중요함을알수있습니다. 메시지인증코드 (SHA-1/SHA-2), 또는해시메시지인증코드 (HMAC), 디지털서명또는인증암호화 (AES- GCM) 등의데이터무결성검사를수행하여데이터무결성위반을감지합니다. 데이터위반을감지하면백업에서데이터를복원할수있고 Amazon S3의경우에는이전객체버전에서복원할수있습니다. 올바른권한과최소권한규칙을사용하는것은실수로인한삭제나악의적삭제를방지하는가장좋은보호방법입니다. Amazon S3와같은서비스의경우 MFA Delete를사용하여멀티팩터인증에객체삭제를요구하여 Amazon S3 객체에대한액세스를권한이있는사용자로제한할수있습니다. 데이터위반을감지하면백업에서데이터를복원할수있고 Amazon S3의경우에는이전객체버전에서복원할수있습니다. 시스템장애나자연재해발생시백업이나복제본에서데이터를복원합니다. Amazon S3 및 Amazon DynamoDB와같은일부서비스는리전내에있는여러가용영역간의자동데이터복제를제공합니다. 다른서비스를사용할경우고객이복제또는백업을구성해야합니다. 권한파일, 파티션, 볼륨또는애플리케이션수준의암호화권한데이터무결성검사 (MAC/HMAC/ 디지털서명 / 인증암호화 ) 백업버전관리 (Amazon S3) 권한백업버전관리 (Amazon S3) MFA 삭제 (Amazon S3) 백업복제 표 7: 유휴데이터에대한위협 해당하는위협환경을분석하고, 다음에간략히설명되어있는것과같이관련 보호기술을활용합니다. 표 1: 샘플자산표자산을보호하기위한 ISMS 설계섹션. 27/74 페이지

33 다음섹션에서는유휴데이터를보호하기위해 AWS 의다양한서비스를구성하는 방법을설명합니다. Amazon S3에서유휴데이터보호 Amazon S3는유휴데이터의보호를위해많은보안기능을제공하며, 위협프로필에따라기능사용여부를결정할수있습니다. 표 8은이러한기능들을요약하여설명합니다. Amazon S3 기능 권한 버전관리 설명 IAM 정책을함께버킷수준또는객체수준권한과사용하여리소스를무단액세스로부터보호하고정보누출, 데이터무결성위반또는삭제를방지합니다. Amazon S3는객체버전을지원합니다. 버전관리는기본적으로비활성화되어있습니다. 버전관리를활성화하여수정또는삭제된객체의새버전을저장하고필요시손상된객체를복원할수있습니다. 복제 Amazon S3는해당리전내에서모든가용영역에각객체를복제합니다. 복제를하면시스템장애시데이터및서비스가용성을제공하지만, 실수에의한삭제또는데이터무결성위반을보호하지못합니다. 즉, 사본을저장하는모든가용영역에변경사항을복제합니다. Amazon S3는표준및 RRS 옵션을제공하는데, 옵션은내구성목표와가격대가다릅니다. 백업암호화 서버측암호화 클라이언트측 Amazon S3는자동백업대신데이터복제및버전관리를지원합니다. 하지만애플리케이션수준의기술을사용하여 Amazon S3에저장된데이터를다른 AWS 리전또는온프레미스백업시스템에백업할수있습니다. Amazon S3는사용자데이터의서버측암호화를지원합니다. 서버측암호화는최종사용자가볼수있습니다. AWS는각객체에대한고유암호화키를생성한다음 AES-256을사용하여객체를암호화합니다. 그후암호화키는 AES-256을사용하여안전한장소에저장된마스터키로자체적으로암호화됩니다. 마스터키는정기적으로교체됩니다. 클라이언트측암호화로자체암호화키를만들고관리합니다. 고객이만드는키는클리어텍스트로 AWS에내보내지지않습니다. 고객의애플리케이션은데이터를암호화한후 Amazon S3에제출하고 Amazon S3에서데이터를수신한후해독합니다. 데이터는암호화된형태로저장되고키와알고리즘은고객만알고있습니다. 암호화알고리즘은데이터암호화를위해대칭또는비대칭키중어느것이나사용할수있지만 AWS에서제공한 Java SDK는 Amazon S3에클라이언트측암호화기능을제공합니다. 자세한내용은참조자료를참조하십시오. 표 8: Amazon S3 의유휴데이터보호기능 28/74 페이지

34 Amazon EBS에서유휴데이터보호 Amazon EBS는 AWS의추상화된블록스토리지서비스입니다. 각 Amazon EBS 볼륨은새하드디스크처럼포맷되지않은원시모드로수신합니다. Amazon EBS 볼륨의파티션크기를조정하고원하는모든파일시스템으로소프트웨어 RAID 어레이를포맷하고최종적으로는 Amazon EBS 볼륨에서데이터를보호할수있습니다. EBS 볼륨에서이루어지는이모든결정과작업은 AWS 작업에서볼수없습니다. Amazon EBS 볼륨을 Amazon EC2 인스턴스에연결할수있습니다. 표 9 에는 Amazon EC2 인스턴스에서실행하는운영체제를통한 Amazon EBS 의 유휴데이터보호기능에대해간략하게나와있습니다. Amazon EBS 기능 복제 백업 설명각 Amazon EBS 볼륨은파일로저장되고 AWS는중복성을위해 EBS 볼륨의사본두개를만듭니다. 하지만두개의사본모두같은가용영역에상주하기때문에하드웨어장애가발생해도 Amazon EBS 복제는유지됩니다. 장시간의중단또는재해복구목적을위한가용성도구로는적합하지않습니다. 애플리케이션수준에서데이터를복제하거나백업을만드는것이좋습니다. Amazon EBS는특정시점에 Amazon EBS 볼륨에저장된데이터를포착하는스냅샷을제공합니다. ( 시스템장애등으로인해 ) 볼륨이손상되거나볼륨의데이터가삭제되면스냅샷에서볼륨을복원할수있습니다. Amazon EBS 스냅샷은 IAM 사용자, 그룹및역할에권한을할당할수있는 AWS 객체이기때문에권한이있는사용자만 Amazon EBS 백업에액세스할 수있습니다. 암호화 : Microsoft Windows EFS 암호화 : Microsoft AWS에서 Microsoft Windows Server를실행하고데이터기밀성의수준을높여야하는경우 EFS(Encrypted File System) 를구현하여시스템이나데이터파티션에저장된민감한데이터를보호할수있습니다. EFS는투명한파일및폴더암호화를제공하는 NTFS 파일시스템을확장한것으로, Windows와 Active Directory 키관리시설및 PKI와통합됩니다. EFS에서자체적으로키를관리할수있습니다. Windows BitLocker는 Windows Server 2008 이상의운영체제에포함된볼륨 ( 또는단일드라이브의경우파티션 ) 암호화솔루션입니다. BitLocker 용도 Windows Bitlocker AES 128 비트및 256 비트암호화. 기본적으로 BitLocker 는키를저장할수있는 TPM(Trusted Platform Module) 이필요합니다. Amazon EC2 에서는지원하지않습니다. 하지만 암호를사용하도록구성할경우 BitLocker 로 EBS 볼륨을보호할수있습니다. 자세한내용은다음백서를참조하십시오. Amazon s Corporate IT Deploys SharePoint 2010 to the Amazon Web Services Cloud. 29/74 페이지

35 Amazon EBS 기능 암호화 : Linux dmcrypt 암호화 : TrueCrypt 암호화및무결성인증 : SafeNet ProtectV 설명커널버전 2.6 이상에서실행하는 Linux 인스턴스에서는 dm-crypt를사용하여 Amazon EBS 볼륨및스왑공간에서 TDE(Transparent Data Encryption) 를구성할수있습니다. 키관리에다양한암호와 LUKS(Linux Unified Key Setup) 를사용할수있습니다. TrueCrypt는 Amazon EBS 볼륨에서유휴데이터의 TDE를제공하는타사도구입니다. TrueCrypt는 Microsoft Windows와 Linux 운영체제를모두지원합니다. SafeNet ProtectV는 Amazon EBS 볼륨의전체디스크암호화와 AMI의부팅전인증을가능하게하는타사제품입니다. SafeNet ProtectV는데이터와기본운영체제의데이터기밀성과데이터무결성인증을제공합니다. 표 9: Amazon EBS 의유휴데이터보호기능 Amazon RDS에서유휴데이터보호 Amazon RDS는 Amazon EC2와동일한보안인프라를활용합니다. 추가보호없이 Amazon RDS 서비스를사용할수있지만, 규정준수또는다른목적으로유휴데이터의암호화또는데이터무결성인증이필요한경우 SQL 암호화함수를사용하여애플리케이션계층또는플랫폼계층에서추가적으로보호할수있습니다. 예를들면민감한모든데이터베이스필드를암호화하는내장암호화함수를사용하고애플리케이션키를사용하여애플리케이션계층에서추가적으로보호한후데이터베이스에저장할수있습니다. 애플리케이션은 PKI 인프라의대칭암호화또는마스터암호화키를제공하는다른비대칭키기술을사용하여키를관리할수있습니다. MySQL 암호화함수를사용하여플랫폼에서추가적으로보호할수있으며, 이는 다음과같이설명의형태를띨수있습니다. INSERT INTO Customers (CustomerFirstName,CustomerLastName) VALUES (AES_ENCRYPT('John',@key), AES_ENCRYPT('Smith',@key); 30/74 페이지

36 플랫폼수준의암호화키는애플리케이션수준의암호화키와같이애플리케이션 수준에서관리할수있습니다. 표 10 은 Amazon RDS 의플랫폼수준보호옵션을 요약합니다. Amazon RDS 플랫폼 MySQL Oracle 의견 MySQL 암호화함수에는암호화, 해시및압축이포함됩니다. 자세한내용은 functions.html 섹션을참조하십시오 Oracle Transparent Data Encryption은기존보유라이선스사용 (BYOL) 모델에따라 Oracle Enterprise Edition용 Amazon RDS에서지원됩니다. Microsoft SQL Microsoft Transact-SQL 데이터보호함수에는암호화, 서명및해시가포함됩니다. 자세한내용은 us/library/ms 섹션을 참조하십시오. 표 10: Amazon RDS 의플랫폼수준유휴데이터보호 SQL 범위쿼리는데이터의암호화된부분에는더이상적용되지않습니다. 예를들어이쿼리는 CustomerFirstName 열의내용이애플리케이션또는플랫폼계층에서암호화된경우 John, Jonathan, Joan 과같은이름에대해예상된결과를반환하지않습니다. SELECT CustomerFirstName, CustomerLastName from Customers WHERE CustomerName LIKE 'Jo%'; 다음과같은직접적인비교는 CustomerFirstName 이 John 과정확히일치하는모든 필드에대한예상결과를산출해반환합니다. SELECT CustomerFirstName, CustomerLastName FROM Customers WHERE CustomerFirstName = 범위쿼리는암호화되지않은필드에서도작동합니다. 예를들어표의 Date 필드는범위쿼리에서사용할수있도록암호화되지않은상태로둘수있습니다. 31/74 페이지

37 단방향함수는고유식별자로사용되는사회보장번호나이에상응하는개인 신분증등개인식별자를난독화하는좋은방법입니다. 개인식별자를암호화하고 사용하기전에애플리케이션또는플랫폼계층에서해독할수는있지만키참조 HMAC-SHA1 등의단방향함수를사용하여개인식별자를고정길이해시값으로 변환하는것이더편리합니다. 상용 HMAC 의충돌은극히드물기때문에개인 식별자는똑같이고유합니다. 하지만 HMAC 는원래개인식별자로되돌릴수 없기때문에원래개인 ID 를아는경우가아니라면원래개인으로데이터를다시 추적하여동일한키참조 HMAC 함수를통해처리할수없습니다. 모든리전에서 Amazon RDS 는 TDE(Transparent Data Encryption) 와 NNE(Native Network Encryption) 를지원하는데모두 Oracle Database 11g Enterprise Edition 의어드밴스보안옵션의구성요소입니다. Oracle Database 11g Enterprise Edition 은기존보유라이선스사용 (BYOL) 모델에따라 Amazon RDS 에서사용할수있습니다. 이러한기능사용에따르는추가요금은없습니다. Oracle TDE 는데이터를스토리지에쓰기전에암호화하고데이터를스토리지에서 읽을때해독합니다. Oracle TDE 를사용하면 Advanced Encryption Standard(AES) 와 Data Encryption Standard(Triple DES) 등의업계표준암호화 알고리즘을사용하여표공간또는특정표열을암호화할수있습니다. Amazon Glacier 에서유휴데이터보호 Amazon Glacier 에저장된모든데이터는서버측암호화로보호됩니다. AWS 는 Amazon Glacier 아카이브에대한별도의고유암호화키를생성하고 AES-256 을 사용하여암호화합니다. 암호화키는 AES-256 을사용하여안전한장소에저장된 마스터키로자체적으로암호화됩니다. 마스터키는정기적으로교체됩니다. 더 많은유휴정보를보호해야하는경우 Amazon Glacier 에업로드하기전에 데이터를암호화할수있습니다. Amazon DynamoDB 에서유휴데이터보호 Amazon DynamoDB 는 AWS 의공유서비스입니다. 추가적인보호없이 DynamoDB 를사용할수있지만표준 DynamoDB 서비스로데이터암호화계층을 구현할수도있습니다. 범위쿼리에대한영향등애플리케이션계층에서의데이터 보호에대한고려사항은이전섹션을참조하십시오. DynamoDB 는숫자, 문자열, 원시이진데이터유형의형식을지원합니다. DynamoDB 에암호화된필드를저장할때는원시이진필드또는 Base64 인코딩문자열필드를사용하는것이좋습니다. 32/74 페이지

38 Amazon EMR에서유휴데이터보호 Amazon EMR은클라우드상의관리형서비스입니다. AWS는 Amazon EMR을실행하는데필요한 AMI를제공하고사용자지정 AMI 또는자체 EBS 볼륨을사용할수없습니다. 기본적으로 Amazon EMR 인스턴스는유휴데이터를암호화하지않습니다. Amazon EMR 클러스터는 Amazon S3 또는 DynamoDB 중하나를영구적인데이터스토어로사용하는경우가많습니다. Amazon EMR 클러스터가시작되면영구적인스토어에서 HDFS로작동하거나 Amazon S3 또는 DynamoDB에서데이터를직접사용하는데필요한데이터를복사할수있습니다. 유휴데이터기밀성또는무결성의수준을높이려면표 11에요약된다양한기술을활용할수있습니다. 요구사항 Amazon S3 서버측암호화 HDFS 복사필요없음 설명데이터는 Amazon S3에만영구적으로저장되고 HDFS에는전혀복사되지않습니다. 하둡은 Amazon S3에서데이터를가져오고영구적인로컬사본을만들지않고로컬에서처리합니다. Amazon S3 서버측암호화에대한자세한내용은 Amazon S3 에서유휴 데이터보호섹션을참조하십시오. Amazon S3 클라이언트측암호화 데이터는 Amazon S3에만영구적으로저장되고 HDFS에는전혀복사되지않습니다. 하둡은 Amazon S3에서데이터를가져오고영구적인로컬사본을만들지않고로컬에서처리합니다. 클라이언트측해독을적용하려면 Hive나 Java Map Reduce 작업용 InputFormat 등의제품에사용자지정 Serializer/Deserializer(SerDe) 를사용할수있습니다. 파일을분할할수있도록각개별행또는기록에암호화를적용합니다. Amazon S3 클라이언트측암호화에대한자세한내용은 Amazon S3 에서 유휴데이터보호섹션을참조하십시오. 애플리케이션수준의 암호화 전체파일 암호화 Amazon S3 또는 DynamoDB 에데이터를저장하는동안애플리케이션 수준에서데이터를암호화하거나데이터의무결성을보호할수 있습니다 ( 예 : HMAC-SHA1 사용 ). 데이터를해독하려면 Hive 또는스크립트또는부트스트랩작업에사용자지정 SerDe를사용하여 Amazon S3에서데이터를가져오고해독하여처리하기전에 HDFS로로드합니다. 전체파일이암호화되기때문에마스터노드등하나의노드에서이작업을실행해야합니다. 특별코덱으로 S3Distcp 등의도구를사용할수있습니다. 애플리케이션수준의 암호화 개별필드 암호화 / 구조유지 하둡은 JSON 등표준 SerDe 를사용할수있습니다. 데이터해독은하둡 작업의 Map 단계중에이루어질수있고스트리밍작업용사용자지정해독 도구를통한표준입력 / 출력리디렉션을사용할수있습니다. 33/74 페이지

39 요구사항 하이브리드 설명 Amazon S3 서버측암호화와클라이언트측암호화및애플리케이션수준 암호화의조합을활용하는것이좋습니다. 표 11: Amazon EMR 에서유휴데이터보호 Gazzang 등의 Amazon 소프트웨어파트너는 Amazon EMR 에서유휴데이터와 전송중데이터를보호하기위한특별솔루션을제공합니다. 데이터와미디어의안전한폐기 클라우드상의데이터폐기는기존의온프레미스환경과는다릅니다. AWS에클라우드상의데이터삭제를요청하면 AWS는기본물리적미디어를폐기하지않고스토리지블록은할당되지않은것으로표시됩니다. AWS는보안메커니즘을사용하여블록을다른곳에재할당합니다. 블록스토리지를프로비저닝하면하이퍼바이저또는가상머신관리자 (VMM) 가인스턴스가쓰기를한블록을추적합니다. 인스턴스가스토리지블록에쓰기를하면이전블록은제로클리어된후데이터블록으로덮어쓰기됩니다. 인스턴스가이전에쓰기를한블록으로부터읽기를시도하는경우이전에저장된데이터가반환됩니다. 인스턴스가이전에쓰기를하지않은블록으로부터읽기를시도하는경우하이퍼바이저는디스크의이전데이터를제로클리어하고인스턴스에 0을반환합니다. AWS가미디어의수명이다해하드웨어결함이생겼다고판단하면 AWS는 DoD( 국방부 ) M( National Industrial Security Program Operating Manual ) 또는 NIST SP ( Guidelines for Media Sanitization ) 에설명된기술에따라폐기프로세스의일환으로데이터를삭제합니다. 클라우드상의데이터삭제에대한자세한내용은 AWS 보안프로세스백서를참조하십시오. ( 참조자료참조 ). 데이터를안전하게폐기하기위한추가제어가필요한규제또는비즈니스상의이유가있는경우클라우드상에저장되지않는고객관리키를사용하여유휴데이터암호화를구현할수있습니다. 이전프로세스를따르는것외에폐기된데이터보호에사용하는키를삭제하여복구가불가능하게만듭니다. 34/74 페이지

40 전송중데이터보호 클라우드애플리케이션은인터넷등퍼블릭링크를통해통신하는경우가많기때문에클라우드에서애플리케이션을실행할때전송중데이터를보호하는것이중요합니다. 여기에는클라이언트와서버간네트워크트래픽과서버간네트워크트래픽을보호하는일이필요합니다. 표 12 에는인터넷등퍼블릭링크를통한통신에대한일반적인문제가나열되어 있습니다. 문제의견권장보호 실수로인한정보노출데이터무결성위반피어자격증명위반 / 자격증명스푸핑 / 중간자공격 기밀데이터에대한액세스는제한되어야합니다. 데이터가퍼블릭네트워크를통과할때암호화를통해누출되지않도록보호해야합니다. 데이터의기밀여부와관계없이의도또는실수로인한수정으로데이터무결성위반이발생하지않도록해야합니다. 암호화와데이터무결성인증은통신채널보호에중요합니다. 연결원격엔드의자격증명을인증하는것도중요합니다. 원격엔드가공격자이거나의도한수신자에대한연결을릴레이하는사기꾼일경우암호화된채널이쓸모가없습니다. IPSec ESP 및 / 또는 SSL/TLS를사용하여전송데이터를암호화합니다. IPSec ESP/AH 및 / 또는 SSL/TLS를사용하여데이터무결성을인증합니다. 사전에공유한키또는 X.509 인증서가있는 IKE에는 IPSec을사용하여원격엔드를인증합니다. 또는서버일반이름 (CN) 또는대체이름 (AN/SAN) 에따라서버인증서인증에 SSL/TLS를사용합니다. 표 12: 전송중데이터에대한위협 AWS의서비스는전송중데이터보호를위한 IPSec 및 SSL/TLS 모두에대한지원을제공합니다. IPSec은대부분의경우네트워크인프라에서 IP 프로토콜스택을확장하는프로토콜이며상위계층의애플리케이션이수정없이안전하게통신할수있습니다. 한편 SSL/TLS는세션계층에서작동하고타사 SSL/TLS 래퍼가있는동안에는애플리케이션계층에서도지원이필요한경우가많습니다. 다음섹션에서는전송중데이터보호에대한자세한정보를제공합니다. 35/74 페이지

41 AWS 퍼블릭클라우드서비스에대한애플리케이션및관리자액세스관리 AWS 퍼블릭클라우드에서실행되는애플리케이션에액세스할때연결은 인터넷을통과합니다. 대부분의경우보안정책은인터넷을안전하지않은통신 미디엄으로간주하고전송중에애플리케이션데이터보호를요구합니다. 표 13 은퍼블릭클라우드서비스에액세스할때전송중데이터보호에대한접근 방식을간략하게설명합니다. 프로토콜 / 시나리오설명권장보호접근방식 HTTP/HTTPS 트래픽 ( 웹 애플리케이션 ) 기본적으로 HTTP 트래픽은보호되지않습니다. HTTPS라고하는 HTTP 트래픽의 SSL/TLS 보호는업계표준이며여러웹서버와브라우저가지원합니다. 서버인증서인증에 HTTPS(SSL/TLS 를 통한 HTTP) 를사용합니다. HTTPS 오프로드 ( 웹 애플리케이션 ) RDP(Remote Desktop Protocol) 트래픽 HTTP 트래픽에는웹페이지에대한클라이언트액세스뿐만아니라웹서비스 (REST 기반액세스 ) 도포함됩니다. 특히민감한데이터의경우 HTTPS 사용을권하는경우가많지만 SSL/TLS 처리를하려면웹서버와클라이언트양쪽의추가 CPU와메모리리소스가필요합니다. 이로인해수천개의 SSL/TLS 세션을처리하는웹서버에상당한로드가발생할수있습니다. 제한된수의 SSL/TLS 연결만종료되는클라이언트가받는영향은이보다적습니다. 퍼블릭클라우드에서 Windows Terminal Services에액세스하는사용자는보통 Microsoft Remote Desktop Protocol(RDP) 을사용합니다. 기본적으로 RDP 연결은기본 SSL/TLS 연결을설정합니다. Elastic Load Balancing에서 HTTP 처리를오프로드하여전송중데이터보호중에웹서버에대한영향을최소화합니다. SSL을통한 HTTP 등의애플리케이션프로토콜을사용하여인스턴스에대한백엔드연결을추가로보호합니다. 최적의보호를위해액세스하고있는 Windows 서버에신뢰할수있는 X.509 인증서를발행하여자격증명스푸핑또는중간자공격을방지해야합니다. 기본적으로 Windows RDP 서버는자체서명인증서를사용하는데신뢰할수없기때문에사용해서는안됩니다. 36/74 페이지

42 프로토콜 / 시나리오설명권장보호접근방식 SSH(Secure Shell) 트래픽 SSH는 Linux 서버에관리자연결을설정하는좋은접근방식입니다. SSH 는 SSL처럼클라이언트와서버사이에안전한통신채널을제공합니다. 또한 SSH는 SSH를기반으로한 X- Windows 등의애플리케이션을실행하고전송중애플리케이션세션을보호하는데사용해야하는터널링도지원합니다. 권한이없는사용자계정을사용하여 SSH 버전 2 를사용합니다. 데이터베이스 서버트래픽 클라이언트나서버가 클라우드상의데이터베이스에 액세스해야하는경우인터넷도 통과해야합니다. 대부분의최신데이터베이스는기본 데이터베이스프로토콜용 SSL/TLS 래퍼를지원합니다. Amazon EC2 에서 실행하는데이터베이스서버의경우 전송중데이터보호에이접근방식을 사용하는것이좋습니다. Amazon RDS 는일부경우 SSL/TLS 에대한 지원을제공합니다. Amazon RDS 표 13: 퍼블릭클라우드에액세스할때전송중애플리케이션데이터보호 AWS 서비스를관리할때전송중데이터보호 AWS Management Console 또는 AWS API를사용하여 Amazon EC2와 Amazon S3 등의 AWS 서비스를관리할수있습니다. 서비스관리트래픽의예에는새 Amazon EC2 인스턴스시작, Amazon S3 버킷에객체저장또는 Amazon VPC에서보안그룹수정이포함됩니다. AWS Management Console은클라이언트브라우저와콘솔서비스엔드포인트사이에 SSL/TLS를사용하여 AWS 서비스관리트래픽을보호합니다. 트래픽이암호화되고데이터무결성이인증되고클라이언트브라우저가 X.509 인증서를사용하여콘솔서비스엔드포인트의자격증명을인증합니다. 클라이언트브라우저와콘솔서비스엔드포인트사이에 SSL/TLS 세션설정후에는모든 HTTP 트래픽이 SSL/TLS 세션내에서보호됩니다. 또는 AWS API를사용하여애플리케이션이나타사도구에서직접또는 SDK나 AWS 명령줄도구를통해 AWS의서비스를관리합니다. AWS API는 HTTPS를통한웹서비스 (REST) 입니다. SSL/TLS 세션은사용되는 API에따라클라이언트와특정 AWS 서비스엔드포인트사이에설정되고 SOAP/REST 엔벌로프와사용자페이로드등이후모든트래픽이 SSL/TLS 세션내에서보호됩니다. 37/74 페이지

43 Amazon S3로전송중인데이터보호 AWS 서비스관리트래픽과마찬가지로 Amazon S3는 HTTPS를통해액세스됩니다. 여기에는모든 Amazon S3 서비스관리요청과 Amazon S3에서저장 / 검색되는객체의내용과같은사용자페이로드및관련메타데이터가포함됩니다. AWS 서비스콘솔을 Amazon S3 관리에사용하는경우클라이언트브라우저와 서비스콘솔엔드포인트사이에 SSL/TLS 보안연결이설정됩니다. 이후모든 트래픽은이연결내에서보호됩니다. Amazon S3 API를직접또는간접적으로사용하는경우클라이언트와 Amazon S3 엔드포인트사이에 SSL/TLS 연결이설정되고이후모든 HTTP, 사용자페이로드트래픽은보호되는세션내에서캡슐화됩니다. Amazon RDS로전송중인데이터보호동일한리전의 Amazon EC2 인스턴스에서 Amazon RDS로연결하는경우 AWS 네트워크의보안을사용할수있지만인터넷에서연결하는경우추가보호를위해 SSL/TLS를사용하는것이좋습니다. SSL/TLS 는서버 X.509 인증서, 데이터무결성인증및클라이언트와서버연결을 위한데이터암호화를통해피어인증을제공합니다. SSL/TLS는현재 Amazon RDS MySQL 및 Microsoft SQL 인스턴스연결에지원됩니다. 두제품모두 Amazon Web Services가 MySQL 또는 Microsoft SQL 리스너와연결된단일자체서명인증서를제공합니다. 자체서명인증서를다운로드하고신뢰할수있는인증서로지정할수있습니다. 이렇게하면자격증명인증이가능하고서버측에서중간자또는자격증명스푸핑공격을방지합니다. SSL/TLS는클라이언트와서버사이통신채널의기본암호화와데이터무결성인증을가능하게합니다. AWS의모든 Amazon RDS MySQL 인스턴스에동일한자체서명인증서를사용하고 AWS의모든 Amazon RDS Microsoft SQL 인스턴스에서는또다른단일자체서명인증서를사용하기때문에피어자격증명인증을통해개별적인인스턴스인증을할수없습니다. SSL/TLS를통한개별적인서버인증이필요한경우 Amazon EC2와자체관리하는관계형데이터베이스서비스를활용해야합니다. 38/74 페이지

44 Oracle NNE용 Amazon RDS는데이터베이스에서송수신되는데이터를암호화합니다. Oracle NNE를사용하면 AES와 Triple DES 등의업계표준암호화알고리즘을사용하여 Oracle Net Services를통해이동하는네트워크트래픽을암호화할수있습니다. Amazon DynamoDB로전송중인데이터보호동일한리전의다른 Amazon 서비스에서 Amazon DynamoDB로연결하는경우 AWS 네트워크의보안을사용할수있지만인터넷으로 DynamoDB에연결하는경우 SSL/TLS를통한 HTTP(HTTPS) 를사용하여 DynamoDB 서비스엔드포인트에연결해야합니다. DynamoDB에대한액세스및인터넷을통한모든연결에 HTTP를사용하지마십시오. Amazon EMR로전송중인데이터보호 Amazon EMR에는여러개의애플리케이션통신경로가포함되며각각의경로에는전송중데이터를위한별도의보호메커니즘이필요합니다. 표 14는권장하는통신경로와보호접근방식을간략히설명합니다. Amazon EMR 트래픽유형 하둡노드간 하둡클러스터와 Amazon S3 간 하둡클러스터와 Amazon DynamoDB 간 설명하둡마스터, 작업자, 코어노드는모두독점적인일반 TCP 연결을사용하여서로통신합니다. 하지만 Amazon EMR의모든하둡노드는동일한가용영역에상주하고물리적및인프라계층에서보안표준에의해보호됩니다. Amazon EMR은 HTTPS를사용하여 DynamoDB와 Amazon EC2 사이에데이터를교환합니다. 자세한내용은 Amazon S3로전송중인데이터보호섹션을참조하십시오. Amazon EMR은 HTTPS를사용하여 Amazon S3와 Amazon EC2 사이에데이터를교환합니다. 자세한내용은 Amazon DynamoDB로전송중인데이터보호섹션을참조하십시오. 권장보호접근방식모든노드가동일한시설에상주하기때문에일반적으로추가적인보호는필요하지않습니다. 기본적으로 HTTPS를사용합니다. 기본적으로 HTTPS를사용합니다. 39/74 페이지

45 Amazon EMR 트래픽유형 사용자또는애플리케이션의하둡클러스터액세스 하둡클러스터에 대한관리자 액세스 설명온프레미스클라이언트나애플리케이션은인터넷을통해스크립트 (SSH 기반액세스 ), REST 또는 Thrift나 Avro 등의프로토콜을사용하여 Amazon EMR 클러스터에액세스할수있습니다. Amazon EMR 클러스터관리자는일반적으로 SSH를사용하여클러스터를관리합니다. 권장보호접근방식 애플리케이션에대한대화형액세스또는 SSH 내의다른프로토콜을터널링하는데 SSH 를사용합니다. Thrift, REST 또는 Avro 사용시 SSL/TLS 를사용합니다. SSH 를 Amazon EMR 마스터노드에 사용합니다. 표 14: Amazon EMR 로전송중인데이터보호 운영체제와애플리케이션보호 AWS 의공동책임모델로운영체제와애플리케이션보안을관리합니다. Amazon EC2 는웹서비스인터페이스를사용하여미리로드한사용자지정 애플리케이션으로다양한운영체제의인스턴스를시작할수있는진정한가상 컴퓨팅환경을제공합니다. 운영체제와애플리케이션빌드를표준화하고운영 체제와애플리케이션의보안을단일보안빌드리포지토리한곳에서관리할수 있습니다. 사전구성된 AMI 를보안요구사항에맞게구축및테스트할수있습니다. 권장사항 : 루트 API 액세스키및보안키비활성화 보안그룹을사용해제한적인 IP 범위의인스턴스로액세스를제한할수있습니다. 암호는사용자시스템에서.pem 파일을보호합니다. 직원이회사를그만두거나더이상액세스가필요하지않으면인스턴스의 authorized_keys 파일에서키를삭제합니다. 자격증명회전 (DB, 액세스키 ) IAM 사용자액세스관리자및 IAM 사용자가마지막으로사용한액세스키를사용해최소권한점검을정기적으로실행합니다. 배스천호스트를사용해제어능력과가시성을확보합니다. 이섹션은 AMI 에대한보안강화표준의포괄적인목록을제공하기위해마련된 것이아닙니다. 업계에서허용되는시스템보안강화표준제공기관에는다음이 포함되나이에국한되지않습니다. 40/74 페이지

46 Center for Internet Security(CIS) ISO( 국제표준화기구 ) SysAdmin Audit Network Security(SANS) Institute NIST(National Institute of Standards Technology) 모든시스템구성요소에대한구성표준을개발하는것이좋습니다. 이러한 표준은알려진모든보안취약성을해결하고업계에서허용되는시스템보안강화 표준과일치해야합니다. 게시된 AMI 가모범사례를위반했거나 AMI 를실행하는고객에게중대한위험을 일으킨다는사실이확인된경우 AWS 는퍼블릭카탈로그에서 AMI 를제거하고 게시자또는 AMI 를실행하는사람들에게확인된내용을알릴권한을갖습니다. 사용자지정 AMI 생성 조직의특정요구사항에맞는자체 AMI를생성해내부 ( 프라이빗 ) 또는외부 ( 퍼블릭 ) 용으로게시할수있습니다. 고객은 AMI 게시자로서프로덕션에사용하는머신이미지의초기보안태세에대해책임이있습니다. AMI에적용하는보안제어는특정시점에효율적이며동적이아닙니다. 비즈니스요건에맞고 AWS 이용방침을위반하지않는방식으로프라이빗 AMI를구성할수있습니다. 자세한내용은 Amazon Web Services 이용정책 를참조하십시오. 하지만 AMI 을사용해서시작하는사용자는보안전문가가아니기때문에특정 최소보안표준을준수하는것이좋습니다. AMI 게시전에게시된소프트웨어가최신상태로업데이트되어있고관련보안 패치가마련되어있는지확인하고표 15 에나열된정리및보안강화작업을 수행합니다. 영역보안성이낮은애플리케이션비활성화 권장작업 네트워크를통해또는보안성이낮은다른방식을통해클리어텍스트로 사용자를인증하는서비스와프로토콜을비활성화합니다. 41/74 페이지

47 영역 노출최소화 권장작업스타트업시필수적이지않은네트워크서비스를비활성화합니다. 관리자서비스 (SSH/RDP) 와필수적인애플리케이션에필요한서비스만시작해야합니다. 자격증명보호 디스크및구성파일에서모든 AWS 자격증명을안전하게삭제합니다. 자격증명보호 디스크및구성파일에서타사자격증명을모두안전하게삭제합니다. 자격증명보호 시스템에서모든추가인증서또는키구성요소를안전하게제거합니다. 자격증명보호 설치된소프트웨어가기본내부계정과암호를사용해서는안됩니다. 건전한거버넌스 실시 시스템은 Amazon Web Services 이용방침을위반하지않아야합니다. 위반의예로는오픈 SMTP 릴레이또는프록시서버가있습니다. 자세한내용은 Amazon Web Services 이용정책 를참조하십시오. 표 15: AMI 게시전정리작업 표 16 과 17 에는추가적인운영체제별정리작업이나열되어있습니다. 표 16 에는 Linux AMI 보안유지단계가나열되어있습니다. 영역 보안강화활동 안전한서비스 sshd 가퍼블릭키인증만허용하도록구성합니다. PubkeyAuthentication 을 Yes 로, PasswordAuthentication 을 No 로 설정합니다 (sshd_config 에서 ). 안전한서비스 자격증명보호 인스턴스를만들때고유 SSH 호스트키를생성합니다. AMI가 cloud-init을사용하는경우, 이를자동으로처리합니다. 로그인에사용할수없고기본암호를보유할수없도록모든사용자계정의암호를제거하고비활성화합니다. 각계정에대해 passwd -l <USERNAME> 을실행합니다. 자격증명보호모든사용자 SSH 퍼블릭및프라이빗키페어를안전하게삭제합니다. 데이터보호민감한데이터가포함된모든셸기록과시스템로그파일을안전하게삭제합니다. 표 16: Linux/UNIX AMI 보안유지 표 17 에는 Windows AMI 보안유지단계가나열되어있습니다. 영역 자격증명보호 보안강화활동인스턴스를생성할때활성화된모든사용자계정에무작위로생성한새암호가있어야합니다. 부팅시관리자계정에대해 EC2 Config 서비스가이작업을하도록구성할수있지만이미지를번들링하기전에명시적으로그렇게해야합니다. 42/74 페이지

48 영역 보안강화활동 자격증명보호게스트계정이비활성화되어야합니다. 데이터보호 Windows 이벤트로그를지웁니다. 자격증명보호 AMI 가 Windows 도메인의일부가아니어야합니다. 노출최소화 필수적이지않지만기본적으로활성화되어있는파일공유, 인쇄스풀러, RPC 및기타 Windows 서비스를활성화하지마십시오. 표 17: Windows AMI 보안유지 부트스트래핑 보안이강화된 AMI를인스턴스화한후에도부트스트래핑애플리케이션을사용하여보안제어를수정하고업데이트할수있습니다. 일반적인부트스트래핑애플리케이션에는 Puppet, Chef, Capistrano, Cloud-Init, Cfn-Init가있습니다. 타사도구를사용하지않고도사용자지정부트스트래핑 Bash 또는 Microsoft Windows PowerShell 스크립트를실행할수도있습니다. 다음은고려할부트스트랩작업입니다. 보안소프트웨어업데이트는 AMI 의패치수준이상의최신패치, 서비스팩및중요업데이트를설치합니다. 초기애플리케이션패치는 AMI로포착된현재애플리케이션수준빌드이상의애플리케이션수준업데이트를설치합니다. 컨텍스트데이터와구성은예를들어프로덕션, 테스트또는 DMZ/ 내부등인스턴스가시작되는환경별구성을적용하는인스턴스를활성화합니다. 원격보안모니터링및관리시스템에인스턴스를등록합니다. 패치관리 AMI와라이브인스턴스의패치관리는고객의책임입니다. 패치관리를제도화하고서면절차를유지하는것이좋습니다. 운영체제와주요애플리케이션에대해타사패치관리시스템을사용할수있지만모든소프트웨어와시스템구성요소의재고를보관하고각시스템에설치된보안패치의목록을최신공급업체보안패치목록과비교하여현재공급업체패치가설치되어있는지확인하는것이좋습니다. 43/74 페이지

49 새로운보안취약성을식별하고취약성에위험순위를할당하는프로세스를 구현하십시오. 최소한가장중요하고가장위험이높은취약성의순위를 " 높음 " 으로지정하십시오. 퍼블릭 AMI 보안제어 중요한자격증명을공개적으로공유할경우 AMI에두지않도록주의하십시오. 자세한내용은퍼블릭 AMI를안전하게공유하고사용하는방법에대한자습서 시스템을맬웨어로부터보호 바이러스, 웜, 트로이목마, 루트킷, 봇네트, 스팸등의위협으로부터기존의 인프라를보호하는것처럼클라우드상의시스템을보호하십시오. 개별인스턴스와전체클라우드시스템에맬웨어가감염되는경우의영향을이해해야합니다. 즉, 사용자가의도또는실수로 Linux 또는 Windows 시스템에서프로그램을실행하면실행파일은해당사용자의권한을위임합니다 ( 일부경우에는다른사용자를가장 ). 코드는시작한사용자가권한이있는모든작업을수행할수있습니다. 사용자는신뢰할수있는코드만을실행하도록해야합니다. 시스템에서신뢰할수없는코드를실행하는경우시스템이통제를벗어나다른사람에게속하게됩니다. 수퍼유저또는관리자권한을가진사용자가신뢰할수없는프로그램을실행하면프로그램이실행된시스템을더이상신뢰할수없게됩니다. 악성코드가운영체제의부분들을변경하거나루트킷을설치하거나시스템을평가하기위한백도어를설정할수있습니다. 데이터를삭제하거나데이터무결성을위반하거나서비스의가용성이저하되거나정보가타사에은밀하게또는공공연하게누출될수도있습니다. 코드가실행된인스턴스는감염된것으로간주하십시오. 감염된인스턴스가 Single Sign-On 환경의일부이거나인스턴스간의액세스를위한암시적신뢰모델이있는경우감염은개별인스턴스를넘어전체시스템과그이상으로빠르게퍼져나갈수있습니다. 이런규모의감염은금세데이터누출, 데이터및서비스위반을초래할수있고회사의평판을떨어뜨릴수있습니다. 또한예를들어타사에서비스를노출시키거나클라우드리소스를과도하게사용하는경우직접적인재정적결과를가져올수있습니다. 맬웨어의위협을관리해야합니다. 44/74 페이지

50 표 18 은맬웨어방지에대한몇가지일반적인접근방식을간략하게설명합니다. 요소 신뢰할수없는 AMI 신뢰할수없는소프트웨어 일반적인접근방식신뢰할수있는 AMI만을사용하여인스턴스를시작합니다. 신뢰할수있는 AMI에는 AWS가제공하는표준 Windows 및 Linux AMI와신뢰할수있는타사의 AMI가포함됩니다. 표준및신뢰할수있는 AMI로부터자체사용자지정 AMI를생성할경우적용할추가소프트웨어와설정도신뢰할수있어야합니다. 신뢰할수없는타사 AMI를시작하면전체클라우드환경이손상및감염될수있습니다. 신뢰할수있는소프트웨어공급자의신뢰할수있는소프트웨어만설치및실행합니다. 신뢰할수있는소프트웨어공급자는업계에서인정받는안전하고책임감있는방식으로소프트웨어를개발하고소프트웨어패키지에악성코드를허용하지않는공급자입니다. 오픈소스소프트웨어도신뢰할수있는소프트웨어이며자체실행파일을컴파일할수있어야합니다. 소스코드가악성이아닌지확인하기위해세심하게코드리뷰를수행하는것이좋습니다. 신뢰할수있는소프트웨어공급자는다운로드하는소프트웨어의무결성을확인할수 있도록코드서명인증서를사용하여소프트웨어에서명하거나제품의 MD5 또는 SHA- 1 서명을제공합니다. 신뢰할수없는소프트웨어디포 신뢰할수있는소스에서신뢰할수있는소프트웨어를다운로드합니다. 인터넷또는네트워크의다른부분에있는임의의소프트웨어소스는실제로다른경우라면합법적이고명성이높았을소프트웨어패키지안에서맬웨어를배포하고있을수도있습니다. 신뢰할수없는타사에서맬웨어가들어있는파생패키지의 MD5 또는 SHA-1 서명을제공할수있기때문에그러한서명을신뢰해서는안됩니다. 사용자가설치및사용할수있는신뢰할수있는소프트웨어를제공하는자체내부 소프트웨어디포를설정하는것이좋습니다. 사용자는인터넷에있는임의의소스에서 소프트웨어를다운로드하고설치하는위험한행동을피해야합니다. 최소권한의원칙패칭봇네트스팸 사용자에게작업을수행하는데필요한최소의권한을부여합니다. 그렇게하면사용자가감염된실행파일을실수로시작하더라도인스턴스와더넓은클라우드시스템에대한영향을최소화할수있습니다. 외부로연결되는시스템과내부시스템을최신보안수준으로패칭합니다. 웜은네트워크의패칭되지않은시스템을통해퍼지는경우가많습니다. 기존의바이러스, 트로이목마또는웜전파등에의한감염이개별인스턴스이상으로퍼지고더넓은플릿을감염시키는경우원격공격자가제어할수있는감염된호스트네트워크인봇네트를만드는악성코드가포함될수있습니다. 봇네트감염을방지하기위해이전의모든권장사항을따르십시오. 감염된시스템은공격자들에의해대량의원치않는메일 ( 스팸 ) 을전송하는데사용될수있습니다. AWS는 Amazon EC2 인스턴스가보낼수있는이메일의양을제한하는특별한제어수단을제공하지만일차적으로고객에게감염을방지할책임이있습니다. 스팸을퍼뜨릴수있고 AWS 이용목적제한방침을위반할수도있는 SMTP 오픈릴레이를피합니다. 자세한내용은 Amazon Web Services 이용정책 를참조하십시오. 45/74 페이지

51 요소안티바이러스 / 스팸방지소프트웨어호스트 IDS 소프트웨어 일반적인접근방식반드시시스템에평판이좋은최신안티바이러스및스팸방지솔루션을사용합니다. 많은 AWS 고객은오픈소스제품인 OSSEC 등파일무결성확인및루트킷탐지소프트웨어등의호스트기반 IDS 소프트웨어를설치합니다. 이러한제품을사용하여중요한시스템파일과폴더를분석하고신뢰할수있는상태를반영하는체크섬을계산한후이러한파일이수정되었는지확인하고수정되었다면시스템관리자에게알립니다. 표 18: 맬웨어방지에대한접근방식 인스턴스가감염되면안티바이러스소프트웨어는감염을탐지하고바이러스를제거할수도있습니다. 가장안전하고널리권장하는접근방식, 즉모든시스템데이터를저장한다음신뢰할수있는소스로부터모든시스템, 플랫폼및애플리케이션실행파일을재설치하고백업만을사용해데이터를복원하는방식이좋습니다. 손상및침해완화 AWS는고객이솔루션을구축하는기반이되는글로벌인프라를제공하는데이중많은부분이인터넷과연결되어있습니다. 고객솔루션은인터넷커뮤니티의다른부분에해를주지않는방식으로작동해야합니다. 즉, 침해활동을피해야합니다. 침해활동은 AWS 고객의인스턴스또는다른리소스가악의적이거나, 불쾌감을 주거나, 불법적이거나다른인터넷사이트에피해를주는동작을하는것이 외부에서관찰되는경우를말합니다. AWS는고객과협력하여 AWS 리소스에서의심스럽고악의적인행동을탐지및해결합니다. 고객의리소스로부터예상치못했거나의심스러운동작을발견하는경우 AWS 리소스가손상되어비즈니스에잠재적인위험이발생했음을나타내는것일수있습니다. AWS 는다음과같은메커니즘을사용하여고객리소스로부터침해활동을 탐지합니다. 46/74 페이지

52 AWS 내부이벤트모니터링 AWS 네트워크공간을기준으로한외부보안인텔리전스 AWS 리소스를기준으로한인터넷침해불만 AWS 침해대응팀이 AWS에서실행중인악성침해또는도용프로그램을모니터링하고차단하지만대부분의침해불만은 AWS에서합법적인비즈니스를운영중인고객에대한내용입니다. 의도하지않은침해활동의일반적인원인은다음과같습니다. 손상된리소스. 예를들어, 패칭되지않은 Amazon EC2 인스턴스가감염되어봇네트에이전트가될수있습니다. 의도하지않은침해. 예를들어, 일부인터넷사이트는지나치게적극적인웹크롤러를 DOS 공격자로분류할수있습니다. 2차적침해. 예를들어, AWS 고객이제공하는서비스의최종사용자는퍼블릭 Amazon S3 버킷에맬웨어파일을게시할수있습니다. 허위불만. 인터넷사용자가합법적인활동을침해로오해하는경우가있습니다. AWS는침해를방지, 탐지및완화하고향후재발을방지하기위해 AWS 고객과협력하는면에서최선을다하고있습니다. AWS 침해경고를수신하면보안및운영직원은즉시그문제를조사해야합니다. 지연될경우다른인터넷사이트피해기간이길어지고고객의평판과법적책임에영향을미칠수있습니다. 더중요한점은관련된침해리소스가악의적인사용자에의해손상될수있고손상을무시하면고객의비즈니스피해가커질수있습니다. AWS 리소스를사용하여악의적, 불법적, 또는유해한활동을하는경우 AWS 이용목적제한방침을위반하는것이며계정이일시중지될수있습니다. 자세한내용은 Amazon Web Services 이용정책 를참조하십시오. 인터넷커뮤니티의평가에따라모범적인서비스를유지할책임은고객에게있습니다. AWS 고객이보고된침해활동을해결하지않을경우 AWS는 AWS 플랫폼과인터넷커뮤니티의무결성을보호하기위해 AWS 계정을일시중지합니다. 표 19 는침해사고에대응하는데도움이될수있는모범사례를소개합니다. 47/74 페이지

53 모범사례 AWS 침해에대한통신을절대로무시하지말것. 설명침해사례가접수되면 AWS는즉시고객의등록된이메일주소로 이메일알림을보냅니다. 고객은침해경고이메일에회신만하면 AWS 침해대응팀과정보를교환할수있습니다. 모든통신내용은향후참조를위해 AWS 침해추적시스템에저장됩니다. AWS 침해대응팀은고객이불만의성격을이해하도록돕기위해최선을다하고있습니다. AWS는고객이침해활동을완화하고방지하도록지원합니다. 계정일시중지는 AWS 침해대응팀이침해활동을중지시키기위해취하는최종적인조치입니다. 당사는문제를완화하고처벌조치를취하는일이없도록고객과협력하고있습니다. 하지만고객은침해경고에응답하고악의적인활동을중지시키기위한조치를취하고향후재발을방지해야합니다. 인스턴스와계정이차단되는가장큰이유는고객이응답하지않기때문입니다. 보안모범사례를따를것. 손상완화. 리소스손상을방지하는가장좋은방법은본문서에소개된보안모범사례를따르는것입니다. AWS는고객의클라우드환경을위한강력한방어수단을설정하는데도움이되는특정보안도구를제공하고있지만고객은자체데이터센터내에있는서버와같은보안모범사례를따라야합니다. 최신소프트웨어패치적용, 방화벽및 / 또는 Amazon EC2 보안그룹을통한네트워크트래픽제한, 사용자에게최소권한액세스제공등단순한방어사례를일관성있게채택합니다. 고객의컴퓨팅환경이손상또는감염된경우안전한상태로복구하기위해다음과같은단계를취하는것이좋습니다. 손상이알려진 Amazon EC2 인스턴스또는 AWS 리소스는안전하지않은것으로간주합니다. Amazon EC2 인스턴스가애플리케이션사용으로설명할수없는트래픽을생성하고있는경우인스턴스는아마도악성소프트웨어로손상또는감염되었을것입니다. 해당인스턴스를완전히차단하거나재구축하여안전한상태로돌아갑니다. 새로재시작하는것이물리적인환경에서는어려울수있지만클라우드상의환경에서는첫번째완화접근방식입니다. 근본원인을탐지하려면손상된인스턴스에대한법의학적분석을수행해야할수도있습니다. 숙련된보안전문가들만그런조사를수행해야하며조사중에는추가적인피해와감염을방지하기위해감염된인스턴스를격리해야합니다. Amazon EC2 인스턴스를조사목적으로격리하려면매우제한된보안그룹을설정할수있습니다. 예를들어, 법의학적조사관이인스턴스를안전하게검사할수있는단일 IP 주소로부터인바운드 SSH 또는 RDP 트래픽을수락하는목적의포트를제외한모든포트를닫습니다. 또한감염된인스턴스의오프라인 Amazon EBS 스냅샷을만든다음법의학적조사관에게오프라인스냅샷을제공할수있습니다. AWS는고객의인스턴스또는다른리소스내에있는비공개정보에액세스할수없기때문에애플리케이션계정인계등게스트운영체제또는애플리케이션수준의손상은탐지할수없습니다. AWS는고객이자체도구를통해해당정보를기록하지않는경우정보 ( 예 : 액세스로그, IP 트래픽로그또는기타속성 ) 를소급해서제공할수없습니다. 심도있는사고조사와완화활동은대부분고객의책임입니다. 48/74 페이지

54 모범사례 설명 손상된 Amazon EC2 인스턴스를복구하기위해취해야하는마지막단계는핵심비즈니스데이터를백업하고감염된인스턴스를완전히종료하고새리소스로재시작하는것입니다. 향후손상을방지하기위해새로시작한인스턴스에서보안제어환경을검토하는것이좋습니다. 최신소프트웨어패치를적용하고방화벽을제한하는것과같은단순한단계만취해도효과가큽니다. 보안통신 이메일주소를 설정할것. AWS 침해대응팀은이메일로침해경고를알립니다. 기본적으로이이메일은고객의등록된이메일주소이지만대기업의경우전용대응이메일주소를만들수있습니다. Personal Information 페이지의 Configure Additional Contacts에서추가이메일주소를설정할수있습니다. 표 19: 침해완화모범사례 추가애플리케이션보안사례사용 운영체제와애플리케이션에대한추가일반보안모범사례는다음과같습니다. 암호, SNMP(Simple Network Management Protocol) 커뮤니티문자열및 보안구성등공급업체가제공한기본값은새 AMI 를생성하기전이나새 애플리케이션을배포하기전에반드시변경합니다. 불필요한사용자계정은제거또는비활성화합니다. 동일한서버에공존하는수준과는다른보안수준을요구하는함수를유지하기위해 Amazon EC2 인스턴스당하나의 1차함수를구현합니다. 예를들어, 웹서버, 데이터베이스서버, DNS를별도의서버에구현합니다. 시스템기능의필요에따라안전한필수서비스, 프로토콜, 데몬등만활성화합니다. 필수적이지않은서비스는인스턴스와전체시스템의보안위험노출을높이기때문에모두비활성화합니다. 스크립트, 드라이버, 기능, 하위시스템, EBS 볼륨및불필요한웹서버등불필요한모든기능을비활성화또는제거합니다. 49/74 페이지

55 보안모범사례를염두에두고모든서비스를구성합니다. 필요한서비스, 프로토콜또는데몬의보안기능을활성화합니다. Telnet 등보안성이낮은상응서비스보다는사용자 / 피어인증보안메커니즘, 암호화및데이터무결성인증기능이기본제공되는 SSH 등의서비스를선택합니다. FTP와같은보안성이낮은프로토콜대신 SSH를사용하여파일을전송합니다. 보안성이낮은프로토콜과서비스를사용해야하는경우 IPSec 또는다른가상사설네트워크 (VPN) 기술등추가보안계층을추가해네트워크계층의통신채널을보호하거나 GSS-API, Kerberos, SSL 또는 TLS를추가해애플리케이션계층의네트워크트래픽을보호합니다. 보안거버넌스는모든조직에중요하지만보안정책을적용하는것이가장좋습니다. 가능하면악용을방지하기위해반드시보안정책과지침에맞게시스템보안파라미터를구성합니다. 시스템과애플리케이션에대한관리자액세스를위해어려운암호화메커니즘을사용하여모든비콘솔관리자액세스를암호화합니다. SSH, 사용자및사이트별 IPSec VPN 또는 SSL/TLS 등의기술을사용하여원격시스템관리의보안을강화합니다. 인프라보안유지 이섹션은 AWS 플랫폼에서의인프라서비스보안유지에대한권장사항을 제공합니다. Amazon Virtual Private Cloud(VPC) 사용 Amazon Virtual Private Cloud(VPC) 를사용하면 AWS 퍼블릭클라우드내에프라이빗클라우드를만들수있습니다. 각고객 Amazon VPC는고객이할당한 IP 주소공간을사용합니다. Amazon VPC에프라이빗 IP 주소 (RFC 1918의권장사항 ) 를사용하여인터넷에직접라우팅할수없는클라우드상의프라이빗클라우드와연결네트워크를구축합니다. Amazon VPC는프라이빗클라우드에서다른고객과의격리뿐만아니라인터넷으로부터의계층 3( 네트워크계층 IP 라우팅 ) 격리도가능하게합니다. 표 20에는 Amazon VPC에서의애플리케이션보호옵션이나열되어있습니다. 50/74 페이지

56 문제설명권장보호접근방식 인터넷전용 인터넷을통한 IPSec Amazon VPC는온프레미스또는다른곳의어떤인프라에도연결되어있지않습니다. 온프레미스또는다른곳에상주하는추가인프라가있거나없을수있습니다. 인터넷사용자의연결을허용해야하는경우엘라스틱 IP 주소 (EIP) 를필요로하는 Amazon VPC 인스턴스에만할당하여인바운드액세스를제공할수있습니다. 특정포트와소스 IP 주소범위전용보안그룹또는 NACL을사용하여인바운드연결을더제한할수있습니다. 인터넷으로부터의트래픽인바운드로드밸런스를유지할수있다면 EIP는 필요하지않습니다. 인스턴스는 Elastic Load Balancing 뒤에배치할수있습니다. 아웃바운드 ( 인터넷으로의 ) 액세스의경우예를들어소프트웨어를가져오거나 Amazon S3 등 AWS 퍼블릭서비스의데이터를액세스하는경우 NAT 인스턴스를사용하여송신연결에매스커레이딩을제공할수있습니다. EIP는필요하지않습니다. AWS는업계표준의복원력이뛰어난 VPC용 IPSec 종료인프라를제공합니다. 고객은온프레미스또는다른 VPN 인프라에서 Amazon VPC로연결되는 IPSec 터널을설정할수있습니다. IPSec 터널은 AWS와인프라엔드포인트사이에설정됩니다. 클라우드상또는온프레미스로실행되는애플리케이션은 수정이필요하지않고전송중 IPSec 데이터보호의혜택을즉시받을수있습니다. SSL/TLS를사용하여애플리케이션과관리자트래픽을암호화하거나사용자지정사용자 VPN 솔루션을구축합니다. 퍼블릭및프라이빗서브넷의라우팅및서버배치를세심하게계획합니다. 보안그룹과 NACL을사용합니다. IKEv1을사용하여프라이빗 IPSec 연결을설정하고표준 AWS VPN 시설 (Amazon VPC VPN 게이트웨이, 고객게이트웨이, VPN 연결 ) 을사용하여 IPSec를설정합니다. 또는클라우드상및온프레미스에고객별 VPN 소프트웨어인프라를설정합니다. 51/74 페이지

57 문제설명권장보호접근방식 AWS Direct Connect(IPSe c 제외 ) AWS Direct Connect (IPSec 포함 ) 하이브리드 AWS Direct Connect를사용하면인터넷을사용하지않고도프라이빗피어링을사용하여전용링크를통해 Amazon VPC와의연결을설정할수있습니다. 이경우데이터보호요구사항에따라 IPSec를사용하지않기로결정할수있습니다. 추가적인종단간연결은 AWS Direct Connect 링크에서 IPSec를사용할수있습니다. 이러한접근방식의조합을사용하는것을고려합니다. 사용하는각연결접근방식에대해충분한보호메커니즘을활용합니다. 데이터보호요구사항에따라 프라이빗피어링을통한추가 보호가필요하지않을수있습니다. 위의인터넷을통한 IPSec 를참조하십시오. 표 20: Amazon VPC에서리소스액세스 Amazon VPC-IPSec 또는 VPC-AWS Direct Connect를활용하여 Amazon VPC 리소스로온프레미스또는다른호스팅인프라를안전한방식으로원활하게통합할수있습니다. 두가지접근방법모두 IPSec 연결이전송중데이터를보호하고 IPSec 또는 AWS Direct Connect 링크의 BGP는 Amazon VPC 및온프레미스라우팅도메인을통합하여모든애플리케이션, 심지어기본네트워크보안메커니즘을지원하지않는애플리케이션까지도투명하게통합할수있습니다. VPC-IPSec가애플리케이션에업계표준의투명한보호를제공하지만 VPC-IPSec 링크를통한 SSL/TLS 등의추가적인수준의보호메커니즘을사용할수있습니다. 자세한내용은 Amazon VPC 연결옵션백서를참조하십시오. 보안영역조정및네트워크세분화사용 보안요구사항이다르면보안제어수단도달라져야합니다. 인프라를비슷한보안제어를도입하는영역으로세분화하는것이보안측면에서가장좋습니다. 대부분의 AWS 기본인프라는 AWS 운영및보안팀이관리하지만고객도자체오버레이인프라구성요소를구축할수있습니다. Amazon VPC, 서브넷, 라우팅테이블, 세분화 / 영역조정된애플리케이션과사용자리포지토리, DNS 및시간서버등의사용자지정서비스인스턴스는 AWS 관리형클라우드인프라를보완합니다. 52/74 페이지

58 일반적으로네트워크엔지니어링팀은세분화를일종의인프라설계구성요소로해석하고네트워크중심액세스제어와방화벽규칙을적용하여액세스를관리합니다. 액세스관리를위한방화벽규칙. 보안영역조정과네트워크세분화는별개의개념입니다. 하지만네트워크세그먼트는하나의네트워크를다른네트워크와격리하며여기에서는보안영역이일반제어와보안수준이비슷한시스템구성요소의그룹을만듭니다. AWS 에서는다음액세스제어방법을사용하여네트워크세그먼트를구축할수 있습니다. Amazon VPC 를사용하여각워크로드또는조직개체의격리된네트워크를정의하는방법. 보안그룹을사용하여기능과보안요구사항이비슷한인스턴스에대한액세스를관리하는방법. 보안그룹은허용및설정된모든 TCP 세션또는 UDP 통신채널에대해양쪽방향으로방화벽규칙을활성화하는상태저장방화벽입니다. IP 트래픽상태비저장관리를허용하는네트워크액세스제어목록 (NACL) 을사용하는방법. NACL은 TCP와 UDP 세션과는무관하지만 IP 프로토콜 ( 예 : GRE, IPSec ESP, ICMP) 을통해세분화된제어와 TCP 및 UDP의 IP 주소및포트에대한소스 / 대상단위제어를가능하게합니다. NACL은보안그룹과결합하여작동하고보안그룹에도달하기전에도트래픽을허용또는거부할수있습니다. 호스트기반방화벽을사용하여각인스턴스에대한액세스를제어하는방법. 트래픽흐름에위협방지계층을만들고모든트래픽이영역을통과하게 하는방법. 다른계층에액세스제어를적용하는방법 ( 예 : 애플리케이션및서비스 ). 기존환경은방화벽등의중앙보안적용시스템을통해트래픽을라우팅하려면별도의브로드캐스트개체를나타내는별도의네트워크세그먼트가필요합니다. AWS 클라우드의보안그룹개념으로인해이러한요구사항이폐기되었습니다. 보안그룹은인스턴스를논리적으로그룹화하는것이고이러한인스턴스가상주하는서브넷과관계없이이러한인스턴스에대한인바운드및아웃바운드트래픽규칙의적용도허용합니다. 53/74 페이지

59 보안영역을만들려면네트워크세그먼트당추가제어가필요한데여기에는흔히다음이포함됩니다. 공유액세스제어 중앙 Identity and Access Management(IDAM) 시스템. 연동이가능하더라도 IAM과구분되는경우가많습니다. 공유감사로깅 공유로깅은이벤트분석과상관관계및보안이벤트추적에필요합니다. 공유데이터분류 표 1: 샘플자산표자산을보호하기위한 ISMS 설계섹션을참조하십시오. 공유관리인프라 - 안티바이러스 / 스팸방지시스템, 패칭시스템, 성능모니터링시스템등다양한구성요소입니다. 공유보안 ( 기밀성 / 무결성 ) 요구사항 주로데이터분류와함께고려합니다. 네트워크세분화와보안영역조정요구사항을평가하기위해다음질문에 답변하십시오. 영역간통신을제어해야합니까? 네트워크세분화도구를사용하여보안영역 A와 B 사이의통신을관리할수있습니까? 일반적으로보안그룹, ACL 및네트워크방화벽등의액세스제어요소는보안영역간에벽을구축해야합니다. Amazon VPC는기본적으로영역간격리벽을구축합니다. 비즈니스요구사항에따라 IDS/IPS/DLP/SIEM/NBAD 시스템을사용하여영역간통신을모니터링할수있습니까? 액세스차단과액세스관리는다른개념입니다. 보안영역간의다공성통신을위해서는영역간에정교한보안모니터링도구가필요합니다. AWS 인스턴스의수평확장성으로인해운영체제수준에서각인스턴스의영역을조정하고호스트기반의보안모니터링에이전트를활용할수있습니다. 영역별액세스제어권한을적용할수있습니까? 영역조정의이점중하나는송신액세스를제어하는것입니다. Amazon S3 및 Amazon SMS 리소스정책등의리소스별로액세스를제어하는것은기술적으로가능합니다. 54/74 페이지

60 전용관리채널 / 역할을사용하여각영역을관리할수있습니까? 권한액세스에대한역할기반액세스제어는일반적인요구사항입니다. IAM으로 AWS에서그룹과역할을만들어여러권한수준을만들수있습니다. 애플리케이션및시스템사용자와동일한접근방식을모방할수도있습니다. Amazon VPC 기반네트워크의새로운핵심기능중하나는여러개의 ENI를지원하는것입니다. 보안엔지니어는이중홈인스턴스를사용하여관리오버레이네트워크를만들수있습니다. 영역별기밀성및무결성규칙을적용할수있습니까? 영역별암호화, 데이터분류및 DRM은전체보안태세를강화합니다. 보안영역별로보안요구사항이다르면데이터보안요구사항도달라야합니다. 그리고각보안영역에키교체에관한다른암호화옵션을사용하는것은늘올바른정책입니다. AWS는유연한보안영역조정옵션을제공합니다. 보안엔지니어와설계자는다음 AWS 기능을활용하여 Amazon VPC 액세스제어에따라 AWS에격리된보안영역 / 세그먼트를구축할수있습니다. 서브넷별액세스제어 보안그룹별액세스제어 인스턴스별액세스제어 ( 호스트기반 ) Amazon VPC별라우팅블록리소스별정책 (S3/SNS/SMS) 영역별 IAM 정책영역별로그관리영역별 IAM 사용자, 관리사용자영역별로그피드 영역별관리자채널 ( 역할, 인터페이스, 관리콘솔 ) 영역별 AMI 영역별데이터스토리지리소스 (Amazon S3 버킷또는 Glacier 아카이브 ) 영역별사용자디렉토리 영역별애플리케이션 / 애플리케이션제어 55/74 페이지

61 탄력적인클라우드인프라와자동화된배포를사용하면모든 AWS 리전에서 동일한보안제어를적용할수있습니다. 반복가능하고균일한배포로전반적인 보안태세를개선할수있습니다. 네트워크보안강화 공동책임모델에따라 AWS는데이터센터네트워크, 라우터, 스위치및방화벽등의인프라구성요소를안전하게구성합니다. 클라우드상의시스템에대한액세스를제어하고 Amazon VPC 내에서의네트워크보안및인바운드와아웃바운드네트워크트래픽을구성할책임은고객에게있습니다. 리소스액세스인증과권한부여적용은필수적이지만그렇게하더라도공격자들이네트워크수준액세스를획득하고권한이있는사용자를가장하려는시도를막을수없습니다. 사용자의네트워크위치에따라애플리케이션과서비스에대한액세스를제어하면추가적인보안계층이마련됩니다. 예를들어강력한사용자인증을사용하는웹기반애플리케이션역시소스트래픽을특정범위의 IP 주소로제한하는 IP 주소기반방화벽과보안노출을제한하고애플리케이션의잠재적인공격대상영역을최소화하는침입방지시스템에서이점을얻을수있습니다. 다음은 AWS 클라우드에서의네트워크보안모범사례입니다. 항상보안그룹을사용합니다. 즉, 하이퍼바이저수준에서 Amazon EC2 인스턴스에대한상태저장방화벽을제공합니다. 여러보안그룹을단일인스턴스와단일 ENI에적용할수있습니다. 네트워크 ACL의보안그룹강화 : 상태비저장이지만신속하고효율적인제어를제공합니다. 네트워크 ACL은인스턴스별이아니기때문에보안그룹외에추가제어계층을제공할수있습니다. ACL 관리및보안그룹관리에역할분리를적용할수있습니다. 다른사이트에신뢰할수있는연결을하려면 IPSec 또는 AWS Direct Connect를사용합니다. Amazon VPC 기반의리소스가원격네트워크연결을요구하는경우가상게이트웨이 (VGW) 를사용합니다. 전송중데이터를보호하여데이터의기밀성과무결성및통신당사자의자격증명을확인합니다. 56/74 페이지

62 대규모배포의경우네트워크보안을계층으로설계합니다. 단일네트워크보호계층을만들지않고외부, DMZ 및내부계층에네트워크보안을적용합니다. VPC 흐름로그는 VPC의네트워크인터페이스에서전송되고수신되는 IP 트래픽에대한정보를포착하도록해주므로가시성을높여줍니다. 상호작용하는 AWS 서비스엔드포인트중다수는기본방화벽기능또는액세스제어목록을제공하지않습니다. AWS는최신네트워크및애플리케이션수준제어시스템으로이러한엔드포인트를모니터링하고보호합니다. 요청의소스 IP 주소를기반으로 IAM 정책을사용하여리소스에대한액세스를제한할수있습니다. 주변시스템보호 : 사용자리포지토리, DNS, NTP 오버레이보안제어는보안인프라기반에서만효율적입니다. 이유형의좋은예가 DNS 쿼리트래픽입니다. DNS 시스템의보안을적절하게유지하지않으면 DNS 클라이언트트래픽을가로채고쿼리와응답의 DNS 이름이스푸핑될수있습니다. 스푸핑은기본제어가없는인프라에대한단순하면서도효율적인공격입니다. SSL/TLS는추가적인보호를제공할수있습니다. 일부 AWS 고객은보안 DNS 서비스인 Amazon Route 53을사용합니다. 내부 DNS가필요한경우 Amazon EC2 인스턴스에서사용자지정 DNS 솔루션을구현할수있습니다. DNS는솔루션인프라의필수적인부분이므로보안관리계획의중요한부분입니다. 모든 DNS 시스템과다른중요한사용자지정인프라구성요소가다음제어의적용대상이어야합니다. 57/74 페이지

63 일반제어별도의관리자수준액세스모니터링, 알림, 감사추적네트워크계층액세스제어보안패치가포함된최신의안정적인지속적보안테스트 ( 평가 ) 그외실시중인모든보안제어프로세스 설명역할분리와액세스제어를구현하여흔히애플리케이션액세스를위한액세스제어와는분리된그러한디바이스에대한액세스또는인프라의다른부분에대한액세스를제한합니다. 권한이있는활동과권한이없는활동을로깅및모니터링합니다. 네트워크액세스를필요한시스템으로제한합니다. 가능한경우모든네트워크수준의액세스시도에프로토콜을적용합니다 ( 즉, NTP 및 DNS에대한사용자지정 RFC 표준적용 ). 소프트웨어가패칭되어있고알려진취약성이나다른위험이없는지확인합니다. 인프라를반드시정기적으로테스트해야합니다. 주변시스템이정보보안관리시스템 (ISMS) 의모범사례와서비스별사용자지정보안제어를따르는지확인합니다. 표 21: 주변시스템제어 DNS 외에다른인프라서비스가특정제어를요구할수있습니다. 중앙집중식액세스제어는위험관리에필수적입니다. IAM 서비스는 AWS에역할기반자격증명및액세스관리를제공하지만 AWS는운영체제와애플리케이션에 Active Directory, LDAP 또는 RADIUS 등의최종사용자리포지토리를제공하지않습니다. 그대신 AAA( 인증, 권한부여및계정관리 ) 서버, 때때로독점적인데이터베이스테이블과함께사용자식별및인증시스템을설정합니다. 사용자플랫폼및애플리케이션의모든자격증명및액세스관리서버는보안에중요하고특별한관심이필요합니다. 시간서버도중요한사용자지정서비스입니다. 로그타임스탬프와인증서검증등많은보안관련트랜잭션에필수적입니다. 중앙집중식시간서버를사용하고모든시스템을동일한시간서버와동기화하는것이중요합니다. PCI DSS(Payment Card Industry Data Security Standard) 는시간동기화에대한좋은접근방식을제안합니다. 시간동기화기술을구현하고최신상태로유지하는지확인합니다. 58/74 페이지

64 조직내에서올바른시간을가져오고배포하고저장하기위한프로세스를확보하여검토하고시스템구성요소표본에서시간관련시스템파라미터설정을검토합니다. 지정된중앙시간서버만외부소스에서시간신호를수신하고외부소스에서오는시간신호가국제원자시 (IAT) 또는협정세계시 (UTC) 를기반으로하는지확인합니다. 지정된중앙시간서버가다른시간서버 ( 및기타내부서버 ) 와함께정확한시간을유지하고중앙시간서버에서만시간을수신하는지확인합니다. 시스템구성과시간동기화설정을검토하여시간데이터에대한액세스가업무와관련하여시간데이터에액세스할필요가있는담당자로제한되는지확인합니다. 시스템구성, 시간동기화설정및프로세스를검토하여중요한시스템의시간설정변경사항이기록, 모니터링및검토되는지확인합니다. 시간서버가업계에서인정을받는특정외부소스로부터시간업데이트를수락하는지확인합니다. ( 이렇게함으로써악의를가진개인이시계를바꿀수없습니다 ). 대칭키로암호화된이러한업데이트를수신할수있고업데이트될클라이언트머신의 IP 주소를지정하는액세스제어목록을만들수있습니다. ( 이를통해내부시간서버를권한없이사용할수없도록합니다.) 사용자지정인프라의보안검증은클라우드상의보안을관리하는일에서 필수적인부분입니다. 위협방지계층구축 많은수의조직이계층화된보안을네트워크인프라보호의가장좋은방법으로보고있습니다. 클라우드에서 Amazon VPC, 하이퍼바이저계층의암시적방화벽규칙과함께네트워크액세스제어목록, 보안그룹, 호스트기반방화벽, IDS/IPS 시스템의조합을사용하여네트워크보안을위한계층화된솔루션을마련할수있습니다. 보안그룹, NACL, 호스트기반방화벽이많은고객의요구에부응할수있지만심층적인방어가필요한경우에는네트워크수준의보안제어어플라이언스를배포할수있고트래픽을애플리케이션서버등최종대상에전달하기전에가로채분석하는인라인에서배포해야합니다. 59/74 페이지

65 그림 6: 클라우드상의계층화된네트워크방어 인라인위협방지기술의예는다음과같습니다. Amazon EC2 인스턴스에설치된타사방화벽디바이스 ( 소프트블레이드라고도함 ) 통합위협관리 (UTM) 게이트웨이침입방지시스템데이터손실관리게이트웨이이상탐지게이트웨이어드밴스지속위협탐지게이트웨이 Amazon VPC 인프라의다음핵심기능은위협방지계층기술배포를 지원합니다. 60/74 페이지