목차 책임공유환경... 6 AWS 인프라보안... 6 AWS 규정준수프로그램... 6 물리적및환경적보안... 7 화재감지및진압... 7 전력... 7 기후및온도... 7 관리... 7 스토리지디바이스폐기... 8 비즈니스연속성관리... 8 가용성... 8 인시던트대응.
|
|
- 광업 구
- 6 years ago
- Views:
Transcription
1 Amazon Web Services: 보안프로세스의개요 2013 년 11 월 ( 본문서의최신버전을보려면다음을참조하십시오.
2 목차 책임공유환경... 6 AWS 인프라보안... 6 AWS 규정준수프로그램... 6 물리적및환경적보안... 7 화재감지및진압... 7 전력... 7 기후및온도... 7 관리... 7 스토리지디바이스폐기... 8 비즈니스연속성관리... 8 가용성... 8 인시던트대응... 8 전사적경영진의검토... 8 통신... 8 네트워크보안... 9 보안네트워크아키텍처... 9 보안액세스포인트... 9 전송보호... 9 Amazon 사내분리 내결함성설계 네트워크모니터링및보안 AWS 액세스 계정검토및감사... 13
3 배경조회 자격증명정책 보안설계의원칙 변경관리 소프트웨어 인프라 AWS 계정보안기능 AWS Identity and Access Management(AWS IAM) 임시보안자격증명 역할 AWS Multi-Factor Authentication(AWS MFA) 키관리및교체 AWS Trusted Advisor 보안검사 AWS 서비스별보안 Amazon Elastic Compute Cloud(Amazon EC2) 보안 여러단계의보안기법 하이퍼바이저 인스턴스격리 Elastic Block Storage(Amazon EBS) 보안 Amazon Elastic Load Balancing 보안 Auto Scaling 보안 Amazon Virtual Private Cloud(Amazon VPC) 보안 EC2-VPC 를통한추가네트워크액세스제어 Amazon Direct Connect 보안 Amazon Simple Storage Service(Amazon S3) 보안... 28
4 데이터액세스 데이터전송 데이터저장 데이터내구성및신뢰성 액세스로그 CORS(Cross-Origin Resource Sharing) AWS Glacier 보안 데이터업로드 데이터검색 데이터저장 데이터액세스 AWS Storage Gateway 보안 AWS Import/Export 보안 AWS Data Pipeline Amazon Simple Database(SimpleDB) 보안 Amazon DynamoDB 보안 Amazon Relational Database Service(Amazon RDS) 보안 액세스제어 네트워크격리 암호화 자동백업및 DB 스냅샷 복제 자동소프트웨어패치 이벤트알림 Amazon RedShift 보안... 39
5 클러스터액세스 데이터백업 데이터암호화 자동소프트웨어패치 SSL 연결 Amazon ElastiCache 보안 Amazon Simple Queue Service(Amazon SQS) 보안 Amazon Simple Notification Service(Amazon SNS) 보안 Amazon Simple Workflow Service(Amazon SWF) 보안 Amazon Simple Service(Amazon SES) 보안 Amazon Elastic Transcoder 서비스보안 Amazon CloudWatch 보안 Amazon CloudFront 보안 Amazon Elastic MapReduce(Amazon EMR) 보안 Amazon Route 53 보안 Amazon CloudSearch 보안 AWS Elastic Beanstalk 보안 AWS CloudFormation 보안 AWS OpsWorks 보안 AWS CloudHSM 보안 부록 용어... 54
6 Amazon Web Services(AWS) 는높은가용성과신뢰성을갖춘확장가능한클라우드컴퓨팅플랫폼을제공하며, 이를통해고객들이다양한애플리케이션을구축할수있도록유연성을제공합니다. AWS 는고객의시스템과데이터의기밀성, 무결성및가용성을지키고고객의믿음과신뢰를유지하는것을최우선으로생각합니다. 본문서는 "AWS 가내데이터를보호하는데어떠한도움을줄수있는가?" 라는질문에답변을제시할목적으로마련되었습니다. 특히 AWS 의물리적운영보안프로세스는 AWS 에서관리하는네트워크및서버인프라뿐아니라서비스별보안구현에대해서도설명되어있습니다. 책임공유환경 IT 인프라를 AWS 로이전할경우고객과 AWS 간에책임공유모델이만들어집니다. 이공유모델을통해고객은운영부담을덜수있습니다. AWS 가호스트운영체제및가상화계층에서서비스운영시설의물리적보안에이르기까지구성요소를운영, 관리, 제어하기때문입니다. 고객은게스트운영체제 ( 업데이트및보안패치포함 ) 및기타관련애플리케이션소프트웨어에대한책임과관리, AWS 가제공하는보안그룹방화벽의구성을담당합니다. 사용하는서비스, 서비스를 IT 환경에통합하는과정및준거법과규제에따라책임범위가다르기때문에고객은선택하고자하는서비스를신중하게고려해야합니다. 호스트기반방화벽, 호스트기반침입탐지 / 방지, 암호화등의기술을활용하여보안을향상하거나더욱엄격한규정준수요구사항을충족할수있습니다. AWS 인프라보안 AWS 는고객이처리및스토리지와같은다양한기본적컴퓨팅리소스를프로비저닝하는데사용하는클라우드인프라를운영합니다. AWS 인프라에는시설, 네트워크및하드웨어, 그리고이러한리소스의프로비저닝및사용을지원하는일부운영소프트웨어 ( 예 : 호스트 OS, 가상화소프트웨어등 ) 가포함됩니다. AWS 인프라는다양한보안규정준수표준과보안모범사례에따라설계및관리됩니다. AWS 고객은세계에서보안성이가장뛰어난컴퓨팅인프라를기반으로웹아키텍처를구축하고있는것이므로안심할수있습니다. AWS 규정준수프로그램 AWS 규정준수프로그램은고객이강력한보안을이해할수있도록지원한뒤보안및데이터보호에대한업계와정부의요구사항에맞춰규정준수를능률화할수있도록돕습니다. AWS 가고객에게제공하는 IT 인프라는다음과같은다양한 IT 보안표준과보안모범사례에맞게설계및관리됩니다. SOC 1/SSAE 16/ISAE 3402( 이전명칭 SAS 70 Type II) SOC 2 SOC 3 FISMA, DIACAP 및 FedRAMP PCI DSS 레벨 1 ISO ITAR FIPS 140-2
7 또한고객은 AWS 플랫폼이제공하는유연성및제어기능으로특정산업표준에부합하는솔루션을배포할수있는데이러한산업표준은다음과같습니다. HIPAA Cloud Security Alliance(CSA) Motion Picture Association of America(MPAA) AWS 는백서, 보고서, 자격증, 승인및기타타사증명을통해, IT 제어환경에관한광범위한정보를고객에게제공합니다. 자세한정보는웹사이트 ( 에서제공되는위험및규정준수백서를참조하십시오. 물리적및환경적보안 AWS 의데이터센터는혁신적인아키텍처및엔지니어링접근방식을활용하는최첨단센터입니다. Amazon 은대규모데이터센터를설계, 구축및운영하는데있어유구한경험을자랑합니다. AWS 플랫폼과인프라에적용하였습니다. AWS 데이터센터는평범해보이는건물에구축되어있습니다. 건물주위와입구지점에서비디오감시, 침입탐지시스템및기타전자수단을활용하여전문보안직원에의해이들건물에대한물리적인접근을엄격하게통제하고있습니다. 허가받은직원이데이터센터에접근하려면 2 가지요소를이용한신원확인과정을최소두번통과해야합니다. 모든방문자및계약자는신분증을제시해야하며, 통과한후에는허가받은직원의지속적인안내를받습니다. AWS 는합법적인업무목적으로이러한권한이필요한계약업체와직원에게만데이터센터접근권한및정보를제공합니다. 직원에게사업상이러한권한이더이상필요없게되면, 접근권한은즉시해지됩니다. 이는해당직원이 Amazon 또는 Amazon Web Services 의직원신분을유지해도마찬가지입니다. AWS 직원의데이터센터에대한물리적인접근은모두기록되며정기적으로감사를받습니다. 화재감지및진압 위험을줄이기위해자동화재감지및소화장비가설치되었습니다. 화재감지시스템은모든데이터센터환경, 기계및전기장비실, 냉각실및발전기장비실에서연기감지센서를활용합니다. 이구역은습식파이프, 이중연동준비작동식시스템또는기체스프링클러시스템으로보호됩니다. 전력 데이터센터전력시스템은전이중방식으로설계및유지관리되도록설계되어운영에전혀영향을미치지않고 365 일항시사용가능합니다. 무정전전원공급장치 (UPS) 는시설의중요하고필수적인부하에전력공급장애가발생할경우에대비해백업전력을제공합니다. 데이터센터는발전기를사용하여전체시설에백업전력을제공합니다. 기후및온도 기후제어는서버및기타하드웨어의운영온도를일정하게유지하는데필요하며, 이는과열을방지하고서비스중단가능성을줄입니다. 데이터센터는최상의대기상태조건을유지하도록되어있습니다. 인력및시스템은적절한수준의온도와습도를모니터링및제어합니다. 관리 AWS 는전기, 기계및수명지원시스템과장비를모니터링하여어떤문제든지즉시파악할수있습니다. 예방적유지관리는장비의지속적인운영상태를유지하기위해수행됩니다.
8 스토리지디바이스폐기 스토리지디바이스의수명이다했을경우권한이없는개인에게고객데이터가노출되는것을방지하기위해고안된폐기프로세스가 AWS 내에마련되어있습니다. AWS 는 DoD M(" 국가산업보안프로그램운영매뉴얼 ") 또는 NIST (" 미디어삭제가이드라인 ") 에서설명하는기술을사용해폐기프로세스에따라데이터를제거합니다. 모든폐기된마그네틱스토리지디바이스는업계표준관행에따라서자기소거되고물리적으로파쇄됩니다. 비즈니스연속성관리 Amazon 의인프라는높은수준의가용성을제공하며, 고객에게탄력적인 IT 아키텍처를구현할수있는기능을제공합니다. AWS 는시스템또는하드웨어장애가고객에게미치는영향을최소화하도록시스템을설계했습니다. AWS 에서의데이터센터비즈니스연속성관리는 Amazon 인프라그룹의내부지침을준수하고있습니다. 가용성 데이터센터는전세계여러리전에클러스터형태로구축됩니다. 모든데이터센터는온라인으로고객에게서비스를제공하며, 어떤데이터센터도 " 정지 (cold)" 되지않습니다. 장애시자동화된프로세스는고객데이터트래픽을장애지역에서먼곳으로이동합니다. 핵심애플리케이션이 N+1 구성으로구현되어, 데이터센터장애가발생할경우에도나머지사이트로트래픽을균형있게분산시킬수있는충분한용량을갖추고있습니다. AWS 는각리전내의여러가용영역뿐아니라여러지리적리전내에인스턴스를배치하고데이터를저장하는유연성을고객에게제공합니다. 각가용영역은독립된장애영역으로설계되었습니다. 즉가용영역은일반적인대도시지역내에물리적으로고립되어있으며홍수위험성이낮은지대에위치합니다 ( 자세한홍수지대분류는리전에따라차이가있음 ). 또한, 무정전전원공급장치 (UPS) 와현장백업발전시설을분리하여독립적인유틸리티의서로다른그리드를통해전력을공급받음으로써단일장애점 (Single-point-of-Failure) 을더욱줄여줍니다. 가용영역은여러티어 1 전송서비스제공자에게모두중복으로연결됩니다. 고객은다수의리전및가용영역의이점을활용하여 AWS 아키텍처를구축해야합니다. 여러개의가용영역에애플리케이션을분산함으로써자연재해나시스템장애등대부분의장애모드에직면한경우에도시스템을유지할수있게합니다. 인시던트대응 Amazon 사고관리팀은비즈니스에영향을미치는이벤트발생시해결책을모색하기위해업계표준의진단절차를사용합니다. 관리직원은상시사고를감지하고이들이미치는영향과해결방안을관리합니다. 전사적경영진의검토 Amazon 의내부감사그룹에서는최근 AWS 서비스복구계획을검토한바있습니다. 이계획은고위경영팀의구성원및이사회감사위원회에서도정기적으로검토하고있습니다. 통신 AWS 는다양한내부커뮤니케이션방법을전사적으로구현하여직원들이자신의역할과책임을이해하고중요한사안을적시에의논할수있도록돕습니다. 이방법에는신입사원을위한오리엔테이션및교육프로그램, 사업성과및기타사항을알리기위한정기적인임원회의, 전자수단 ( 화상회의, 이메일메시지및 Amazon 인트라넷에정보게시등 ) 도포함됩니다.
9 AWS 는또한서비스를사용하는고객층과커뮤니티를지원하기위해다양한외부통신방법을제공합니다. 고객지원팀이고객의경험에영향을미치는운영문제를전달받을수있도록방법이마련되어있습니다. 고객지원팀에서제공및관리하는 " 서비스상태대시보드 " 는고객에게광범위하게영향을미칠수있는모든문제를알려줍니다. " 보안및규정준수센터 " 를제공하여고객이 AWS 에관한보안및규정준수세부정보를단일위치에서제공받을수있습니다. 또한고객은 AWS Support 서비스에가입하여고객지원팀에직접문의하거나고객에게영향을미치는모든문제를사전에통보받을수있습니다. 네트워크보안 AWS 네트워크는고객이자신의워크로드에적합한수준의보안과복원성을선택할수있도록구축되었습니다. 클라우드리소스와함께지리적으로분산되고내결함성이있는아키텍처를구성하기위해 AWS 는신중한모니터링과관리를거치는세계최고의네트워크인프라를구현했습니다. 보안네트워크아키텍처 방화벽및기타경계장치를포함한네트워크디바이스가네트워크의외부경계및주요내부경계에서통신을모니터링하고제어합니다. 이러한경계디바이스는규칙세트, ACL( 액세스제어목록 ) 및구성을사용하여특정정보시스템서비스에대한정보흐름을적용합니다. 각관리형인터페이스에대해트래픽흐름을관리및적용하는 ACL, 즉트래픽흐름정책이수립됩니다. ACL 정책은 Amazon Information Security 에서승인합니다. 이들정책은 AWS 의 ACL 관리도구를사용하여자동으로푸시되므로이러한관리형인터페이스가가장최신의 ACL 을적용할수있습니다. 보안액세스포인트 AWS 는인바운드 / 아웃바운드통신및네트워크트래픽을보다포괄적으로모니터링하기위해클라우드에대한제한된수의액세스포인트를전략적으로배치하고있습니다. API 엔드포인트라고부르는이러한고객액세스포인트는고객이 AWS 내에서스토리지와보안통신세션을구축하고인스턴스를컴퓨팅할수있는보안 HTTP 액세스 (HTTPS) 를허용합니다. 고객이 FIPS 요건을충족할수있도록 AWS GovCloud(US) 의 Amazon Virtual Private Cloud VPN 엔드포인트와 SSL-terminating 로드밸런서는 FIPS Level 2 검증하드웨어를이용하여작동합니다. 또한 AWS 는인터넷서비스공급자 (ISP) 와의인터페이스통신을관리하는전용으로사용되는네트워크디바이스를구현했습니다. AWS 는 AWS 네트워크의각인터넷경계엣지에서복수의통신서비스에대한중복연결을사용합니다. 각연결에는전용네트워크디바이스가있습니다. 전송보호 고객은염탐, 훼손및메시지위조를방지하도록설계된암호화프로토콜인 Secure Sockets Layer(SSL) 를사용하는 HTTP 또는 HTTPS 를통해 AWS 액세스포인트에연결할수있습니다. 네트워크보안의추가계층을필요로하는고객을위해 AWS 는 AWS 클라우드내에서프라이빗서브넷을제공하고, Amazon Virtual Private Cloud(VPC) 와데이터센터간에암호화된터널을제공하기위해 IPsec VPN( 가상프라이빗네트워크 ) 디바이스를사용할수있는방법을제시합니다. VPC 구성옵션에대한자세한정보는아래의 Amazon Virtual Private Cloud(VPC) 보안섹션을참조하십시오.
10 Amazon 사내분리 논리적으로, AWS 프로덕션네트워크는일련의복잡한네트워크보안 / 분리디바이스를통해 Amazon 사내네트워크와분리되어있습니다. 관리목적으로 AWS 클라우드구성요소에액세스해야하는 AWS 사내네트워크개발자및관리자는 AWS 티켓시스템을통해명시적으로액세스권한을요청해야합니다. 모든요청은해당서비스소유자의검토와승인을거칩니다. 그러면승인된 AWS 직원이네트워크디바이스및기타클라우드구성요소에대한액세스를제한하고보안리뷰를위해모든활동을로깅하는배스천호스트를통해 AWS 네트워크에연결하고모든작업이보안합니다. 배스천호스트에액세스하려면호스트의모든사용자계정에대해 SSH 퍼블릭키인증이필요합니다. AWS 개발자및관리자논리적액세스에대한자세한정보는아래의 AWS 액세스를참조하십시오. 내결함성설계 Amazon 의인프라는높은수준의가용성을제공하며, 고객에게탄력적인 IT 아키텍처를구현할수있는역량을제공합니다. AWS 는시스템또는하드웨어장애가고객에게미치는영향을최소화하도록시스템을설계했습니다. 데이터센터는전세계여러리전에클러스터형태로구축됩니다. 모든데이터센터는온라인으로고객에게서비스를제공하며, 어떤데이터센터도 " 정지 (cold)" 되지않습니다. 장애시자동화된프로세스는고객데이터트래픽을장애지역에서먼곳으로이동합니다. 핵심애플리케이션이 N+1 구성으로구현되어, 데이터센터장애가발생할경우에도나머지사이트로트래픽을균형있게분산시킬수있는충분한용량을갖추고있습니다. AWS 는각리전내의여러가용영역뿐아니라여러지리적리전내에인스턴스를배치하고데이터를저장하는유연성을고객에게제공합니다. 각가용영역은독립된장애영역으로설계되었습니다. 즉가용영역은일반적인대도시지역내에물리적으로고립되어있으며홍수위험성이낮은지대에위치합니다 ( 자세한홍수지대분류는리전에따라차이가있음 ). 또한, 무정전전원공급장치 (UPS) 와현장백업발전기를사용하여독립적인유틸리티의서로다른그리드를통해전력을공급받음으로써단일장애점 (Single-point-of-Failure) 을더욱줄여줍니다. 가용영역은여러티어 1 전송서비스제공자에게모두중복으로연결됩니다. 고객은다수의리전및가용영역의이점을활용하여 AWS 아키텍처를구축해야합니다. 여러개의가용영역에애플리케이션을분산함으로써자연재해나시스템장애등대부분의장애시나리오에직면한경우에도시스템을유지할수있게합니다. 단, EU 데이터개인정보보호지침과같은위치별개인정보보호및규정준수요건을주의해야합니다. 데이터는사용자가원하지않는한리전간에는복제되지않습니다. 따라서이러한유형의데이터배치및개인정보보호요구조건을갖춘고객은규제요건에부합하는환경을마련할수있는것입니다. 리전간통신은모두퍼블릭인터넷인프라를통해이루어집니다. 따라서중요한데이터를보호하기위해적절한암호화방법을사용해야합니다. 이문서의작성일현재, 미국동부 ( 버지니아북부 ), 미국서부 ( 오레곤 ), 미국서부 ( 캘리포니아북부 ), AWS GovCloud( 오레곤 ), EU( 아일랜드 ), 아시아태평양 ( 싱가포르 ), 아시아태평양 ( 도쿄 ), 아시아태평양 ( 시드니 ), 남아메리카 ( 상파울루 ) 의 9 개리전이있습니다.
11 그림 1: 리전및가용영역 가용영역수는변경될수있습니다. AWS GovCloud( 미국 ) 는미국정부또는미국정부기능 / 서비스와직간접적으로연결되는미국기업으로제한된 AWS 의정부커뮤니티클라우드입니다. AWS GovCloud( 미국 ) 리전은미국정부의 ITAR 규정을충족하는정부및상용워크로드를위한전용 CONUS 기반리전을제공합니다. GovCloud 리전을사용하는 AWS 고객은미국국적의 AWS 직원만그구성요소를관리하므로안심할수있습니다. GovCloud 는 ITAR 만을위한것이아닙니다. 이리전은미국수출통제제한이적용되는상용 IT 시스템을포함하여모든 CUI(Controlled Unclassified Information) 워크로드를지원합니다. CUI 범주에는농업, 저작권, 중요인프라, 수출통제 (ITAR), 재무, 이민, 인텔리전스, 법집행, 법률, 핵, 특허, 개인정보보호, 전매 (IP), 통계, 세금및운송이포함됩니다 (EO 에따름, 참조 ). GovCloud 리전은다른리전과동일하게 2 개가용영역을포함하는내결함성설계를제공하며 FIPS 준수액세스포인트를제공합니다. 또한모든 GovCloud 계정은기본적으로 AWS Virtual Private Cloud(VPC) 서비스를사용하여 AWS 클라우드의격리된부분을생성하고프라이빗 (RFC 1918) 주소를갖는 Amazon EC2 인스턴스를시작합니다. GovCloud 에대한자세한정보는 AWS 웹사이트 ( 를참조하십시오. 네트워크모니터링및보안 AWS 는높은수준의서비스성능및가용성을제공하기위해여러가지자동화된모니터링시스템을활용합니다. AWS 모니터링도구는인바운드및아웃바운드통신지점에서비정상적이거나승인되지않은활동및조건을감지하도록설계되어있습니다. 이러한도구는서버및네트워크사용, 포트스캐닝활동, 애플리케이션사용및승인되지않은침입시도를모니터링합니다. 도구에는비정상적활동에대해사용자지정성능지표임계값을설정하는기능이있습니다.
12 AWS 내시스템은주요운영측정치를모니터링하기위해광범위하게활용됩니다. 주요운영측정치가초기경고임계값을초과하는경우운영담당자에게자동으로통보하도록경보가구성되어있습니다. 담당자가항상운영문제에대응할수있도록대기일정을구성합니다. 무선호출시스템을통해경보가신속하고안정적으로운영담당자에게전달되도록합니다. 인시던트또는문제를처리하는운영담당자에게도움이되는정보를제공할수있도록설명서를유지관리합니다. 문제해결에협업이필요할경우, 커뮤니케이션및로깅기능을지원하는회의시스템이사용됩니다. 협업을필요로하는운영문제를처리하는동안숙련된회의진행자가커뮤니케이션및진행을용이하게합니다. 사후평가는외부영향에관계없이모든중요운영문제해결후수행하며, 근본원인을파악하고차후예방조치를취할수있도록오류원인 (COE) 분석문서의초안을작성합니다. 주간운영회의에서예방조치의진행현황을검토합니다. AWS 보안모니터링도구는분산, 폭주및소프트웨어 / 논리적공격을포함한다양한유형의서비스거부 (DoS) 공격에대한탐지를도와줍니다. DoS 공격이식별되면 AWS 사고대응프로세스가개시됩니다. DoS 방지도구이외에, 각리전의중복통신사업자와추가용량이 DoS 공격가능성으로부터보호합니다. AWS 네트워크는기존의네트워크보안문제와관련하여중요한보호방법을제공합니다. 고객은추가보호방법을실행할수도있습니다. 다음은몇가지예입니다. DDoS( 분산서비스거부 ) 공격. AWS API 엔드포인트는엔지니어링분야전문지식을바탕으로 Amazon 을세계최대의온라인소매업체로발전시킨세계적인수준의인터넷기반대규모인프라에서호스팅합니다. 독점적인 DDoS 완화기법이사용됩니다. 또한, AWS 의네트워크는다양한인터넷접근방법을제공하기위해여러공급자들을통해멀티홈방식으로제공됩니다. MITM( 중간자 ) 공격. 모든 AWS API 는 SSL 을보호하는 endpoint 를통해서버인증을제공합니다. Amazon EC2 AMI 는최초부팅시새 SSH 호스트인증서를자동으로생성하고해당인스턴스관련콘솔에기록합니다. 그러면고객은보안 API 를사용하여이콘솔을호출하고호스트인증서에액세스한다음최초로이인스턴스에로그인할수있습니다. AWS 와의모든상호작용에서 SSL 을사용할것을권장합니다. IP 스푸핑. Amazon EC2 인스턴스는스푸핑된네트워크트래픽을전송할수없습니다. AWS 가제어하는호스트기반의방화벽인프라는인스턴스자체의원본 IP 또는 MAC 주소를사용하지않는경우트래픽전송을허용하지않습니다. 포트스캐닝. Amazon EC2 고객의무단포트스캔은 AWS 이용방침을위반하는것입니다. AWS 이용방침위반은심각한사안이며모든위반사안보고에대해조사하도록되어있습니다. 고객은 Amazon 웹사이트 ( 에제공되는연락처를통해의심되는침해사례를신고할수있습니다. AWS 에서무단포트스캐닝을탐지하는경우스캐닝이중단및차단됩니다. 일반적으로 Amazon EC2 인스턴스의포트스캔은효과가없습니다. 기본적으로 Amazon EC2 인스턴스의모든인바운드포트는폐쇄되어있고고객에게만액세스가허용되기때문입니다. 고객은보안그룹을엄격하게관리하여포트스캔의위협을더욱완화할수있습니다. 고객이어떠한소스에서특정포트로트래픽을허용하도록보안그룹을구성하는경우해당특정포트는포트스캔에취약해집니다. 이러한경우고객은자신의애플리케이션에꼭필요할수있는청취서비스가무단포트스캔에의해발견되지않도록보호하기위해적절한보안조치를사용해야합니다. 예를들어, 웹서버는명확하게포트 80(HTTP) 을개방해야합니다. 이서버의관리자는 Apache 와같은 HTTP 서버소프트웨어의보안을책임집니다. 고객은특정규정준수요구사항을충족하기위해필요에따라취약성을스캔할수있는권한을요청할수있습니다. 이러한스캔은고객의자체인스턴스로제한되어야하며 AWS 의이용정책을위반하지않아야합니다. 이러한유형의스캔에대한고급승인은요청서를웹사이트 ( 를통해제출함으로써시작할수있습니다.
13 다른테넌트에의한패킷스니핑. 무차별모드에서실행되는가상인스턴스가다른가상인스턴스를위한트래픽을수신하거나 " 스니프 " 하는것은불가능합니다. 고객은인터페이스를무차별모드로운영할수는있지만하이퍼바이저는고객에게보내는트래픽이아닌경우고객에게전달하지않습니다. 같은물리적호스트에있으며소유자가같은두가상인스턴스는서로상대방의트래픽을수신할수없습니다. ARP 캐시중독과같은공격은 Amazon EC2 및 Amazon VPC 내에서작동하지않습니다. Amazon EC2 는실수로또는악의적으로다른사람의데이터를볼수없도록충분히보호하지만표준관행에따라민감한트래픽을암호화해야합니다. 모니터링뿐아니라다양한도구를사용하여 AWS 환경의호스트운영체제, 웹애플리케이션, 데이터베이스에대해정기적으로취약성검사를수행합니다. 또한 AWS 보안팀은관련공급업체결함에대한뉴스피드를구독하고새로운패치를확인하기위해공급업체의웹사이트및타관련매체를사전에모니터링합니다. AWS 고객은 AWS 취약성보고웹사이트 ( 를통해 AWS 에문제를보고할수도있습니다. AWS 액세스 AWS 프로덕션네트워크는 Amazon 사내네트워크와분리되어있으며, 논리적액세스를위해서는별도의자격증명세트가필요합니다. Amazon 사내네트워크는사용자 ID, 암호및 Kerberos 를사용하여, AWS 프로덕션네트워크는배스천호스트를통한 SSH 퍼블릭키인증을요구합니다. AWS 클라우드구성요소에액세스해야하는 Amazon 사내네트워크의 AWS 개발자와관리자는 AWS 액세스관리시스템을통해명시적으로액세스권한을요청해야합니다. 모든요청은해당소유자또는관리자의검토와승인을거칩니다. 계정검토및감사 계정은 90 일마다검토되고명시적으로다시승인되어야합니다. 그러지않으면리소스에대한액세스권한이자동으로취소됩니다. 직원의기록이 Amazon 의인사관리시스템에서제거되는경우에도액세스권한이자동으로취소됩니다. Windows 및 UNIX 계정이비활성화되고 Amazon 의권한관리시스템에서해당사용자를모든시스템에서삭제합니다. 액세스권한변경이요청되면 Amazon 권한관리도구감사로그에캡처됩니다. 직원의직무가변경된경우, 리소스에계속액세스하려면명시적으로승인받아야하며, 그러지않으면액세스권한이자동취소됩니다. 배경조회 AWS 는 AWS 플랫폼및인프라호스트에대한논리적인액세스의최소표준을제시하기위해공식적인정책및절차를수립했습니다. AWS 는직원에대한채용전심사과정의일환으로직원의직급과액세스수준에비례해법적으로허용되는전과기록확인을실시합니다. 또한이정책은논리적인액세스및보안관리에대한기능적인책임도명시합니다. 자격증명정책 AWS 보안은필수설정및만료간격을포함하는자격증명정책을수립했습니다. 암호는복잡해야하고 90 일에한번씩반드시변경해야합니다.
14 보안설계의원칙 AWS 의개발프로세스는 AWS 보안팀의공식적인설계검토, 위협모델링및일체의리스크평가등최선의보안소프트웨어개발모범사례를따릅니다. 표준구축프로세스의일환으로정적코드분석도구를사용하며, 구현된모든소프트웨어는엄선된업계전문가의반복침투테스트를거칩니다. 보안상의리스크평가검토가설계단계에서시작되어서비스시작에서운영기간에이르기까지지속적으로이루어집니다. 변경관리 기존 AWS 인프라에대한정기적, 긴급및구성변경은유사한시스템에대한업계표준에따라허가, 기록, 테스트, 승인, 문서화과정을거칩니다. AWS 의인프라업데이트는고객및고객의서비스사용에미치는영향을최소화하는방식으로이루어집니다. AWS 는서비스이용에피해가예상될때, AWS 서비스상태대시보드 ( 또는이메일을통해고객에게이를전달합니다. 소프트웨어 AWS 는변경관리에체계적인접근방법을적용하므로고객에게영향을미치는서비스변경사항은철저한검토, 테스트, 승인을거쳐효과적으로전달됩니다. AWS 의변경관리프로세스는고객서비스의무결성을유지하고갑작스런서비스중단을방지하도록설계되었습니다. 생산환경에적용되는변경사항은아래와같습니다. 검토 : 변경의기술적측면에대해동료가검토함검토됨 : 변경사항의기술적부분에대한피어검토가요구됩니다. 테스트됨 : 적용중인변경사항이예상대로작동하고성능을떨어뜨리지않는지확인하기위해테스트를거칩니다. 승인됨 : 모든변경사항은비즈니스영향에대한적절한감독과이해를위해반드시허가를받아야합니다. 변경사항은일반적으로영향력이가장낮은영역부터시작하여생산단계에이르기까지단계별로적용됩니다. 배포된사항은단일시스템에서테스트하고면밀하게모니터링하여영향력을평가할수있습니다. 서비스소유자는서비스의업스트림연관항목의건전성여부를측정하기위해여러개의설정가능한메트릭을갖추고있습니다. 이메트릭을임계치와경보로자세히모니터링합니다. 롤백절차는변경관리 (CM) 티켓에설명되어있습니다. 가능한경우, 일상적인변경기간동안변경일정을수립합니다. 표준변경관리절차와구별되는운영시스템에대한긴급변경사항은인시던트와연관되며적절한기록과승인이필요합니다. AWS 는핵심서비스변경사항을주기적으로자체감사하여품질모니터링, 높은수준의표준유지및변경관리프로세스의지속적인향상을도모합니다. 근본원인을파악하기위해모든예외사항을분석하며, 변경내용이표준을준수하도록하거나필요한경우변경내용을롤백하도록적절한조치를취합니다. 그런다음프로세스및사용자관련문제를해결및개선하기위한조치를취합니다.
15 인프라 Amazon 의기업애플리케이션팀은타사개발소프트웨어공급분야의 UNIX/Linux 호스트및내부적으로개발된소프트웨어와구성관리분야에서 IT 프로세스를자동화하기위한소프트웨어를개발, 관리합니다. 인프라팀은하드웨어확장성, 가용성, 감사및보안관리작업을처리하기위한 UNIX/Linux 구성관리프레임워크를관리및운영합니다. 변경사항을관리하는자동화된프로세스를사용해호스트를중앙에서관리함으로써 Amazon 은높은가용성, 반복성, 확장성, 보안성및재해복구목표를달성할수있습니다. 시스템및네트워크엔지니어는지속적으로이러한자동화된도구상태를모니터링하며, 구성정보및소프트웨어를확보하거나업데이트하지못한호스트에대해보고사항을검토합니다. 새로운하드웨어가지원되면내부적으로개발된구성관리소프트웨어가설치됩니다. 이러한도구가구성되었는지그리고호스트에할당된역할에따라결정된기준을준수하여소프트웨어가설치되었는지확인하기위해모든 UNIX 호스트에서이를실행합니다. 이구성관리소프트웨어는또한호스트에이미설치된패키지를정기적으로업데이트하는데도움이됩니다. 승인서비스를통해허가받은직원들만중앙구성관리서버에로그인할수있습니다. AWS 계정보안기능 AWS 는고객이자신의신원을확인하고안전하게자신의 AWS 계정에액세스할수있는여러가지방법을제공합니다. AWS 에서지원하는자격증명의전체목록은나의계정의보안자격증명페이지에서찾을수있습니다. 또한 AWS 는 AWS Identity and Access Management(IAM), 키관리및교체, 임시보안자격증명, Multi- Factor Authentication(MFA) 과같이 AWS 계정을추가로보호하고액세스를제어할수있는보안옵션을추가로제공합니다. AWS Identity and Access Management(AWS IAM) AWS IAM 을사용하면 AWS 계정내에서여러사용자를생성하고, 이러한사용자각각의권한을관리할수있습니다. 사용자란 AWS 서비스에액세스하는데사용할수있는고유한보안자격증명을포함하는일종의 AWS 계정 ID 입니다. AWS IAM 을사용하면암호나액세스키를공유할필요가없으며상황에따라사용자의액세스권한을쉽게활성화하거나비활성화할수있습니다. AWS IAM 을사용하면보안모범사례를구현할수있습니다. 예를들어, 고객의 AWS 계정내에있는모든사용자에게고유의자격증명을부여하여사용자에게작업을수행하는데필요한 AWS 서비스및리소스에대한액세스권한만주는것입니다. AWS IAM 에는보안이기본값으로설정되어있습니다. 신규사용자는구체적으로권한이부여되기전까지 AWS 에접근할수없습니다. AWS IAM 은 AWS Marketplace 와도통합되어, 고객의조직내에서누가 Marketplace 에서제공하는소프트웨어및서비스를구독할수있는지제어할수있습니다. Marketplace 에서특정소프트웨어를구독하면 EC2 인스턴스가시작하여해당소프트웨어를실행하므로이것은중요한액세스제어기능입니다. AWS IAM 을사용하여 AWS Marketplace 액세스를제어하면 AWS 계정소유자가사용및소프트웨어비용을세부적으로제어할수있습니다. AWS IAM 은고객의 AWS 계정자격증명사용횟수를최소화해줍니다. AWS IAM 사용자계정을만든후에는 AWS 서비스및리소스와의모든상호작용이 AWS IAM 사용자보안자격증명을사용해이루어져야합니다. AWS IAM 에대한자세한정보는 AWS 웹사이트 ( 를참조하십시오.
16 임시보안자격증명 AWS IAM 을사용하면제한된시간동안만유효한보안자격증명을통해보안 AWS 리소스에대한임시액세스를사용자에게제공할수있습니다. 이러한자격증명은유효기간이짧다는점 ( 기본만료시간이 12 시간 ) 과만료후재사용이불가능하다는점때문에향상된보안을제공합니다. 이는특정상황에서제어가능한제한적액세스권한을제공하는데특히유용합니다. 연동 ( 비 AWS) 사용자액세스. 연동사용자는 AWS 계정을보유하지않은사용자 ( 또는애플리케이션 ) 입니다. 고객은임시보안자격증명을통해연동사용자에게제한된시간동안 AWS 리소스에대한액세스권한을부여할수있습니다. 이는고객에게 Microsoft Active Directory, LDAP 또는 Kerberos 와같은외부서비스를사용하여인증할수있는비 AWS 사용자가있을경우유용합니다. 임시 AWS 자격증명은고객의사내자격증명및권한부여시스템내비 AWS 사용자와 AWS 간자격증명연동을제공합니다. Single Sign-On. 고객은연동사용자에게 AWS 에로그인하도록요구할필요가없이사내자격증명및권한부여시스템을통해 AWS Management Console 에대한 Single-Sign-On(SSO) 액세스를제공할수있습니다. Single-Sign-On(SSO) 액세스를제공하기위해고객은임시보안자격증명을 AWS Management Console 로전달하는 URL 을만듭니다. 이 URL 은생성후 15 분간만유효합니다. 임시자격증명은보안토큰, 액세스키 ID 및보안액세스키를포함합니다. 특정리소스에대한사용자액세스를제공하기위해고객은임시액세스권한을제공하려는사용자에게임시보안자격증명을배포합니다. 사용자는리소스를호출할때토큰및액세스키 ID 를전달하고보안액세스키를사용하여요청에서명합니다. 이토큰은다른액세스키에서는작동하지않습니다. 사용자가토큰을전달하는방식은 API 그리고사용자가호출하는 AWS 제품의버전에따라다릅니다. 임시보안자격증명에대한자세한정보는 AWS 웹사이트 ( 를참조하십시오. 임시자격증명의사용은추가보호를의미합니다. 임시사용자에게장기자격증명을배포또는관리할필요가없기때문입니다. 또한임시자격증명은대상인스턴스에자동으로로드되므로코드와같이어딘가안전하지않은위치에자격증명을포함할필요가없습니다. 임시자격증명은작업하지않아도자동으로하루에여러번교체또는변경되며기본적으로안전하게저장됩니다. 역할 역할이라고하는 AWS IAM 기능은임시보안자격증명을사용하여고객이일반적으로조직의 AWS 리소스에대한액세스권한이없는사용자또는서비스에게액세스권한을위임할수있게해줍니다. 역할이란특정 AWS 리소스에액세스하기위한권한집합이지만이러한권한은특정 IAM 사용자에만한정되지않습니다. 권한이부여된엔티티 ( 예 : 모바일사용자, EC2 인스턴스 ) 는역할을부여받고역할에서정의된리소스에대해인증받기위한임시보안자격증명을수신합니다. 역할을사용하면대량의인스턴스또는 AWS Auto Scaling 을사용하여탄력적으로조정되는집합을관리하는고객이시간을상당히절약할수있습니다. EC2 인스턴스에서키를자동으로프로비저닝하기위한 IAM 역할사용에대한자세한정보는 AWS 웹사이트 ( 에서 Using IAM 가이드를참조하십시오.
17 AWS Multi-Factor Authentication(AWS MFA) AWS Multi-Factor Authentication(AWS MFA) 은 AWS 서비스에액세스하기위한추가보안계층입니다. 이옵트인 (opt-in) 기능을활성화한경우, 고객은표준사용자이름과암호자격증명외에 6 자리일회용코드를입력해야고객의 AWS 계정설정또는 AWS 서비스및리소스액세스권한이부여됩니다. 이일회용코드는물리적으로소유하고있는인증디바이스에서얻을수있습니다. 액세스권한을부여하기전에복수의인증팩터, 즉암호 ( 고객이알고있는것 ) 와인증디바이스 ( 고객이소유하고있는것 ) 로부터의정확한코드를확인하므로이를멀티팩터인증이라고합니다. 고객은 MFA 계정뿐아니라 AWS IAM 을이용해 AWS 계정에만든사용자들에대해서도 MFA 디바이스를사용하도록설정할수있습니다. AWS MFA 는하드웨어토큰및가상 MFA 디바이스의사용을모두지원합니다. 가상 MFA 디바이스는물리적 MFA 디바이스와동일한프로토콜을사용하지만, 스마트폰을비롯한모바일하드웨어디바이스에서만실행할수있습니다. 가상 MFA 디바이스는시간기반일회용암호 (TOTP) 표준 (RFC 6238 참조 ) 을준수하는 6 자리인증코드를생성하는소프트웨어애플리케이션을사용합니다. 대부분의가상 MFA 애플리케이션은여러개의가상 MFA 디바이스를호스트할수있기때문에하드웨어 MFA 디바이스보다편리하게이용할수있습니다. 그러나가상 MFA 는스마트폰과같이보안수준이떨어지는디바이스에서실행될수있으므로가상 MFA 가하드웨어 MFA 디바이스와동일한보안수준을제공하지못할수있다는점에유의해야합니다. 또한 Amazon EC2 인스턴스를종료하거나 Amazon S3 에저장된중요한데이터를읽는것과같은강력한또는권한있는작업에대해추가보호계층을제공하기위해 AWS 서비스 API 에 MFA 인증을적용할수도있습니다. 이렇게하려면 IAM 액세스정책에 MFA 인증요구사항을추가합니다. 이러한액세스정책을 Amazon S3 버킷, SQS 대기열, SNS 주제와같은 ACL( 액세스제어목록 ) 을지원하는 IAM 사용자, IAM 그룹또는리소스에연결할수있습니다. 참여하는타사공급자로부터하드웨어토큰을, 또는 AppStore 에서가상 MFA 애플리케이션을입수하여 AWS 웹사이트를통해사용을설정하는절차는간단합니다. AWS MFA 에대한자세한정보는 AWS 웹사이트 ( 를참조하십시오. 키관리및교체 암호를자주변경하는것이중요한것과마찬가지로, AWS 는액세스키와인증서를정기적으로교체할것을권장합니다. AWS 는다중동시액세스키와인증서를지원하고있어서혹시라도사용자의애플리케이션가용성에영향을주는일없이키교체작업을수행할수있습니다. 이기능덕분에사용할키와인증서를애플리케이션다운타임없이정기적으로교체할수있습니다. 액세스키또는인증서를분실하거나훼손할위험을줄일수있습니다. AWS IAM API 는고객이 API 계정뿐아니라 AWS IAM 을이용해 AWS 계정에만든사용자에대해서도액세스키를교체할수있게해줍니다. AWS Trusted Advisor 보안검사 AWS Trusted Advisor 고객지원서비스는클라우드성능및복원성만모니터링하는것이아니라클라우드보안도모니터링합니다. Trusted Advisor 는고객의 AWS 환경을검사하고비용절감, 시스템성능개선또는보안결함방지의여지가있을때권장사항을알려줍니다. 또한발생할수있는몇몇가장일반적인보안구성오류에대해알림을제공합니다. 이러한오류에는특정포트를열어두어해킹및무단액세스에취약한상태로만드는경우, 내부사용자를위한 IAM 계정을만들지않은경우, S3 버킷에대해퍼블릭액세스를허용하는경우또는루트 AWS 계정에서 MFA 를사용하지않는경우가포함됩니다. AWS Trusted Advisor 서비스는기업또는엔터프라이즈수준의 AWS Support 에등록한 AWS 고객에게제공됩니다.
18 AWS 서비스별보안 보안이 AWS 인프라모든계층뿐만아니라해당인프라에서제공되는각서비스에도기본적으로제공됩니다. AWS 서비스는모든 AWS 네트워크및플랫폼과효율적으로안전하게작동하도록구축되었습니다. 각서비스는고객이중요한데이터와애플리케이션을보호할수있도록광범위한보안기능을제공합니다. Amazon Elastic Compute Cloud(Amazon EC2) 보안 Elastic Compute Cloud(EC2) 는 Amazon 의 IaaS( 서비스로서의인프라 ) 로서 AWS 데이터센터의서버인스턴스를사용하여규모를조정할수있는컴퓨팅용량을제공합니다. Amazon EC2 는고객이간편하게필요한용량을얻고구성함으로써보다손쉽게웹규모의컴퓨팅을할수있도록설계되었습니다. 고객은플랫폼하드웨어및소프트웨어모음인인스턴스를만들고실행합니다. 여러단계의보안기법 Amazon EC2 의보안은호스트플랫폼의 OS( 운영체제 ), 가상인스턴스 OS 또는게스트 OS, 방화벽및서명된 API 호출등여러수준에서제공됩니다. 각항목은다른항목의기능위에구축되어있습니다. 목표는 Amazon EC2 에포함된데이터를무단시스템이나사용자가가로채지못하도록데이터를보호하고, 고객이요구하는구성유연성을희생하지않고도가능한한안전한 Amazon EC2 인스턴스를제공하는것입니다. 하이퍼바이저 Amazon EC2 는현재고도로맞춤화된버전의 Xen 하이퍼바이저를이용하며 Linux 게스트의경우는반가상화 (paravirtualization) 를활용합니다. 반가상화된게스트는일반적으로액세스권한을요구하는작업을지원할때하이퍼바이저를이용하기때문에, 게스트 OS 는 CPU 에대한고급액세스권한이없습니다. CPU 는링이라고하는 0-3 단계의별도권한모드를제공합니다. 링 0 이가장높은권한이며 3 은가장낫습니다. 호스트 OS 는링 0 에서실행됩니다. 그러나게스트 OS 는대부분의운영체제와마찬가지로링 0 에서실행되지않고더낮은권한의링 1 에서실행되며, 애플리케이션은최소권한을갖는링 3 에서실행됩니다. 이와같이물리적자원을구체적으로가상화하여게스트와하이퍼바이저를명확히구분함으로써이들사이에추가적인보안격리가가능하게합니다. 인스턴스격리 동일한물리적장비에서실행되는서로다른인스턴스는 Xen 하이퍼바이저를통해상호격리됩니다. Amazon 은최신개발동향에대한이해를돕기위해 Xen 커뮤니티에서적극적으로활동하고있습니다. 또한, AWS 방화벽은물리적네트워크인터페이스와인스턴스의가상인터페이스의중간인하이퍼바이저계층내에존재합니다. 모든패킷은이계층을통과해야하며, 따라서, 어떤인스턴스에이웃해있는다른인스턴스가인터넷에있는다른호스트와마찬가지로이인스턴스에접근할수없고마치별도의물리적호스트에있는것처럼처리될수있습니다. 물리적 RAM 도비슷한방식으로구분됩니다.
19 그림 2: Amazon EC2 다중보안계층 고객인스턴스는원시디스크장치에접근할수는없으나, 대신가상화디스크를통해제공됩니다. AWS 전용디스크가상화계층은고객이사용하는스토리지의모든블록을자동으로리셋하여고객데이터가절대실수로타인에게노출되지않게합니다. AWS 에서는적절한수단을사용하여데이터를추가로보호할것을권장합니다. 한가지일반적인해법은가상화디스크장치에서암호화된파일시스템을실행하는것입니다. 호스트운영체제 : 업무와관련하여관리평면에액세스해야하는관리자는다중요소인증을사용하여특정관리호스트에액세스하는데필요한액세스권한을얻어야합니다. 이러한관리호스트는클라우드의관리평면을보호하기위해특별히설계, 구축, 구성및강화된시스템입니다. 이러한접근은모두기록되고감사됩니다. 어떤직원이업무와관련하여관리평면을더이상액세스할필요가없게될경우, 이러한호스트및관련시스템에대한권한과액세스권한은해지됩니다. 게스트운영체제 : 가상인스턴스는오직고객만제어할수있습니다. 고객은계정, 서비스및애플리케이션에대한전체루트액세스또는관리제어권한을가집니다. AWS 는고객의인스턴스또는게스트 OS 에대한어떤액세스권한도갖지않습니다. AWS 는기본적인보안모범사례를따를것을권장합니다. 여기에는암호만을사용한게스트액세스를금지하는방법과멀티팩터인증형식으로인스턴스에액세스 ( 또는최소인증서기반 SSH 버전 2 액세스 ) 를부여하는방법이포함됩니다. 또한고객은사용자별로그인을이용한권한상승방법을사용해야합니다. 예를들어, 게스트 OS 가 Linux 일경우, 인스턴스를강화하면가상인스턴스에액세스할때인증서기반의 SSHv2 를사용하며, 원격루트로그인을비활성화하고, 명령줄로깅을사용하며, 권한상승을위해 'sudo' 를사용해야합니다. 고객은고유한키페어를생성하여다른고객또는 AWS 와공유되지않도록해야합니다. 또한 AWS 는고객이 UNIX/Linux EC2 인스턴스에안전하게로그인할수있도록 Secure Shell(SSH) 네트워크프로토콜의사용을지원합니다. AWS 에서사용되는 SSH 인증은인스턴스에대한무단액세스위험을줄이기위해퍼블릭 / 프라이빗키페어를통해이루어집니다. 또한고객의인스턴스에대해생성된원격데스크톱프로토콜 (RDP) 인증서를사용하여 RDP 를사용하는 Windows 인스턴스에원격으로연결할수도있습니다.
20 고객은보안업데이트를포함해게스트 OS 업데이트및패치적용도관리합니다. Amazon 이제공하는 Windows 및 Linux 기반 AMI 는주기적으로최신패치로업데이트됩니다. 그러므로실행중 Amazon AMI 인스턴스에서데이터또는사용자지정을보존할필요가없을경우, 간단히최신업데이트가적용된 AMI 를이용해새인스턴스를다시시작할수있습니다. 또한 Amazon Linux AMI 에대한업데이트가 Amazon Linux yum 리포지토리를통해제공됩니다. 방화벽 : Amazon EC2 는완전한방화벽솔루션을제공합니다. 이필수인바운드방화벽은기본적으로 ' 모두거부 ' 모드로구성됩니다. Amazon EC2 고객은인바운드트래픽을허용하는데필요한포트를분명히개방해야합니다. 이때트래픽은프로토콜, 서비스포트, 또는원본 IP 주소에의해제한될수있습니다 ( 개별 IP 또는 Classless Inter- Domain Routing(CIDR) 블록 ). 인스턴스클래스별로다른규칙을사용하는그룹에대해방화벽을설정할수있습니다. 기존의 3 계층웹애플리케이션을예로들어보겠습니다. 웹서버그룹에는인터넷에개방된포트 80(HTTP) 및 / 또는포트 443(HTTPS) 이있을수있습니다. 애플리케이션서버그룹에는웹서버그룹에만액세스할수있는 8000 번포트 ( 애플리케이션별 ) 가있을수있습니다. 데이터베이스서버그룹에는애플리케이션서버그룹에만개방된 3306 번포트 (MySQL) 가있을수있습니다. 세그룹모두포트 22(SSH) 에대한관리액세스는허용되나, 고객의기업네트워크에서만가능합니다. 고도의안전성을요구하는애플리케이션은이러한방식을사용하여구현할수있습니다. 그림 3: Amazon EC2 보안그룹방화벽 방화벽은게스트운영체제를통해제어할수없습니다. 그보다는고객의 X.509 인증서및키를사용하여변경사항을인증하므로추가보안계층이필요합니다. AWS 는다양한인스턴스및방화벽관리기능에대해단계별액세스권한을부여하는기능을지원합니다. 따라서고객은역할분리를통해추가보안을구현할수있습니다. 방화벽에서제공하는보안수준은어느포트를어느기간동안어떤목적으로개방할것인지결정합니다. 기본상태는모든수신트래픽을거부하는것이며, 고객은애플리케이션구축및보안시어떤포트를개방할것인지를신중하게계획해야합니다. 정보기반의트래픽관리및보안설계가인스턴스별로필요합니다. AWS 에서는 IPtable 또는 Windows 방화벽및 VPN 과같은호스트기반방화벽이있는인스턴스별추가필터를사용할것을권장합니다. 그러면인바운드및아웃바운드트래픽을모두제한할수있습니다.
21 API 액세스 : 인스턴스를시작및종료하고, 방화벽파라미터를변경하고, 다른기능을수행하기위한 API 호출은모두고객의 Amazon 보안액세스키로서명됩니다. 이때 AWS 계정보안액세스키를사용하거나 AWS IAM 을이용해만든사용자의보안액세스키를사용할수도있습니다. 고객의보안액세스키에액세스하지않고서는고객을대신하여 Amazon EC2 API 호출을생성할수없습니다. 또한, API 호출은기밀성을유지하기위해 SSL 로암호화할수있습니다. Amazon 은항상 SSL 로보호되는 API 엔드포인트를사용하도록권장하고있습니다. 또한고객은 AWS IAM 을이용해만든사용자가호출할권한이있는 API 를세부적으로제어할수있습니다. Elastic Block Storage(Amazon EBS) 보안 Amazon Elastic Block Store(EBS) 에서는 Amazon EC2 인스턴스에서디바이스로서마운트할수있는스토리지볼륨을 1GB 에서 1TB 까지생성할수있습니다. 스토리지볼륨은사용자가정의한디바이스이름과블록디바이스인터페이스를사용하며포맷되지않은원시블록디바이스처럼작동합니다. Amazon EBS 볼륨에파일시스템을생성하거나하드드라이브와같은블록디바이스를사용하는것처럼 Amazon EBS 볼륨을사용할수있습니다. Amazon EBS 의볼륨에대한접근이해당볼륨을생성한 AWS 계정및 AWS IAM 을이용해만든 AWS 계정사용자 ( 사용자가 EBS 작업에대한접근권한이있는경우 ) 로제한되므로, 다른모든 AWS 계정및사용자에게는볼륨을보거나접근하는권한이거부됩니다. Amazon EBS 에저장된데이터는정상적인서비스를위해물리적으로여러지점에중복보관됩니다. 이때추가비용도들지않습니다. 하지만 Amazon EBS 복사본은여러영역이아닌, 단일한가용영역에저장됩니다. 따라서장기적으로데이터를안전하게보관하기위해서는정기적으로스냅샷을생성해 Amazon S3 에저장하는것이좋습니다. EBS 를사용하여복잡한트랜잭션데이터베이스를설계한경우에는분산된트랜잭션과로그를검사할수있도록데이터베이스관리시스템을통해 Amazon S3 에백업하는것이좋습니다. AWS 는 Amazon E2 에서실행되는인스턴스에연결된가상디스크상에유지되는데이터는백업하지않습니다. Amazon EBS 볼륨스냅샷은다른 AWS 계정에도공유하여자체볼륨생성의기반으로사용할수있습니다. Amazon EBS 볼륨스냅샷을공유해도원본스냅샷을변경또는삭제할수있는권한은명시적으로볼륨을생성한 AWS 계정에있으므로다른 AWS 계정은원본스냅샷을변경또는삭제할수없습니다. EBS 스냅샷은전체 EBS 볼륨을블록수준으로나타낸것입니다. 삭제된파일과같이볼륨의파일시스템에서표시되지않는데이터가 EBS 스냅샷에존재할수도있습니다. 공유스냅샷은신중하게만들어야합니다. 볼륨이중요한데이터를보유하고있거나파일을삭제한경우, 새로운 EBS 볼륨을만들어야합니다. 공유스냅샷에포함할데이터는새볼륨과새볼륨에서만든스냅샷에복사해야합니다. Amazon EBS 볼륨은포맷되지않은원시블록디바이스로사용자에게제공되며저장된데이터는사전에삭제됩니다. 데이터는재사용바로전에삭제되기때문에삭제프로세스가확실히완료된상태로제공됩니다. DoD M(" 국가산업보안프로그램운영매뉴얼 ") 또는 NIST (" 미디어삭제가이드라인 ") 에자세히명시된것과같이특정방법을통해모든데이터를삭제해야할절차가있는경우 Amazon EBS 에도이를적용할수있습니다. 마련된요건준수를위해볼륨을삭제하기전에전문적인삭제절차를수행해야합니다. 중요한데이터를암호화하는것은일반적으로보안에관한모범사례에해당합니다. AWS 는해당보안정책에부합하는알고리즘을통해중요한데이터를암호화할것을권장합니다.
22 Amazon Elastic Load Balancing 보안 Amazon Elastic Load Balancing 은한그룹의 Amazon EC2 인스턴스에서트래픽을관리하여인스턴스에대한트래픽을특정리전의모든가용영역으로배포합니다. Elastic Load Balancing 은온프레미스로드밸런서의모든장점이외에여러가지보안상이점을제공합니다. Amazon EC2 인스턴스를대신해암호화및복호화작업을수행하고로드밸런서에서중앙집중식으로관리 클라이언트에단일접점을제공하며네트워크공격에대한 1 차방어선의역할도수행 Amazon VPC 를사용하는경우, Elastic Load Balancing 과연결된보안그룹의생성및관리를지원하여추가적인네트워킹및보안옵션을제공 보안 (HTTPS/SSL) 연결을사용하는네트워크에서종단간트래픽암호화를지원. SSL 을사용하는경우, 클라이언트연결을종료하는데사용된 SSL 서버인증서를개별인스턴스에서가아니라로드밸런서에서중앙집중식으로관리할수있습니다. HTTPS/SSL 을프런트엔드연결로선택하는경우사전정의된 SSL 암호집합을사용하거나고객이원하는암호집합을사용하여특정요구사항을기반으로암호화및프로토콜을활성화또는비활성화할수있습니다. Secure Sockets Layer(SSL) 프로토콜은프로토콜과알고리즘의조합을사용하여인터넷에서정보를보호합니다. SSL 암호는암호화키를사용하여암호화된 ( 코딩된 ) 메시지를생성하는암호화알고리즘입니다. SSL 암호알고리즘및프로토콜은여러형식을사용할수있습니다. Amazon Elastic Load Balancing 은클라이언트와고객의로드밸런서사이에연결이설정되면 SSL 협상에사용되는사전정의된암호집합을사용해로드밸런서를구성합니다. 사전정의된암호집합은광범위한클라이언트와호환되며강력한암호화알고리즘을사용합니다. 그러나일부고객은네트워크상의모든데이터를암호화해야하고특정암호만허용되는요구사항이있을수있습니다. 일부경우에는표준준수를위해클라이언트에서특정프로토콜 ( 예 : PCI, SOX 등 ) 이요구될수있습니다. 이런경우, Amazon Elastic Load Balancing 이 SSL 프로토콜및암호에대해서로다른구성을선택할수있는옵션을제공합니다. 고객은특정요구사항에따라암호를활성화또는비활성화하도록선택할수있습니다. Auto Scaling 보안 Auto Scaling 을이용해고객이지정한조건에따라 Amazon EC2 용량을자동으로늘리거나줄일수있습니다. 즉, 요구량이상승할때에는사용하는 Amazon EC2 인스턴스의수를원활하게확장하여성능을유지하고, 요구량이감소할때에는자동으로용량을축소해비용을절감합니다. 다른 AWS 서비스와마찬가지로 Auto Scaling 은제어 API 에대한모든요청을인증하여인증받은사용자만 Auto Scaling 에접근하고관리할수있도록합니다. 요청메시지는이요청메시지및사용자의개인키에서계산한 HMAC-SHA1 서명으로서명합니다. 그러나대규모또는탄력적으로조정되는집합의경우 Auto-Scaling 을이용해시작된새 EC2 인스턴스로자격증명을제공하는프로세스가쉽지않을수있습니다. 이프로세스를간소화하기위해 IAM 내역할을사용할수있습니다. 그러면역할을이용해시작된새인스턴스로자격증명이자동으로제공됩니다. IAM 역할을이용해 EC2 인스턴스를시작하면역할에의해지정된권한을포함하는임시 AWS 보안자격증명이안전하게인스턴스로프로비저닝되고 Amazon EC2 Instance Metadata Service 를통해고객의애플리케이션에서사용할수있게됩니다. Metadata Service 가현재활성자격증명이만료되기전에새로운임시보안자격증명을제공하므로인스턴스에서유효한자격증명을항상사용할수있습니다. 또한임시보안자격증명이하루에여러번자동으로교체되므로향상된보안을제공합니다. 고객은 AWS IAM 을이용해 AWS 계정에사용자들을만들어이사용자들이호출할권한이있는 Auto Scaling API 를지정하여 Auto Scaling 에대한액세스권한을추가로제어할수있습니다. 인스턴스시작시역할사용에대한자세한정보는 AWS 웹사이트 ( 에서 Amazon EC2 사용설명서를참조하십시오.
23 Amazon Virtual Private Cloud(Amazon VPC) 보안통상적으로고객이시작하는 Amazon EC2 인스턴스에 Amazon EC2 주소공간의퍼블릭 IP 주소가임의로할당됩니다. Amazon VPC 를사용하면 AWS 클라우드의격리된부분을만들고, 선택한범위 ( 예 : /16) 에프라이빗 (RFC 1918) 주소가있는 Amazon EC2 인스턴스를시작할수있습니다. IP 주소범위를기반으로유사한인스턴스를그룹화하여 VPC 내에서서브넷을정의한다음, 라우팅및보안을설정하여인스턴스및서브넷을드나드는트래픽흐름을제어할수있습니다. AWS 는다음과같은여러수준의퍼블릭액세스를제공하는구성을포함하는다양한 VPC 아키텍처템플릿을제공합니다. 단일퍼블릭서브넷만있는 VPC. 고객의인스턴스는 AWS 클라우드의프라이빗격리섹션에서실행되며인터넷에직접액세스합니다. 네트워크 ACL 및보안그룹을사용하여인스턴스를드나드는인바운드및아웃바운드네트워크트래픽을엄격히제어할수있습니다. 퍼블릭및프라이빗서브넷이있는 VPC. 이구성은퍼블릿서브넷을포함하는이외에인터넷에서인스턴스의주소를지정할수없는프라이빗서브넷을추가합니다. 프라이빗서브넷의인스턴스는 NAT(Network Address Translation) 를사용하는퍼블릭서브넷을통해인터넷과아웃바운드연결을설정할수있습니다. 퍼블릭및프라이빗서브넷이있고하드웨어 VPN 액세스를제공하는 VPC. 이구성은 Amazon VPC 와데이터센터사이에 IPsec VPN 연결을추가하여데이터센터를효과적으로클라우드까지확장하는한편 Amazon VPC 의퍼블릭서브넷인스턴스에게직접인터넷액세스를제공합니다. 이구성에서는고객이기업데이터센터측에 VPN 어플라이언스를추가할수있습니다. 프라이빗서브넷만있고하드웨어 VPN 액세스를제공하는 VPC. 고객의인스턴스가 AWS 클라우드의프라이빗격리섹션에서실행되고인터넷에서인스턴스의주소를지정할수없는프라이빗서브넷이포함됩니다. 이프라이빗서브넷을 IPsec VPN 터널을통해기업데이터센터에연결할수있습니다. Amazon VPC 내보안기능에는보안그룹, 네트워크 ACL, 라우팅테이블, 외부게이트웨이가포함됩니다. 이러한각항목은직접인터넷접근또는다른네트워크에대한사설연결을선택적으로사용해확장가능한안전하고격리된네트워크를제공함으로써상호보완됩니다. Amazon VPC 에서실행되는 Amazon EC2 인스턴스는아래에서설명하는호스트 OS, 게스트 OS, 하이퍼바이저, 인스턴스격리및패킷스니핑으로부터보호와관련된장점을모두계승합니다. 단, 고객은자신의 Amazon VPC 만을위한 VPC 보안그룹을생성해야합니다. Amazon VPC 내부에서는고객이생성한 Amazon EC2 보안그룹이작용하지않습니다. 또한 Amazon VPC 보안그룹은인스턴스시작후보안그룹을변경하는기능, (TCP, UDP 또는 ICMP 만사용하는방식이아니라 ) 표준프로토콜번호를사용하여프로토콜을지정하는기능등 EC2 보안그룹에는없는추가기능을제공합니다. 각 Amazon VPC 는클라우드상에서별도로격리된네트워크입니다. 각 Amazon VPC 에서의네트워크트래픽은다른모든 Amazon VPC 와격리됩니다. Amazon VPC 를생성할때각각에대해 IP 주소범위를선택합니다. 고객은아래의제어방법에따라외부연결을설정하기위해인터넷게이트웨이, 가상프라이빗게이트웨이, 또는둘모두를생성하여연결할수있습니다. API 액세스 : Amazon VPC 를생성및삭제하고, 라우팅, 보안그룹및네트워크 ACL 파라미터를변경하며그밖에다른기능을수행하기위한호출은모두고객의 Amazon 보안액세스키를사용하여서명이이루어집니다. 이때 AWS 계정보안액세스키를사용하거나 AWS IAM 을이용해만든사용자의보안액세스키를사용할수도있습니다. 고객의보안액세스키에액세스하지않고서는고객을대신하여 Amazon VPC API 호출을생성할수없습니다. 또한, API 호출은기밀성을유지하기위해 SSL 로암호화할수있습니다. Amazon 은항상 SSL 로보호되는 API 끝점을사용하도록권장하고있습니다. AWS IAM 은또한고객이새로생성된사용자가권한을갖는 API 가운데어느것을호출할지를선택할수있게합니다.
24 서브넷및라우팅테이블 : 각 Amazon VPC 에하나이상의서브넷을만들수있습니다. Amazon VPC 에서시작되는각인스턴스는하나의서브넷에연결됩니다. MAC 스푸핑및 ARP 스푸핑등기존의계층 2 에대한보안공격이차단됩니다. Amazon VPC 의각서브넷은라우팅테이블하나씩과연결되어있으며, 서브넷에서전송되는모든네트워크트래픽은라우팅테이블에서목적지결정을위한처리를받게됩니다. 방화벽 ( 보안그룹 ): Amazon EC2 와마찬가지로 Amazon VPC 는인스턴스의진출입트래픽을모두필터링할수있는완전한방화벽솔루션을지원합니다. 기본그룹은동일한그룹내의다른구성원으로부터의인바운드통신과모든대상에대한아웃바운드통신을허용합니다. 트래픽은모든 IP 프로토콜, 서비스포트, 원본 / 대상 IP 주소 ( 개별 IP 또는 Classless Inter-Domain Routing(CIDR) 블록 ) 에의해제한될수있습니다. 방화벽은게스트운영체제를통해제어할수없으며, Amazon VPC API 호출을통해서만수정이가능합니다. AWS 는다양한인스턴스및방화벽관리기능에대해단계별액세스권한을부여하는기능을지원합니다. 따라서고객은역할분리를통해추가보안을구현할수있습니다. 방화벽에서제공하는보안수준은어느포트를어느기간동안어떤목적으로개방할것인지결정합니다. 정보기반의트래픽관리및보안설계가인스턴스별로필요합니다. AWS 에서는 IPtable 또는 Windows 방화벽과같은호스트기반방화벽이있는인스턴스별추가필터를사용할것을권장합니다. 그림 4: Amazon VPC 네트워크아키텍처
25 네트워크 ACL( 액세스제어목록 ): Amazon VPC 에보안계층을추가하기위해네트워크 ACL 을구성할수있습니다. 이네트워크 ACL 은 Amazon VPC 내서브넷에서인바운드또는아웃바운드하는모든트래픽에적용되는상태비저장트래픽필터입니다. 이러한 ACL 은 IP 프로토콜, 서비스포트, 원본 / 대상 IP 주소에따라트래픽을허용또는거부하는정렬된규칙도포함할수있습니다. 보안그룹과마찬가지로, 네트워크 ACL 은 Amazon VPC API 를통해서뿐만아니라추가적인보호계층과역할분리를통해추가보안을설정함으로써관리됩니다. 아래그림에서는위의보안관리기법이네트워크트래픽의흐름을완벽하게제어하는한편유연한네트워크토폴로지를구현할수있도록하기위해어떻게상호연관되는지를보여줍니다. 그림 5: 유연네트워크토폴로지 가상프라이빗게이트웨이 : 가상프라이빗게이트웨이를통해 Amazon VPC 와다른네트워크사이에프라이빗연결이가능합니다. 각가상프라이빗게이트웨이의네트워크트래픽은다른모든가상프라이빗게이트웨이의네트워크트래픽으로부터격리됩니다. 고객의프레미스에위치하는게이트웨이디바이스로부터가상프라이빗게이트웨이와 VPN 연결을설정할수있습니다. 각연결은고객게이트웨이장치의 IP 주소와관련된사전공유된키로보호됩니다.
26 인터넷게이트웨이 : 인터넷게이트웨이는 Amazon S3, 다른 AWS 서비스및인터넷에직접연결이가능하도록 Amazon VPC 에연결할수있습니다. 이러한접근이필요한각인스턴스는해당접근과관련된유동 IP 를보유하거나 NAT 인스턴스를통해트래픽을라우팅해야합니다. 또한, 인터넷게이트웨이로직접트래픽을보내도록네트워크경로를구성합니다 ( 위참조 ). AWS 는네트워크로깅, 정밀패킷검사, 애플리케이션계층필터링또는기타보안관리를수행하기위해확장이가능한참조 NAT AMI 를제공합니다. 이접근권한은 Amazon VPC API 호출을통해서만수정할수있습니다. AWS 는인스턴스및인터넷게이트웨이의서로다른관리기능에대한세부적인접근권한을부여하는기능을지원합니다. 따라서고객은역할구분을통해추가보안을구현할수있습니다. 전용인스턴스 : VPC 에서는고객이호스트하드웨어수준에서물리적으로분리된 Amazon EC2 인스턴스를시작할수있습니다 ( 이러한인스턴스는단일테넌트하드웨어에서실행됨 ). ' 전용 ' 테넌시를이용해 Amazon VPC 를생성할수있습니다. 그러면 Amazon VPC 에서시작되는모든인스턴스가이기능을사용합니다. 또는 ' 기본 ' 테넌시를이용해 Amazon VPC 를생성할수있습니다. 하지만이 Amazon VPC 에서시작되는특정인스턴스에대해전용테넌시를지정할수있습니다. ENI: 각 Amazon EC2 인스턴스는고객의 Amazon VPC 네트워크에서프라이빗 IP 주소로지정된기본네트워크인터페이스를갖습니다. 고객은 ENI( 엘라스틱네트워크인터페이스 ) 로알려진추가네트워크인터페이스를생성한후 Amazon VPC 의 Amazon EC2 인스턴스에연결하여인스턴스당총 2 개의네트워크인터페이스를사용할수있습니다. 네트워크인스턴스에복수의네트워크인터페이스를연결할경우관리네트워크를만들거나, Amazon VPC 에서네트워크및보안어플라이언스를사용하거나, 별도의서브넷에워크로드 / 역할이있는이중홈인스턴스를만들때유용합니다. 프라이빗 IP 주소, 엘라스틱 IP 주소, MAC 주소등 ENI 의속성은인스턴스와연결될때, 또는한인스턴스에서분리되어다른인스턴스로연결될때의 ENI 를따릅니다. Amazon VPC 에대한자세한내용은 AWS 웹사이트 ( 를참조하십시오. EC2-VPC 를통한추가네트워크액세스제어 AWS 가새 EC2-VPC 기능 ( 기본 VPC 라고도함 ) 을시작하기전에인스턴스를실행한적이없는리전에서인스턴스를시작할경우, 모든인스턴스가즉시사용가능한기본 VPC 에서자동으로프로비저닝됩니다. 고객은추가 VPC 를생성할수도있고, AWS 가 EC2-VPC 를시작하기전에이미인스턴스를실행한적이있는리전의인스턴스를위해 VPC 를생성할수도있습니다. 일반 VPC 를사용하여나중에 VPC 를생성하는경우 CIDR 블록을지정하고, 서브넷을생성하고, 생성한서브넷에대해라우팅및보안을입력하고, 서브넷중하나를인터넷과연결하려는경우인터넷게이트웨이또는 NAT 인스턴스를프로비저닝합니다. EC2 인스턴스를 EC2-VPC 에서시작할때이작업이대부분자동으로실행됩니다. EC2-VPC 를사용하여기본 VPC 에서인스턴스를시작하면 AWS 가다음작업을수행하여인스턴스를설정합니다. 각가용영역에서기본서브넷생성 인터넷게이트웨이를생성하여기본 VPC 와연결 인터넷으로향하는모든트래픽을인터넷게이트웨이로전송하는규칙을사용하여기본 VPC 에대한기본라우팅테이블생성 기본보안그룹을생성하여기본 VPC 와연결 네트워크 ACL( 액세스제어목록 ) 을생성하여기본 VPC 와연결 AWS 계정에서설정된기본 DHCP 옵션을기본 VPC 와연결
27 기본 VPC 가자체프라이빗 IP 범위를갖는이외에, 기본 VPC 의 EC2 인스턴스에도퍼블릭 IP 가할당됩니다. 다음표는 EC2-Classic, 기본 VPC, 그리고기본값아닌 VPC 에서시작되는인스턴스의차이점을요약한것입니다. 특성 EC2-Classic EC2-VPC( 기본 VPC) 일반 VPC 퍼블릭 IP 주소 인스턴스에퍼블 IP 주소가할당됩니다. 시작시다르게지정하지않은한, 기본서브넷에서시작한인스턴스에는기본적으로퍼블릭 IP 주소가할당됩니다. 시작시다르게지정하지않은한, 인스턴스에는기본적으로퍼블릭 IP 주소가할당되지않습니다. 프라이빗 IP 주소 인스터스를시작할때마다 EC2- Classic 범위내의프라이빗 IP 주소가할당됩니다. 인스터스를시작할때마다기본 VPC 범위내의사설프라이빗 IP 주소가할당됩니다. 인스터스를시작할때마다사용 VPC 범위내의프라이빗고정 IP 주소가할당됩니다. 다중프라이빗 IP 주소 AWS 가사용자의인스턴스를위해단일 IP 주소를선택합니다. 다중 IP 주소는지원하지않습니다. 인스턴스에다중프라이빗 IP 주소를할당할수있습니다. 인스턴스에다중프라이빗 IP 주소를할당할수있습니다. Elastic IP 주소 인스턴스를중지하면, EIP 는더이상그인스턴스와무관하게됩니다. 인스턴스를중지해도 EIP 는여전히그이슨턴스의 IP 입니다. 인스턴스를중지해도 EIP 는여전히그이슨턴스의 IP 입니다. DNS 호스트이름 기본적으로 DNS 호스트이름을사용하도록되어있습니다. 기본적으로 DNS 호스트이름을사용하도록되어있습니다. 기본적으로 DNS 호스트이름을사용하지않도록되어있습니다. 보안그룹 보안그룹에서다른 AWS 계정에속한보안그룹을참조할수있습니다. 보안그룹에서는사용자의 VPC 내보안그룹만참조할수있습니다. 보안그룹에서는사용자의 VPC 내보안그룹만참조할수있습니다. 보안그룹연결 보안그룹을변경하려면인스턴스를종료해야합니다. 실행중인인스턴스의보안그룹을변경할수있습니다. 실행중인인스턴스의보안그룹을변경할수있습니다. 보안그룹규칙 인바운드트래픽에만규칙을추가할수있습니다. 인바운드및아웃바운드모두에규칙을지정할수있습니다. 인바운드및아웃바운드모두에규칙을지정할수있습니다. 테넌시 인스턴스가공유된하드웨어에서실행됩니다. 단일테넌트하드웨어에서는인스턴스를실행할수없습니다. 공유된하드웨어나단일테넌트하드웨어에서인스턴스를실행할수있습니다. 공유된하드웨어나단일테넌트하드웨어에서인스턴스를실행할수있습니다. EC2-Classic 인스턴스의보안그룹은 EC2-VPC 인스턴스의보안그룹과약간다릅니다. 예를들어, EC2-Classic 의경우인바운드트래픽에대한규칙을추가할수있지만, EC2-VPC 의경우인바운드및아웃바운드트래픽모두에대한규칙을추가할수있습니다. EC2-Classic 에서는인스턴스가시작된후에는인스턴스에할당된보안그룹을변경할수없지만, EC2-VPC 에서는인스턴스가시작된후에도인스턴스에할당된보안그룹을변경할수있습니다. 또한 EC2-Classic 에서사용하기위해생성한보안그룹을 VPC 의인스턴스에서는사용할수없습니다. VPC 인스턴스전용으로보안그룹을생성해야합니다. VPC 용보안그룹에서사용하기위해생성한규칙은 EC2-Classic 용보안그룹을참조할수없으며그반대의경우도마찬가지입니다.
28 Amazon Direct Connect 보안 고객은처리량이높은전용연결을사용하여내부네트워크와 AWS 리전사이에직접링크를프로비저닝할수있습니다. 이전용연결을구성하면네트워크경로에서인터넷서비스공급자를우회하여 AWS 클라우드 ( 예 : Amazon EC2 및 Amazon S3) 와 Amazon VPC 로직접논리적연결을생성할수있습니다. 이서비스를사용하려면 AWS Direct Connect 위치와연결해야합니다. 각 AWS Direct Connect 위치는지리적으로가장가까운 AWS 리전으로연결할수있습니다. Direct Connect 솔루션업체는고객위치에서 AWS Direct Connect 위치까지연결을돕습니다. Amazon Simple Storage Service(Amazon S3) 보안 Amazon Simple Storage Service(S3) 를이용하면인터넷을통해언제어디서든데이터를업로드하고검색할수있습니다. Amazon S3 는데이터를버킷내에객체로저장합니다. 텍스트파일, 사진, 동영상및기타모든종류의파일이객체가될수있습니다. 파일을 Amazon S3 에추가할때원하는경우파일에메타데이터를포함하고파일에대한액세스제어권한을설정할수있습니다. 버킷각각에대해, 버킷에대한액세스를제어하고 ( 버킷에객체를만들고삭제하고확인하는등의작업을수행할수있는사용자지정 ) 버킷과버킷의객체에대한액세스로그를보고 Amazon S3 가버킷과버킷의콘텐츠를저장할지역을선택할수있습니다. 데이터액세스 Amazon S3 에저장된데이터에대한액세스는기본적으로제한됩니다. 버킷및객체소유자만자신이생성한 Amazon S3 리소스에액세스할수있습니다. ( 버킷 / 객체소유자는해당버킷 / 객체를만든사용자가아니라 AWS 계정소유자입니다.) 버킷및객체에대한액세스를제어하는방법은여러가지가있습니다. 자격증명및액세스관리 (IAM) 정책. 직원이여러명인조직은 AWS IAM 을통해하나의 AWS 계정에서여러사용자를생성하고관리할수있습니다. IAM 정책이사용자에게연결되어 AWS 계정내사용자의권한을중앙집중식으로관리할수있습니다. IAM 정책을사용하면자체 AWS 계정내의사용자에게만자체 Amazon S3 리소스에액세스할수있는권한을부여할수있습니다. ACL( 액세스제어목록 ). Amazon S3 에서 ACL 을사용하여사용자그룹에게버킷또는객체에대한읽기또는쓰기액세스권한을부여할수있습니다. ACL 을사용하면다른 AWS 계정 ( 특정사용자가아님 ) 에게만자체 Amazon S3 리소스에대한액세스권한을부여할수있습니다. 버킷정책. Amazon S3 의버킷정책은단일버킷내의일부또는모든객체에대해권한을추가또는거부하는데사용할수있습니다. 정책을사용자, 그룹또는 Amazon S3 버킷에연결해권한을중앙집중식으로관리할수있습니다. 버킷정책을사용하면자체 AWS 계정내사용자또는다른 AWS 계정내사용자에게 S3 리소스에액세스할수있는권한을부여할수있습니다. 액세스제어유형 AWS 계정수준제어? 사용자수준제어? IAM 정책 아니요 예 ACL 예 아니요 버킷정책 예 예
29 특정조건을기준으로특정리소스에대한액세스를추가로제한할수있습니다. 예를들어요청시간 ( 날짜조건 ), 요청이 SSL 을사용하여전송되었는지여부 ( 부울조건 ), 요청자의 IP 주소 (IP 주소조건 ), 또는요청자의클라이언트애플리케이션 ( 문자열조건 ) 을기준으로액세스를제한할수있습니다. 이들조건을식별하기위해정책키를사용합니다. Amazon S3 에서사용가능한작업별정책키에대한자세한정보는 Amazon Simple Storage Service 개발자안내서를참조하십시오. 또한 Amazon S3 는개발자에게쿼리문자열인증을사용할수있는옵션을제공합니다. 이옵션을사용하면개발자가사전정의된시간동안유효한 URL 을통해 Amazon S3 객체를공유할수있습니다. 쿼리문자열인증은통상적으로는인증이필요한리소스에 HTTP 또는브라우저액세스를부여할때유용합니다. 쿼리문자열내서명이요청을보호합니다. 데이터전송 보안을극대화하기위해 SSL 암호화엔드포인트를통해 Amazon S3 에안전하게데이터를업로드하거나다운로드할수있습니다. 암호화엔드포인트는인터넷과 Amazon EC2 내에서액세스할수있으므로데이터가 AWS 내부와 AWS 외부소스사이에서안전하게전송됩니다. 데이터저장 Amazon S3 는휴면상태의데이터를보호하기위한여러가지옵션을제공합니다. 직접암호화키를관리하려면 Amazon S3 암호화클라이언트와같은클라이언트암호화라이브러리를사용하여데이터를암호화한후 Amazon S3 에업로드할수있습니다. 반면 Amazon S3 에서암호화키를관리하도록하려면 Amazon S3 Server Side Encryption(SSE) 을사용할수있습니다. Amazon S3 SSE 를사용하면객체를기록할때별도의요청헤더를추가하는것만으로업로드시데이터를암호화할수있습니다. 암호해독은데이터를검색할때자동으로이루어집니다. 객체에포함되는메타데이터는암호화되지않습니다. 따라서 AWS 는 S3 메타데이터에중요한정보를포함시키지않을것을권장합니다. Amazon S3 SSE 는현재가장강력한블록암호중하나인 256 비트고급암호화표준 (AES-256) 을사용합니다. Amazon S3 SSE 를사용하면보호되는모든객체가고유한암호화키로암호화됩니다. 그러면이객체키가정기적으로교체되는마스터키를사용하여자체적으로암호화됩니다. Amazon S3 SSE 는암호화된데이터와암호화키를다른호스트에저장해보안을강화합니다. Amazon S3 SSE 에서는암호화요구사항도적용할수있습니다. 예를들어, 암호화된데이터만버킷에업로드해야하는버킷정책을생성해적용할수있습니다. 장기저장시 S3 버킷의콘텐츠를 Glacier 라고하는 AWS 의보관서비스에자동으로보관할수있습니다. S3 에어떤객체를언제 Glacier 에보관할것인지설명하는수명주기규칙을생성하여특정한간격으로데이터를 Glacier 에전송할수있습니다. 데이터관리전략의한부분으로객체를삭제하기위해 S3 에배치한후에얼마나오래기다려야하는지지정할수도있습니다. Amazon S3 에서객체하나를삭제하면이객체에대한공개이름의매핑이즉시제거되는데이작업은분산된시스템을대상으로일반적으로몇초이내에완료됩니다. 일단매핑이제거되면삭제된객체에원격으로접근할수없습니다. 이때사용된스토리지영역은시스템에서사용하기위해회수됩니다.
30 데이터내구성및신뢰성 Amazon S3 는연간 % 의객체내구성과 99.99% 의가용성을제공하도록설계되었습니다. 객체는 Amazon S3 리전에서여러시설의다양한디바이스에중복저장됩니다. 내구성을보장하기위해 Amazon S3 PUT 및 COPY 작업으로고객데이터를여러시설에동기식으로저장한후에 SUCCESS 를반환합니다. 데이터가저장되면 Amazon S3 가손실된중복성을빠르게감지및복구하여객체의지속성을유지합니다. 또한 Amazon S3 는체크섬을사용해저장된데이터의무결성을정기적으로검사합니다. 손상이감지된경우중복데이터를사용하여복원합니다. 이외에도 Amazon S3 는데이터를저장또는검색할때모든네트워크트래픽에서체크섬을계산하여데이터패킷손상을감지합니다. Amazon S3 는버전관리를통해추가적인보호기능을제공합니다. 버전관리를사용하면 Amazon S3 버킷에저장된모든버전의모든객체를보존, 검색및복원할수있습니다. 또한, 의도하지않은사용자작업및애플리케이션장애로부터쉽게복구할수있습니다. 기본적으로요청을통해가장최근에기록된버전을검색합니다. 이전버전의객체는요청에버전을지정하여검색할수있습니다. Amazon S3 버전관리의 MFA 삭제기능을사용하여버전을추가로보호할수있습니다. S3 버킷에활성화되면각버전삭제요청에는멀티팩터인증디바이스의 6 자리코드와일련번호가포함되어있어야합니다. 액세스로그 Amazon S3 버킷은버킷과버킷내의객체에대한액세스를로그하도록설정할수있습니다. 액세스로그에는요청유형, 요청한자원, 요청자의 IP, 요청시간및날짜등각액세스요청에대한정보가포함됩니다. 버킷에대한로깅을선택하면, 로그기록이주기적으로로그파일내에추가되어지정된 Amazon S3 버킷으로전달됩니다. CORS(Cross-Origin Resource Sharing) S3 를사용하여정적웹페이지를호스팅하거나다른웹페이지가사용하는객체를저장하는 AWS 고객은 S3 버킷을교차원본요청을명시적으로활성화하도록구성하여안전하게로드할수있습니다. 최신브라우저는악성콘텐츠가평판이나쁜출처 ( 교차사이트스크립팅공격등 ) 에서로드되지않도록보장하는방법으로써동일원본정책을사용하여 JavaScript 또는 HTML5 가요청을통해다른사이트또는도메인에서콘텐츠를로드하지않도록차단합니다. 교차원본리소스공유 (CORS) 정책이활성화되면 S3 버킷에저장된웹폰트및이미지등의자산은외부웹페이지, 스타일시트및 HTML5 애플리케이션에서안전하게참조할수있습니다. AWS Glacier 보안 Amazon Glacier 서비스는 Amazon S3 와같이저렴하고안전하며내구성이뛰어난스토리지를제공합니다. 하지만 S3 가신속한검색을위해설계된반면 Glacier 는자주액세스하지않고검색시간이여러시간걸려도괜찮은데이터의보관서비스로사용할목적으로개발되었습니다. Amazon Glacier 는파일을아카이브단위로볼트내에저장합니다. 아카이브는사진, 동영상또는문서등모든데이터가될수있고하나또는여러개의파일이포함되어있을수있습니다. 단일볼트에아카이브를무제한저장할수있고리전당최대 1,000 개의볼트를생성할수있습니다. 각아카이브에최대 40TB 의데이터를포함할수있습니다.
31 데이터업로드 Amazon Glacier 볼트로데이터를전송하기위해단일업로드작업이나멀티파트작업으로아카이브를업로드할수있습니다. 단일업로드작업으로최대 4GB 크기의아카이브를업로드할수있습니다. 그러나고객은멀티파트업로드 API 를사용할경우 100MB 가넘는아카이브를업로드할수있어더나은결과를얻을수있습니다. 멀티파트업로드 API 를사용하면최대 40,000GB 가량의대형아카이브를업로드할수있습니다. 멀티파트업로드 API 호출은대용량아카이브에대한업로드환경을개선하기위해설계되었으며, 파트를아무순서대로동시에개별적으로업로드할수있습니다. 멀티파트업로드가실패할경우전체아카이브가아니라실패한파트만다시업로드하면됩니다. Glacier 에데이터를업로드할때에는트리해시를계산해공급해야합니다. Glacier 는해시가중간에바뀌지않았는지확인하기위해데이터와비교검사합니다. 트리해시는메가바이트크기의각데이터세그먼트에대한해시를계산한뒤데이터의인접세그먼트가증가하는것을나타내는트리방식으로해시를결합해생성됩니다. Amazon Glacier 에많은양의데이터를업로드해야하는고객은멀티파트업로드기능을사용하는대신 AWS Import/Export 서비스를사용하여데이터를전송하는방법을고려해볼수있습니다. AWS Import/Export 는데이터전송시이동식스토리지디바이스를사용하여 AWS 로간편하게많은양의데이터를이동할수있습니다. AWS 는인터넷을우회하는 Amazon 의고속내부네트워크를사용하여스토리지디바이스에서데이터를전송합니다. 특정한간격으로 Glacier 에데이터를전송하도록 S3 를설정할수도있습니다. S3 에서 Glacier 에어떤객체를언제보관할것인지설명하는수명주기규칙을생성할수있습니다. 객체를삭제하기위해 S3 에배치한후에얼마나오래기다려야하는지도지정할수있습니다. 더높은수준의보안을달성하기위해 SSL 암호화엔드포인트를통해 Amazon Glacier 에안전하게데이터를업로드하거나다운로드할수있습니다. 암호화엔드포인트는인터넷과 Amazon EC2 내에서액세스할수있으므로데이터가 AWS 내부와 AWS 외부소스사이에서안전하게전송됩니다. 데이터검색 Amazon Glacier 에서아카이브를검색하려면검색작업을시작해야하는데이작업은대체로 3~5 시간이면완료됩니다. 그러면바이트범위요청이포함된 HTTP GET 요청을통해데이터에액세스할수있습니다. 데이터는 24 시간동안사용가능한상태로유지됩니다. 바이트범위검색을사용하여검색요금을줄이거나없앨수있습니다. 바이트범위검색을사용하는경우는여러개의파일을집계하여단일아카이브로업로드했다가그파일중적은수를선택해검색해야하는경우인데이때필요한파일이들어있는아카이브의범위만을검색할수있습니다. 이유를불문하고아카이브조각을검색할때검색된범위와전체아카이브의트리해시와일치시키면제공된체크섬을사용하여파일의무결성을확인할수있습니다. 데이터저장 Amazon Glacier 는 AES-256 을사용하여데이터를자동으로암호화하고변경이불가능한형태로내구성을고려해저장합니다. Amazon Glacier 는아카이브에대해연평균 % 의내구성을제공하도록설계되었습니다. 여러시설및여러디바이스에각아카이브를저장합니다. 어려운데이터검증및수동복구작업이필요할수있는일반적인시스템과달리 Glacier 는정기적이고체계적인데이터무결성검사를수행하며자동으로자가치유기능을실행하도록설계되어있습니다.
32 데이터액세스 계정을통해서만 Amazon Glacier 에서자신의데이터에액세스할수있습니다. Amazon Glacier 에서데이터액세스를제어하려면, AWS IAM 을사용하여계정내에서어떤사용자에게지정된볼트에대한작업권한이있는지지정합니다. AWS Storage Gateway 보안 AWS Storage Gateway 는온프레미스소프트웨어어플라이언스를클라우드기반스토리지에연결하는서비스로, IT 환경과 AWS 의스토리지인프라를원활하고안전하게통합할수있게해줍니다. 이서비스를사용하면 AWS 의확장가능하고안정적이고안전한 S3 스토리지서비스에데이터를안전하게업로드할수있으므로비용효율적인백업과신속한재해복구가가능합니다. AWS Storage Gateway 는데이터를사이트외부의 Amazon S3 에 Amazon EBS 스냅샷형태로투명하게백업합니다. Amazon S3 는이러한스냅샷을여러설비의여러디바이스에중복저장하고중복성손실을감지하여복구합니다. Amazon EBS 스냅샷은온프레미스에서복원하거나새로운 Amazon EBS 볼륨을인스턴스화하는데사용할수있는지정시점백업을제공합니다. 데이터는지정한단일리전에저장됩니다. AWS Storage Gateway 는두가지옵션을제공합니다. 게이트웨이저장볼륨 ( 클라우드가백업되는경우 ). 이옵션에서는볼륨데이터가로컬로저장된다음 Amazon S3 로푸시되고중복암호화된형태로저장되며 Elastic Block Store(EBS) 스냅샷의형태로사용가능하게됩니다. 이모델을사용하면온프레미스스토리지가기본이기때문에전체데이터세트에지연시간이낮은액세스를제공하고클라우드스토리지가백업이됩니다. 게이트웨이캐싱볼륨 ( 클라우드가기본인경우 ). 이옵션에서는볼륨데이터가 Amazon S3 에암호화되어저장되고 iscsi 인터페이스를통해엔터프라이즈의네트워크내에표시됩니다. 최근에액세스한데이터는지연시간이낮은로컬액세스를위해온프레미스에캐싱됩니다. 이모델을사용하면클라우드스토리지가기본이지만온프레미스에서캐싱된볼륨에설정된활성작동세트에대한지연시간이낮은액세스를얻을수있습니다. 어떤옵션을선택하든데이터는온프레미스스토리지하드웨어에서 SSL 을통해 AWS 로비동기식으로전송됩니다. 256 비트암호화키를사용하는대칭키암호화표준인 AES(Advanced Encryption Standard) 256 을사용하여데이터가암호화되어 Amazon S3 에저장됩니다. 변경된데이터만을업로드하기때문에인터넷을통한데이터전송량을최소화할수있습니다. AWS Storage Gateway 는 VMware ESXi Hypervisor v 4.1 또는 v 5 또는 Microsoft Hyper-V( 설정프로세스중에 VMware 소프트웨어다운로드 ) 를실행하는데이터센터에호스트로배포하는가상머신 (VM) 으로실행됩니다. 해당가상머신에 iscsi(internet Small Computer System Interface) 스토리지볼륨 ( 대상 ) 을생성할수있습니다. 온프레미스애플리케이션 ( 이니시에이터 ) 이이에접속하여데이터를저장하면, 데이터가 AWS 로업로드됩니다. 설치하고구성하는동안게이트웨이당최대 12 개의 iscsi 스토리지볼륨을만들수있습니다. 설치하면각게이트웨이는업데이트와패치를자동으로다운로드, 설치및배포합니다. 이작업은게이트웨이별로설정된유지관리기간동안일어납니다.
33 iscsi 프로토콜은 CHAP(Challenge-Handshake 인증프로토콜 ) 을통한대상과이니시에이터간인증을지원합니다. CHAP 은주기적으로 iscsi 이니시에이터의 ID 를스토리지볼륨대상에액세스하기위해인증된것으로확인하여중간자및재생공격으로부터보호합니다. CHAP 를설정하려면 AWS Storage Gateway 콘솔및대상에연결하기위해사용된 iscsi 이니시에이터소프트웨어모두에구성해야합니다. AWS Storage Gateway VM 을배포한다음 AWS Storage Gateway 콘솔을사용하여게이트웨이를활성화해야합니다. 정품인증프로세스는게이트웨이와 AWS 계정을연결합니다. 이연결을설정하면콘솔에서게이트웨이의거의모든측면을관리할수있습니다. 정품인증하는동안게이트웨이의 IP 주소및이름, 스냅샷백업을저장할 AWS 리전및게이트웨이시간대를지정합니다. AWS Import/Export 보안 AWS Import/Export 는 AWS S3 또는 EBS 스토리지에대량의데이터를물리적으로전송하는간단하고안전한메서드입니다. 이서비스는대체로데이터가 100GB 를초과하거나연결속도가느려인터넷을통한전송속도가느린고객이사용합니다. AWS Import/Export 를사용하면안전한 AWS 시설로배송하는휴대용스토리지디바이스를준비할수있습니다. AWS 는 Amazon 의고속내부네트워크를사용하여스토리지디바이스에서데이터를전송함으로써인터넷을우회합니다. 반대로, 데이터는 AWS 에서휴대용스토리지디바이스로내보낼수도있습니다 AWS Import/Export 서비스는다른모든 AWS 서비스와마찬가지로스토리지디바이스를안전하게식별및인증해야합니다. 이경우 Amazon S3 버킷, Amazon EBS 리전, AWS 액세스키 ID, 반품배송주소를포함한작업요청을 AWS 에전송합니다. 사용자는해당작업의고유식별자, 디바이스인증을위한디지털서명, 스토리지디바이스를배송할 AWS 주소를받게됩니다. Amazon S3 의경우디바이스의루트디렉토리에서명파일을저장합니다. Amazon EBS 의경우디바이스외부에서명바코드를테이프로부착합니다. 서명파일은인증에만사용되고 S3 또는 EBS 에업로드되지않습니다. S3 로전송하려면고객이데이터를업로드해야하는특정버킷을지정하고로드를하고있는계정이버킷쓰기권한이있는지확인해야합니다. 또한 S3 에로드된각객체에적용할액세스제어목록을지정해야합니다. EBS 에전송하려면 EBS 가져오기작업을위한대상리전을지정합니다. 스토리지디바이스가최대볼륨크기인 1TB 보다작거나같으면해당콘텐츠가직접 Amazon EBS 스냅샷으로로드됩니다. 스토리지디바이스용량이 1TB 를초과하는경우지정된 Amazon S3 로그버킷내에디바이스이미지가저장됩니다. 그러면 Logical Volume Manager 와같은소프트웨어를사용해 Amazon EBS 볼륨의 RAID 를만들고이미지를 Amazon S3 에서이새로운볼륨으로복사할수있습니다. 업로드가완료된후 AWS 가스토리지디바이스의콘텐츠를삭제하게하려는지여부를지정할수있습니다. 이옵션을선택하면스토리지디바이스의쓰기가능한모든블록이 0 으로덮어쓰기됩니다. 디바이스가지워진후에는디바이스를다시파티셔닝하고포맷해야합니다. 디바이스를국제배송할경우 AWS 에전송되는매니페스트파일에세관옵션및특정필수하위필드가필요합니다. AWS Import/Export 는이러한값을사용하여인바운드배송을검증하고아웃바운드세관서류를준비합니다. 이옵션중두가지는디바이스에저장된데이터가암호화되었는지여부와암호화소프트웨어의분류입니다. 미국내외로암호화된데이터를배송하는경우미국수출관리규정 (United States Export Administration Regulations) 에따라암호화소프트웨어를 5D992 로분류해야합니다.
34 AWS Data Pipeline AWS Data Pipeline 서비스는데이터중심워크플로우및기본제공되는종속성확인기능을사용하여여러데이터소스간에지정된간격으로데이터를안정적으로처리하고이동할수있도록도와줍니다. 파이프라인을생성하면데이터소스, 전제조건, 대상, 처리단계및운영일정을정의하게됩니다. 파이프라인을정의및활성화하면지정한일정에따라자동으로실행됩니다. AWS Data Pipeline 을사용하면리소스가용성확인, 작업간종속성관리, 일시적실패 / 시간초과로인한개별작업재시도, 실패알림생성시스템등에대해염려하지않아도됩니다. AWS Data Pipeline 은파이프라인이데이터를처리하는데필요한 AWS 서비스및리소스 ( 예 : Amazon EC2 또는 EMR) 를시작하고스토리지 ( 예 : Amazon S3, RDS, DynamoDB 또는 EMR) 에결과를전송하는일을담당합니다. 콘솔을사용하는경우 AWS Data Pipeline 이신뢰할수있는필요한엔터티목록등의 IAM 역할및정책을생성합니다. IAM 역할은파이프라인이액세스할수있는것과수행할수있는작업을결정합니다. 또한파이프라인이 EC2 인스턴스등의리소스를생성하면 IAM 역할이 EC2 인스턴스의허용된리소스및작업을결정합니다. 파이프라인을생성하면파이프라인을통제하는 IAM 역할하나와파이프라인의리소스를통제하는또다른 IAM 역할 (" 리소스역할 " 이라함 ) 을지정하는데두가지모두같은역할일수있습니다. 최소권한부여방식의보안모범사례의한부분으로파이프라인이작업을수행하고이에따라 IAM 역할을정의하는데필요한최소권한을고려하는것이좋습니다. 대부분의 AWS 서비스와마찬가지로, AWS Data Pipeline 도 SSL 을통한액세스를위해안전 (HTTPS) 엔드포인트옵션을제공합니다. Amazon Simple Database(SimpleDB) 보안 Amazon SimpleDB 는데이터베이스관리작업부담을덜어주어웹서비스요청을통해데이터항목을간단하게저장및쿼리할수있는비관계형데이터스토리지입니다. Amazon SimpleDB 는여러지역에분산된데이터복제본을자동으로생성및관리하여높은가용성과데이터내구성을확보합니다. Amazon SimpleDB 의데이터는도메인에저장되며여러도메인에서기능을수행할수없다는점을제외하면데이터베이스테이블과유사합니다. Amazon SimpleDB API 는도메인생성자에게허가된접근만허용하는도메인차원의제어기능을제공합니다. 따라서사용자데이터에대한접근권을갖는사용자들에대한통제권한을사용자가갖습니다. Amazon SimpleDB 는자체적으로리소스기반권한시스템을제공하지않습니다. 하지만서비스가 AWS IAM 과통합되어있으므로사용자는 AWS 계정의다른사용자에게 AWS 계정내 Amazon SimpleDB 도메인에대한액세스권한을부여할수있습니다. 각개별도메인에대한액세스권한은인증된사용자를고객이소유한도메인에매핑한별도의 ACL 을통해관리됩니다. AWS IAM 을이용하여생성한사용자는정책에따라권한이부여된작업과도메인에만액세스할수있습니다. 또한 SimpleDB 서비스에대한각요청에는유효한 HMAC-SHA 서명이포함되어있어야하며, 그렇지않은경우요청이거부됩니다. AWS SDK 중하나를사용하여 Amazon SimpleDB 에액세스하는경우 SDK 가사용자대신인증프로세스를처리합니다. 그렇지만 REST 요청을사용하여 Amazon SimpleDB 에액세스하는경우사용자는 AWS 액세스키 ID, 유효한 HMAC-SHA 서명 (HMAC-SHA1 또는 HMAC-SHA256 중하나 ) 및타임스탬프를제공해야요청에대한인증을받을수있습니다. AWS 는사용자의액세스키 ID 를사용하여보안액세스키를검색하고요청에전송된서명을계산하는데사용하는동일한알고리즘을사용하여요청데이터및보안액세스키로부터서명을생성합니다. AWS 에서생성된서명이사용자가요청을통해보낸서명과일치하는경우요청이인증된것으로간주됩니다. 서명이일치하지않는경우요청이삭제되고 AWS 는오류를반환합니다.
35 Amazon SimpleDB 는 SSL 로암호화된엔드포인트를통해액세스할수있습니다. 이암호화된엔드포인트에는인터넷과 Amazon EC2 에서모두액세스할수있습니다. Amazon SimpleDB 에저장된데이터는 AWS 에서암호화하지않습니다. 그러나고객은 Amazon SimpleDB 에업로드하기전에데이터를암호화할수있습니다. 이와같이암호화된속성은 Get 작업을통해서만검색할수있으며, 쿼리필터링조건으로는사용할수없습니다. Amazon SimpleDB 에전송하기전에데이터를암호화하면 AWS 를포함한어떤장치에서든중요한고객데이터에접근하지못하도록보호합니다. Amazon SimpleDB 에서도메인하나를삭제하면이도메인에대한매핑이즉시제거되는데이작업은분산된시스템을대상으로일반적으로몇초이내에완료됩니다. 일단매핑이제거되면삭제된도메인에원격으로액세스할수없습니다. 항목과속성데이터를도메인에서삭제하면도메인내의매핑이즉시제거되며이작업도일반적으로몇초이내에완료됩니다. 일단매핑이제거되면삭제된데이터에원격으로액세스할수없습니다. 저장영역은쓰기작업에만사용할수있으며, 데이터는새로저장한데이터로업데이트됩니다. Amazon SimpleDB 에저장된데이터는정규서비스작업의일부로추가비용없이여러물리적위치에중복저장됩니다. Amazon SimpleDB 는초기쓰기과정에서여러가용영역에객체를여러번저장하여객체의내구성을제공하고이후에디바이스를사용할수없거나비트손상 (bit-rot) 이감지될경우에대비하여추가로복제하는적극적인조치를취합니다. Amazon DynamoDB 보안 Amazon DynamoDB 는완벽하게관리되는 NoSQL 데이터베이스서비스로서원활한확장성과함께빠르고예측가능한성능을제공합니다. Amazon DynamoDB 를통해분산데이터베이스를운영하고 AWS 로조정하는데따른관리부담에서벗어날수있으며, 하드웨어프로비저닝, 설정및구성, 복제, 소프트웨어패치또는클러스터조정에대해서도걱정할필요가없습니다. 데이터규모에관계없이데이터를저장및검색하고, 어떤수준의요청트래픽이라도처리할수있는데이터베이스테이블을생성할수있습니다. DynamoDB 는테이블의데이터와트래픽을충분한수의서버로자동분산하여지정된요청용량과저장된데이터양을처리하면서도일관되고빠른성능을유지합니다. 모든데이터항목이 SSD(Solid State Drive) 에저장되고리전의여러가용영역에걸쳐자동복제되기때문에확실한고가용성과데이터내구성을보여줍니다. Amazon DynamoDB 는자체적으로리소스기반권한시스템을제공하지않습니다. 하지만서비스가 AWS IAM Security Token Service 와통합되어있으므로사용자는 AWS 계정의다른사용자에게 AWS 계정내 Amazon DynamoDB 테이블에대한액세스권한을부여할수있습니다. 각개별테이블에대한액세스권한은인증된사용자를고객이소유한테이블에매핑한별도의 ACL 을통해관리됩니다. AWS IAM 을이용하여생성한사용자는정책에따라권한이부여된작업과테이블에만액세스할수있습니다. Amazon DynamoDB 를사용하려면사용자가인증프로세스가신속하고효율적으로진행될수있도록 AWS Security Token Service 로부터자격증명을얻어야합니다. AWS Security Token Service 가임시보안자격증명을생성하면자격증명이얼마나오래유효한지지정할수있습니다. 보안상의이유로 AWS 계정의루트자격증명에대한보안토큰의수명은 1 시간으로제한됩니다. 단, IAM 사용자의임시자격증명또는 IAM 사용자가검색하는연동된사용자자격증명은최대 36 시간동안유효할수있습니다.
36 또한 DynamoDB 서비스에대한각요청에는유효한 HMAC-SHA256 서명이포함되어야하며, 포함되지않은경우요청이거부됩니다. AWS SDK 는자동으로요청에서명하고 Amazon DynamoDB 에필요한 AWS Security Token Service 자격증명을관리합니다. 하지만사용자가자체적으로 HTTP POST 요청을작성하려는경우 Amazon DynamoDB 에대한요청헤더에서명을제공해야합니다. 서명을계산하려면 AWS Security Token Service 에임시보안자격증명을요청해야합니다. 임시보안자격증명을사용하여 Amazon DynamoDB 에대한요청에서명합니다. Amazon DynamoDB 는 SSL 로암호화된엔드포인트를통해액세스할수있습니다. 이암호화된엔드포인트에는인터넷과 Amazon EC2 에서모두액세스할수있습니다. Amazon Relational Database Service(Amazon RDS) 보안 Amazon RDS 를통해관계형데이터베이스 (DB) 인스턴스를신속하게만들고, 애플리케이션요구에맞춰관련컴퓨팅리소스및스토리지용량을유연하게확장할수있습니다. Amazon RDS 는백업수행, 장애조치처리, 및데이터베이스소프트웨어유지관리를통해고객을대신하여데이터베이스인스턴스를관리합니다. 현재 Amazon RDS 는 MySQL, Oracle 또는 Microsoft SQL Server 데이터베이스엔진에사용할수있습니다. Amazon RDS 에는 DB 보안그룹, 사용권한, SSL 연결, 자동화된백업, DB 스냅샷, 다중 AZ 배포를포함해중요한프로덕션데이터베이스의안정성을높여주는여러가지기능이있습니다. DB 인스턴스는추가네트워크격리를위해 Amazon VPC 에도배포할수있습니다. 액세스제어 Amazon RDS 내에서처음 DB 인스턴스를생성할경우 DB 인스턴스에대한액세스를제어하기위해 Amazon RDS 컨텍스트안에서만사용되는마스터사용자계정을만듭니다. 마스터사용자계정은모든데이터베이스권한을사용하여 DB 인스턴스에로그인할수있도록허용하는기본데이터베이스사용자계정입니다. DB 인스턴스를만들때각 DB 인스턴스에연결할마스터사용자이름과암호를지정할수있습니다. DB 인스턴스를만들면마스터사용자자격증명을사용하여데이터베이스에연결할수있습니다. 그다음으로 DB 인스턴스에액세스가능한사용자를제한할수있도록추가사용자계정을생성할수있습니다. Amazon EC2 보안그룹과비슷하지만동일하게사용할수없는 DB 보안그룹을통해 Amazon RDS DB 인스턴스를제어할수있습니다. DB 보안그룹은 DB 인스턴스에대한네트워크액세스를제어하는방화벽과비슷한역할을합니다. 데이터베이스보안그룹기본값은 ' 모두거부 ' 액세스모드입니다. 따라서고객이네트워크진입을명확하게허가해야만합니다. 이를위한두가지방법은일정한네트워크 IP 범위를허가하거나기존 Amazon EC2 보안그룹을허가하는것입니다. DB 보안그룹은데이터베이스서버포트 ( 다른모든포트는차단됨 ) 에대한액세스를허용하고 Amazon RDS DB 인스턴스를다시시작하지않고도업데이트할수있습니다. 이렇게하면고객이자신의데이터베이스액세스권한을원활하게제어할수있습니다. AWS IAM 을사용하여 RDS DB 인스턴스에대한액세스를추가로제어할수있습니다. AWS IAM 을사용하면개별사용자가어떤 RDS 작업을호출할수있는지제어할수있습니다. 네트워크격리 추가네트워크액세스제어를위해 Amazon VPC 에서 DB 인스턴스를실행할수있습니다. Amazon VPC 에서는사용하려는 IP 범위를지정하여 DB 인스턴스를분리하고, 업계표준암호화방식의 IPsec VPN 을사용하여기존 IT 인프라에접속할수있습니다. 현재 Amazon VPC 기능은 MySQL DB 엔진에서만사용할수있습니다.
37 VPC 에서 Amazon RDS 를실행하면프라이빗서브넷내에 DB 인스턴스를만들수있습니다. 가상프라이빗게이트웨이를설정해사내네트워크를 VPC 로확장하여해당 VPC 의 RDS DB 인스턴스에액세스할수있도록하는방법도있습니다. 자세한내용은 Amazon VPC User Guide 를참조하십시오. 다중 AZ 배포의경우, 특정리전의모든가용영역에서브넷을정의하면 Amazon RDS 가필요한경우다른가용영역에새로운예비복제본을만들수있습니다. VPC 에서 RDS DB 인스턴스에대해지정할수있는서브넷의모음인 DB 서브넷그룹을생성할수있습니다. 각 DB 서브넷그룹에는특정리전의가용영역마다하나이상의서브넷이있어야합니다. 이경우 VPC 에 DB 인스턴스를생성하면 DB 서브넷그룹을선택하게됩니다. 그러면 Amazon RDS 가해당 DB 서브넷그룹및원하는가용영역을사용하여해당서브넷내에서서브넷과 IP 주소를선택합니다. Amazon RDS 가엘라스틱네트워크인터페이스를만든다음해당 IP 주소를가진 DB 인스턴스에연결합니다. Amazon VPC 에배포된 DB 인스턴스는인터넷에서액세스하거나 VPN 또는퍼블릭서브넷에서실행할수있는배스천호스트를통해 VPC 외부의 Amazon EC2 인스턴스에서액세스할수있습니다. 배스천호스트를사용하려면 SSH 접속역할을하는 EC2 인스턴스를사용하여퍼블릭서브넷을설정해야합니다. 이퍼블릭서브넷은 SSH 호스트를통해트래픽을제어할수있는인터넷게이트웨이또는라우팅규칙이필요합니다. 또한, SSH 호스트에서 Amazon RDS DB 인스턴스의프라이빗 IP 주소로요청을전달할수있어야합니다. DB 보안그룹을사용하면 Amazon VPC 의 DB 인스턴스를보호할수있습니다. 또한네트워크각서브넷에출입하는네트워크트래픽은네트워크 ACL 를통해허용하거나거부할수있습니다. IPsec VPN 연결을통해 Amazon VPC 에출입하는모든네트워크트래픽은네트워크방화벽, 침입탐지시스템등온프레미스보안인프라에서모니터링할수있습니다. 암호화 SSL 을사용하여애플리케이션과 DB 인스턴스사이의연결을암호화할수있습니다. MySQL 및 SQL Server 의경우 RDS 가 SSL 인증서를생성하고, 인스턴스가프로비저닝되면 DB 인스턴스에인증서를설치합니다. MySQL 의경우연결을암호화하기위해 --ssl_ca 파라미터를사용해 mysql 클라이언트를시작하고퍼블릭키를참조합니다. SQL Server 의경우퍼블릭키를다운로드하고 Windows 운영체제로인증서를가져오십시오. Oracle RDS 는 DB 인스턴스와함께 Oracle 기본네트워크암호화를사용합니다. 옵션그룹에기본네트워크암호화옵션을추가하고해당옵션그룹을 DB 인스턴스와연결하기만하면됩니다. 암호화된연결이설정되면 DB 인스턴스와애플리케이션간에전송되는데이터는전송중에암호화됩니다. DB 인스턴스에서암호화된연결만허용하도록요구할수있습니다. 데이터베이스에 상주 해있는 MySQL 또는 SQL Server 데이터를암호화해야하는경우애플리케이션이데이터의암호화및복호화를관리해야합니다. Amazon RDS 는 Oracle Enterprise Edition 에서지원되는 Oracle Advanced Security 옵션의기능인 Oracle Transparent Data Encryption(TDE) 을지원합니다. 이기능은스토리지에데이터를쓰기전에자동으로데이터를암호화한뒤에스토리지에서읽을때다시자동으로해독합니다. Amazon RDS 내에서 SSL 지원은애플리케이션과 DB 인스턴스간에연결을암호화하기위한것으로, DB 인스턴스자체를인증하기위한용도로사용해서는안됩니다. SSL 은보안이점을제공하지만 SSL 암호화는컴퓨팅중심의작업이며데이터베이스연결의지연시간을늘립니다. MySQL 에서 SSL 을사용하는방법에대한자세한내용은여기에있는 MySQL 문서를직접참조하십시오. SSL 이 SQL Server 와연동되는방식에대한자세한내용은 RDS 사용설명서에서자세히알아볼수있습니다.
38 자동백업및 DB 스냅샷 Amazon RDS 는 DB 인스턴스백업및복구를위한두가지방법, 즉자동백업및데이터베이스스냅샷 (DB 스냅샷 ) 을제공합니다. Amazon RDS 의백업자동화기능은기본적으로활성화되어있으며, 이를통해 DB 인스턴스에대한지정시간복구가가능합니다. Amazon RDS 는데이터베이스및트랜잭션로그를백업하고두로그를모두사용자가지정한보존기간동안저장합니다. 이를통해 DB 인스턴스를보존기간중어느시점 ( 초 ) 으로나복원할수있습니다 ( 마지막 5 분까지가능 ). 자동백업보존기간은최대 35 일로구성할수있습니다. 백업기간중에데이터가백업되는동안스토리지 I/O 가일시적으로중단될수있습니다. 이 I/O 일시중단시간은일반적으로몇분정도걸립니다. 다중 AZ DB 배포를사용하면백업이예비복제본에서수행되므로이처럼 I/O 가일시중단되는문제를방지할수있습니다. DB 스냅샷은사용자가시작한 DB 인스턴스백업입니다. 이러한전체데이터베이스백업은사용자가명시적으로삭제할때까지는 Amazon RDS 에저장됩니다. 원하는경우언제나 DB 스냅샷에서새 DB 인스턴스를생성할수있습니다. 복제 Amazon RDS 는서로다르지만상호보완적인두가지복제기능, 즉다중가용영역 ( 다중 AZ) 배포및읽기전용복제본을제공합니다. 다중 AZ 배포와읽기전용복제본을함께사용하면데이터베이스가용성이향상되고, 예기치않은정전에대비해최신데이터베이스업데이트를보호할수있습니다. 또한, 단일 DB 인스턴스의용량을한도이상으로확장해, 읽기중심의데이터베이스워크로드도원활히처리할수있습니다. 현재다중 AZ 배포및읽기복제본은 MySQL 데이터베이스엔진에서지원됩니다. 자세한내용은 MySQL 용 Amazon RDS 를참조하십시오. 자동소프트웨어패치 Amazon RDS 는최신패치를통해배포를지원하는관계형데이터베이스소프트웨어가최신상태로유지되도록합니다. 필요한경우제어가능한유지관리기간중에패치를적용합니다. Amazon RDS 유지관리기간은요청이나필요에따라 DB 인스턴스를수정 (DB 인스턴스클래스확장등 ) 하거나소프트웨어패치를적용하는시기를조정할수있는기간입니다. 유지관리 작업이특정주에예정되어있는경우, 사용자가지정하는 30 분의유지관리기간중특정시점에시작되고완료됩니다. 스케일계산작업 ( 일반적으로시작에서완료까지몇분밖에걸리지않음 ) 또는필수소프트웨어패치적용시에만 Amazon RDS 가 DB 인스턴스를오프라인으로설정합니다. 필수패치적용은보안및내구성과관련된패치에대해서만자동으로예약됩니다. 이러한패치적용은자주발생하는것은아닙니다 ( 일반적으로몇달에한번 ). 또한유지관리시간에서차지하는비중도크지않습니다. DB 인스턴스를만들때기본주별유지관리기간을지정하지않으면 30 분이기본값으로지정됩니다. 사용자를대신해자동으로유지관리를수행하는시기를수정하려면 AWS Management Console 에서 DB 인스턴스를수정하거나 ModifyDBInstance API 를사용하면됩니다. 원하는경우각 DB 인스턴스에서로다른기본유지관리기간을설정할수있습니다. DB 인스턴스를다중 AZ 배포로실행하면유지관리작업으로인한영향을더욱줄일수있습니다. Amazon RDS 는 1) 대기목록에서유지관리수행, 2) 대기목록을기본목록으로승격, 3) 이전에기본목록이었지만현재는새로운대기목록인유지관리를수행하는단계로유지관리를실행하기때문입니다.
View Licenses and Services (customer)
빠른 빠른 시작: 시작: 라이선스, 라이선스, 서비스 서비스 및 주문 주문 이력 이력 보기 보기 고객 가이드 Microsoft 비즈니스 센터의 라이선스, 서비스 및 혜택 섹션을 통해 라이선스, 온라인 서비스, 구매 기록 (주문 기록)을 볼 수 있습니다. 시작하려면, 비즈니스 센터에 로그인하여 상단 메뉴에서 재고를 선택한 후 내 재고 관리를 선택하십시오. 목차
More informationvRealize Automation용 VMware Remote Console - VMware
vrealize Automation 용 VMware Remote Console VMware Remote Console 9.0 이문서는새버전으로교체되기전까지나열된각제품버전및모든이후버전을지원합니다. 이문서에대한최신버전을확인하려면 http://www.vmware.com/kr/support/pubs 를참조하십시오. KO-002230-00 vrealize Automation
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More informationWeb Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현
02 Web Application Hosting in the AWS Cloud www.wisen.co.kr Wisely Combine the Network platforms Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인
More informationCloud Friendly System Architecture
-Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture
More informationOffice 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack
FastTrack 1 Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack 5 11 2 FASTTRACK 소개 디지털 혁신은 여기서 시작합니다. Microsoft FastTrack은 Microsoft 클라우드를 사용하여 고객이 신속하게 비즈니스 가치를 실현하도록 돕는 고객 성공 서비스입니다.
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More informationWindows Server 2012
Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB
More informationCisco FirePOWER 호환성 가이드
Cisco 호환성가이드 Cisco 호환성 이문서에서는 Cisco 소프트웨어와하드웨어의호환성및요건을다룹니다. 추가 릴리스또는제품정보는다음을참조하십시오. 설명서로드맵 : http://www.cisco.com/c/en/us/td/docs/security/firesight/ roadmap/firesight-roadmap.html Cisco ASA 호환성가이드 : http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/
More informationAmazon EBS (Elastic Block Storage) Amazon EC2 Local Instance Store (Ephemeral Volumes) Amazon S3 (Simple Storage Service) / Glacier Elastic File Syste (EFS) Storage Gateway AWS Import/Export 1 Instance
More informationMicrosoft Word - release note-VRRP_Korean.doc
VRRP (Virtual Router Redundancy Protocol) 기능추가 Category S/W Release Version Date General 7.01 22 Dec. 2003 Function Description VRRP 는여러대의라우터를그룹으로묶어하나의가상 IP 어드레스를부여해마스터로지정된라우터장애시 VRRP 그룹내의백업라우터가마스터로자동전환되는프로토콜입니다.
More informationRHEV 2.2 인증서 만료 확인 및 갱신
2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_
More information[Brochure] KOR_TunA
LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /
More information6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO
Windows 7 설치및 PCIE RAID 설정정보 DK173 초판 11월 2016 A. Windows 7 및 USB 드라이버설치 칩셋사양에따라 Windows 7 설치중에 USB 키보드 / 마우스를사용하려면시스템에서 USB 드라이버를사전로드해야합니다. 이절에서는 USB 드라이버사전로드방법과 Windows 7 설치방법에대해서설명합니다. 방법 1: SATA ODD
More informationIP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1
IP 심화 º 각 P 의게이트웨이는해당네트워크의마지막주소를사용한다. - P1 (210.220.10.1/26) 의게이트웨이 (5의 Fa0/0) : 210.220.10.63 /26 = 255.255.255.192 호스트비트수 : 32-26 = 6 비트 => = 64 그러므로 P1의 IP 210.220.10.1 중서브넷마스크에의거 26비트는변함이없고, 나머지 6비트가호스트비트로변하므로
More informationSystem Recovery 사용자 매뉴얼
Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.
More information경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P
Duplicator 는기본적으로원본하드디스크를빠르게복사본하드디스크에복사하는기능을하는것입니다.. 복사본 하드디스크가원본하드디스크와똑같게하는것을목적으로하는것이어서저용량에서고용량으로복사시몇 가지문제점이발생할수있습니다. 하드디스크는사용하려면, 디스크초기화를한후에포맷을해야사용가능합니다. Windows PC는 MBR과 GPT 2 개중에 1개로초기화합니다. -Windows
More information소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기
소규모 비즈니스를 위한 YouTube 플레이북 YouTube에서 호소력 있는 동영상으로 고객과 소통하기 소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More information1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L
1,000 AP 20,000 ZoneDirector 5000. IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. WLAN LAN Ruckus Wireless (ZD5000),, WLAN. 20,000 2,048 WLAN ZD5000 1,000 ZoneFlex
More informationWindows 10 General Announcement v1.0-KO
Windows 10 Fuji Xerox 장비와의호환성 v1.0 7 July, 2015 머리말 Microsoft 는 Windows 10 이 Windows 자동업데이트기능을통해예약되어질수있다고 6 월 1 일발표했다. 고객들은 윈도우 10 공지알림을받기 를표시하는새로운아이콘을알아차릴수있습니다. Fuji Xerox 는 Microsoft 에서가장최신운영시스템인 Windows
More information희망브리지
Building Your First Amazon VPC V3.5 2016.10 Index 01. Overview 02. Create the base VPC 03. Launch EC2 instances 04. Manually create public & private subnet 05. Launch a bastion windows host 06. Connect
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More informationIntro to AWS Cloud-중앙대
2015, Amazon Web Services, Inc. or its Affiliates. All rights reserved. ? IT Amazon Elastic Compute Cloud (EC2) Amazon Elastic Block Store (EBS) Amazon Simple Storage Service (S3) Amazon Relational
More informationMicrosoft Word - wiseCLOUD_v2.4_InstallGuide.docx
BizmerceCorp Install Guide wisecloud 2.4 Install Guide wisecloud RPM Install Version: 1.0 Author : Bizmerce Corp. Last Written Date : 2018-03-23 Copyright c2014-2017 Bizmerce. All rights reserved.. Contents
More informationHLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :
HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,
More informationMicrosoft PowerPoint - 권장 사양
Autodesk 제품컴퓨터사양 PRONETSOFT.CO 박경현 1 AutoCAD 시스템사양 시스템요구사양 32 비트 AutoCAD 2009 를위한시스템요구사항 Intel Pentium 4 프로세서 2.2GHz 이상, 또는 Intel 또는 AMD 듀얼 코어프로세서 16GH 1.6GHz 이상 Microsoft Windows Vista, Windows XP Home
More information슬라이드 1
TCPdump 사용법 Neworks, Inc. (Tel) 070-7101-9382 (Fax) 02-2109-6675 ech@pumpkinne.com hp://www.pumpkinne.co.kr TCPDUMP Tcpdump 옵션 ARP 정보 ICMP 정보 ARP + ICMP 정보 IP 대역별정보 Source 및 Desinaion 대역별정보 Syn 과 syn-ack
More informationIRISCard Anywhere 5
이 빠른 사용자 가이드는 IRISCard Anywhere 5 및 IRISCard Corporate 5 스캐너의 설치와 시작을 도와 드립니다. 이 스캐너와 함께 제공되는 소프트웨어는: - Cardiris Pro 5 및 Cardiris Corporate 5 for CRM (Windows 용) - Cardiris Pro 4 (Mac OS 용) Cardiris 의
More information2016, Amazon Web Services, Inc. 또는계열사. All rights reserved. 고지사항 이문서는정보제공목적으로만제공됩니다. 본문서의발행일당시 AWS 의현재제품및실행방법을설명하며, 예고없이변경될수있습니다. 고객은본문서에포함된정보나 AWS 제품
AWS 소개보안프로세스 ( 본문서의최신버전을보려면다음을참조하십시오. http://aws.amazon.com/security/ ) 2016, Amazon Web Services, Inc. 또는계열사. All rights reserved. 고지사항 이문서는정보제공목적으로만제공됩니다. 본문서의발행일당시 AWS 의현재제품및실행방법을설명하며, 예고없이변경될수있습니다.
More information810 & 820 810 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을
목적에 맞게 설계된 어플라 이언스 원격 용도로 최적화된 어플라이언스 관리 및 에너지 효율성 향상 원격 관리 LOM(Lights Out Management), IPMI 2.0 장치 식별 버튼/LED 실시간 시스템 환경 및 오류 모 니터링 Infoblox MIBS를 통한 SNMP 모니터링 고가용성 공급 장치 예비 디스크 예비 냉각 팬 전원 공급 장치 현장 교체
More informationDBMS & SQL Server Installation Database Laboratory
DBMS & 조교 _ 최윤영 } 데이터베이스연구실 (1314 호 ) } 문의사항은 cyy@hallym.ac.kr } 과제제출은 dbcyy1@gmail.com } 수업공지사항및자료는모두홈페이지에서확인 } dblab.hallym.ac.kr } 홈페이지 ID: 학번 } 홈페이지 PW:s123 2 차례 } } 설치전점검사항 } 설치단계별설명 3 Hallym Univ.
More information라우터
네트워크 라우터 네트워크연결 라우터의 포지셔닝 맵 예전에는 소규모 환경에서도 스위치 무선 액세스 포인트 가속 어플라이언스 등 다양한 디바이스를 설치해야만 했습니다 은 이런 여러 디바이스에서 제공되는 네트워크 서비스를 하나의 플랫폼에 통합할 수 있는 슈퍼 라우터 입니다 이런 라우터들은 여러 서비스를 통합할 수 있을 뿐 아니라 라이선스 활성화 및 또는 확장 모듈
More informationUSC HIPAA AUTHORIZATION FOR
연구 목적의 건강정보 사용을 위한 USC HIPAA 승인 1. 본 양식의 목적: 건강보험 이전과 책임에 관한 법(Health Insurance Portability and Accountability Act, HIPAA)이라고 알려진 연방법은 귀하의 건강정보가 이용되는 방법을 보호합니다. HIPAA 는 일반적으로 귀하의 서면 동의 없이 연구를 목적으로 귀하의
More information목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault
사용자매뉴얼 JetFlash Vault 100 ( 버전 1.0) 1 목차 1. 시스템요구사항... 3 2. 암호및힌트설정 ( 윈도우 )... 3 3. JetFlash Vault 시작하기 ( 윈도우 )... 7 4. JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 찾아보기... 10 JetFlash
More informationMicrosoft Word - NAT_1_.doc
NAT(Network Address Translation) 1. NAT 개요 1 패킷의 IP 헤더의수신지주소, 발신지주소또는그주소를다른주소로변경하는과정 2 NAT기능을갖는장치를 NAT-BOX라함 ( 시스코라우터, 유닉스시스템, 윈도우의호스트혹은몇개의다른시스템일수있기때문에이렇게지칭하기도함 ) 3 NAT 기능을갖는장치는일반적으로스텁도메인 (Stub-domain)
More informationCertJuken 専門的な IT 認証問題集を提供する CertJuken
CertJuken http://www.certjuken.com 専門的な IT 認証問題集を提供する CertJuken Exam : AWS-Developer-KR Title : AWS Certified Developer - Associate Vendor : Amazon Version : DEMO Get Latest & Valid AWS-Developer-KR Exam's
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationUser Guide
HP ThinUpdate 관리자 설명서 Copyright 2016 HP Development Company, L.P. Windows는 미국 및/또는 기타 국가에서 Microsoft Corporation의 등록 상표 또는 상표입 니다. 기밀 컴퓨터 소프트웨어. 소유, 사용 또는 복사 에 필요한 유효한 사용권을 HP로부터 취득했 습니다. FAR 12.211 및
More informationInstall stm32cubemx and st-link utility
STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7
More information이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론
이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More informationSANsymphony-V
국내대표적인구축사례 (KR) XXXX공사(공공) 2013년 12월 도입 센터 이전에 따른 스토리지가상화 통합 및 이기종통합 이기종 스토리지 (무중단이중하) 무중단 서비스 확보 24시간 운영 체계의 고가용 확보 스토리지 인프라의 유연한 구성 및 통합 환경 구축 업무서버 Unix 20대 업무서버 V 58대 CIe SSD(Fusion IO 3.2TB) ㅇㅇㅇㅇㅇㅇ
More informationMicrosoft Word - windows server 2003 수동설치_non pro support_.doc
Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More information..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A
..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * Amazon Web Services, Inc.. ID Microsoft Office 365*
More informationMicrosoft SQL Server 그림 1, 2, 3은 Microsoft SQL Server 데이터베이스소프트웨어의대표적인멀티플렉싱시나리오와라이선싱요구사항을나타냅니다. ( 참고 : Windows Server와 Exchange Server CAL 요구사항은해당서버에대
볼륨라이선싱개요 멀티플렉싱 CAL 요구사항 본개요는모든 Microsoft 볼륨라이선싱프로그램에적용됩니다. 목차 요약... 1 이개요의새로운사항... 1 세부정보... 1 Microsoft SQL Server... 2 Microsoft Office Project Server... 3 Microsoft Visual Studio Team Foundation Server...
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More informationSamsung SDS Enterprise Cloud Networking CDN Load Balancer WAN
Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN Enterprise Cloud Networking CDN (Content Delivery Network) 전 세계에 배치된 콘텐츠 서버를 통해 빠른 전송을 지원하는 서비스 전 세계에 전진 배치된 CDN 서버를 통해 사용자가 요청한 콘텐츠를 캐싱하여
More informationSpotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA
Spotlight on Oracle V10.x DELL SOFTWARE KOREA 2016-11-15 Spotlight on Oracle 목차 1. 시스템요구사항... 2 1.1 지원하는데이터베이스...2 1.2 사용자설치홖경...2 2. 프로그램설치... 3 2.1 설치프로그램실행...3 2.2 라이선스사용관련내용확인및사용동의...3 2.3 프로그램설치경로지정...4
More informationaws
Amazon Web Services AWS MIGRATION MANAGED SERVICE FOR AWS 베스핀글로벌 S AWS OFFERING 베스핀글로벌과 Amazon Web Services (AWS) 가 여러분의 비즈니스에 클라우드 날개를 달아드립니다. AWS에 높은 이해도를 갖춘 베스핀글로벌의 클라우드 전문가가 다양한 산업 영역에서의 구축 경험과 노하우를
More informationThinkVantage Fingerprint Software
ThinkVantage 지문 인식 소프트웨어 First Edition (August 2005) Copyright Lenovo 2005. Portions Copyright International Business Machines Corporation 2005. All rights reserved. U.S. GOVERNMENT USERS RESTRICTED RIGHTS:
More information항목
Cloud 컴퓨팅기반분산파일시스템개요 개발실 UPDATE : 2012. 11 18 INDEX 1. 가용성 2. 확장성 3. PrismFS 4. Q&A 2 가용성 3 Gmail 장애 2011년 2월 27일 34000명의 Gmail 사용자들이일어나보니메일, 주소록, 채팅기록등이사라진것을발견 2011년 2월 28일 스토리지소프트웨어업데이트를진행하는중 Bug로인해발생했다고공지
More information목차 요약... 3 소개... 3 AWS 리소스범위... 3 AWS IAM 및보안고려사항... 4 컴퓨팅및네트워킹... 4 Amazon EC2 인스턴스마이그레이션... 4 SSH 키... 5 보안그룹... 6 Amazon 머신이미지... 7 Amazon Elastic
새리전으로 AWS 리소스마이그레이션 2013 년 3 월 Simon Elisha, James Bromberger 및 Peter Stanski ( 본문서의최신버전을보려면 를참조하십시오.) 목차 요약... 3 소개... 3 AWS 리소스범위... 3 AWS IAM 및보안고려사항... 4 컴퓨팅및네트워킹...
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More information사용설명서를 읽기 전에 ios용 아이디스 모바일은 네트워크 연결을 통해 ios 플랫폼 기반의 모바일 기기(iOS 버전 6.0 이상의 ipod Touch, iphone 또는 ipad)에서 장치(DVR, 네트워크 비디오 서버 및 네트워크 카메라)에 접속하여 원격으로 영상을
IDIS Mobile ios 사용설명서 Powered by 사용설명서를 읽기 전에 ios용 아이디스 모바일은 네트워크 연결을 통해 ios 플랫폼 기반의 모바일 기기(iOS 버전 6.0 이상의 ipod Touch, iphone 또는 ipad)에서 장치(DVR, 네트워크 비디오 서버 및 네트워크 카메라)에 접속하여 원격으로 영상을 감시할 수 있는 프로그램입니다.
More information다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");
다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher
More informationIT.,...,, IoT( ),,.,. 99%,,, IoT 90%. 95%..., (PIPA). 디지털트랜스포메이션은데이터보안에대한새로운접근방식필요 멀티클라우드사용으로인해추가적인리스크발생 높은수준의도입률로복잡성가중 95% 는민감데이터에디지털트랜스포메이션기술을사용하고있음
2018 #2018DataThreat IT.,...,, IoT( ),,.,. 99%,,, IoT 90%. 95%..., (PIPA). 디지털트랜스포메이션은데이터보안에대한새로운접근방식필요 멀티클라우드사용으로인해추가적인리스크발생 높은수준의도입률로복잡성가중 95% 는민감데이터에디지털트랜스포메이션기술을사용하고있음 ( 클라우드, 빅데이터, IoT, 컨테이너, 블록체인또는모바일결제
More information<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>
SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......
More information비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리
ArcGIS for Desktop 10.4 Single Use 설치가이드 Software: ArcGIS for Desktop 10.4 Platforms: Windows 10, 8.1, 7, Server 2012, Server 2008 ArcGIS for Desktop 10.4 시스템 요구사항 1. 지원 플랫폼 운영체제 최소 OS 버전 최대 OS 버전 Windows
More informationMF Driver Installation Guide
Korean MF 드라이버 설치설명서 사용자 소프트웨어 CD-ROM... 드라이버 및 소프트웨어 정보...1 지원되는 운영 체제...1 MF 드라이버 및 MF Toolbox 설치... [쉬운 설치]를 사용한 설치...2 [사용자 정의 설치]를 사용한 설치...10 USB 케이블 연결(USB를 이용해 연결하는 경우만)...20 설치 결과 확인...21 온라인
More information슬라이드 제목 없음
MS SQL Server 마이크로소프트사가윈도우운영체제를기반으로개발한관계 DBMS 모바일장치에서엔터프라이즈데이터시스템에이르는다양한플랫폼에서운영되는통합데이터관리및분석솔루션 2 MS SQL Server 개요 3.1 MS SQL Server 개요 클라이언트-서버모델을기반으로하는관계 DBMS 로서윈도우계열의운영체제에서만동작함 오라클관계 DBMS 보다가격이매우저렴한편이고,
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information1
1 2 3 4 5 6 b b t P A S M T U s 7 m P P 8 t P A S M T U s 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 Chapter 1 29 1 2 3 4 18 17 16 15 5 6 7 8 9 14 13 12 11 10 1 2 3 4 5 9 10 11 12 13 14 15
More information슬라이드 1
강력한성능! 인터넷 / 업무용데스크탑 PC NX-H Series Desktop PC NX1- H700/H800/H900 NX2- H700/H800/H900 NX1-H Series 사양 Series 제품설명 ( 모델명 ) NX1-H Series, 슬림타입 기본형모델중보급형모델고급형모델 NX1-H800:112SN NX1-H800:324SN NX1-H800:534MS
More informationPowerPoint 프레젠테이션
WEB APPLICATION ON AWS 3-TIRE ARCHITECTURE 손 양 원 Sr. Technical Trainer BACKGROUND 예산은 없고.. 전문인력도 부족하고.. 투자했다가 실패하면?.. BACKGROUND 인터넷속도향상 H/W 성능개선 Cloud Service 분산처리 가상화 CLOUD COMPUTING 공유된 컴퓨팅 자원에 언제
More informationPowerPoint Presentation
오에스아이소프트코리아세미나세미나 2012 Copyright Copyright 2012 OSIsoft, 2012 OSIsoft, LLC. LLC. PI Coresight and Mobility Presented by Daniel Kim REGIONAL 세미나 SEMINAR 세미나 2012 2012 2 Copyright Copyright 2012 OSIsoft,
More information희망브리지
AWS qwiklabs 세션소개 2016.10 Megazone Cloud Business Achievements 2012.03 국내최초 AWS 레지스타드파트너등록 2014.08 국내최초 AWS 어드밴스드파트너승격 2014.11 고객헌신적인 (Customer Obsession) 파트너선정 @2014 re:invent 2015.04 국내최초 AWS 공인인증서포트파트너
More informationMicrosoft Word - How to make a ZigBee Network_kr
1 단계 ZigBee 네트워크설정방법 이보기는 ProBee 기기를이용해 ZigBee 네트워크를설정하는방법을보여줍니다. 2 단계 이보기에서사용된 SENA 제품입니다 : ProBee ZE10 Starter Kit ProBee ZS10 ProBee ZU10 3 단계 ZigBee 네트워크입니다. SE1 SE2 SE3 ZS10 ZS10 ZS10 R4 R5 R3 R1
More informationF120L(JB)_UG_V1.0_ indd
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 전화끊기, 통화중메뉴사용하기 전화통화를종료하려면 통화중 ➌ ( 끊기 ) 를누르세요. 전원버튼으로통화종료 ( 124쪽 ) 로설정한경우통화중전원
More information로거 자료실
redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...
More information(Veritas\231 System Recovery 16 Monitor Readme)
Veritas System Recovery 16 Monitor Readme 이 Readme 정보 Veritas System Recovery 16 Monitor 에서더이상지원되지않는기능 Veritas System Recovery 16 Monitor 시스템요구사항 호스트시스템의필수조건 클라이언트시스템의필수조건 Veritas System Recovery 16 Monitor
More informationWin7°í°´¿ë
고객용 m 한국마이크로소프트(유) 서울특별시 강남구 대치동 892번지 포스코센터 서관 5층 (우)139-777 고객지원센터 : 1577-9700 인터넷 : http://www.microsoft.com/korea 현대의 IT환경에 대응하는 최적의 운영체제 Windows 7은 Microsoft가 제공하는 차세대 운영 체제입니다. Windows 7은 뛰어난 운영
More information4th-KOR-SANGFOR HCI(CC)
HCI Hyper-Converged Infrastructure Sangfor 하이퍼 컨버지드 인프라스트럭처 솔루션 전통적인 데이터센터 - 도전과 한계 IT는 빠르게 변화하는 산업입니다. 대부분의 회사는 디지털화 추세를 따라 언제나 민첩성을 유지하기 위해 노력하고 있고, IT부서는 효율성 향상과 탄탄한 운영 환경뿐 아니라 보다 좋고 빠른 서비스 제공에 대한 끊임없는
More informationMicrosoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집
Modern Modern www.office.com ( ) 892 5 : 1577-9700 : http://www.microsoft.com/korea Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와
More informationgcp
Google Cloud Platform GCP MIGRATION MANAGED SERVICE FOR GCP 베스핀글로벌 S GCP OFFERING 베스핀글로벌과 Google Cloud Platform이 여러분의 비즈니스에 클라우드 날개를 달아드립니다. GCP에 전문성을 갖춘 베스핀글로벌의 클라우드 전문가들이 다양한 산업 영역에서의 구축 경험과 노하우를 바탕으로
More information[Blank Page] i
키토큰앱매뉴얼 KeyToken App Manual - 20131126 키페어 www.keypair.co.kr [Blank Page] i 목차 I. KeyToken App 소개...1 1. KeyToken App 의목적... 1 2. KeyToken App 의사용환경... 1 3. 주의사항... 2 II. 스마트폰의 NFC 모듈켜기...4 1. 안드로이드 v4.0.3(
More informationgcloud storage 사용자가이드 1 / 17
gcloud storage 사용자가이드 1 / 17 문서버전및이력 버전 일자 이력사항 1.0 2016.12.30 신규작성 1.1 2017.01.19 gcloud storage 소개업데이트 1.2 2017.03.17 Container 공개설정업데이트 1.3 2017.06.28 CDN 서비스연동추가 2 / 17 목차 1. GCLOUD STORAGE 소개... 4
More informationPathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.
PathEye Mobile Ver. 0.71b 2009. 3. 17 By PathEye 공식 블로그 다운로드 받으세요!! http://blog.patheye.com 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다. PathEye 설치 1/3 최종 배포 버전을 다 운로드 받습니다. 다운로드된 파일은 CAB 파일입니다. CAB 파일에는
More information© Rohde & Schwarz; R&S®CDS Campus Dashboard Software
Product Brochure Version 03.00 R&S CDS Campus Dashboard Software 멀티 유저 실험, 실습실을 위한 교육용 소프트웨어 CDS_bro_ko_3607-9308-16_v0300.indd 1 18.02.2019 10:28:33 R&S CDS Campus Dashboard Software 개요 R&S CDS Campus
More informationStorage_for_Megapixel_Video01
메가픽셀 비디오를 위한 스토리지 옵션 메가픽셀 보안 응용 프로그램을 디자인할 때 선택할 수있는 여러 스토리지 옵션이 있습니다. 그것은 스토리지를 선택하거나 권장하는 VMS 일반이지만, 구입하기 전에 고려해야 할 여러 가지 요소가 없습니다. 현재, 스토리지 비용 및 가용성은 과거에 존재한 이래로 큰 관심으로하지 않습니다. 하드 드라 이브 용량이 커질수록 비용이
More information워드표준 가이드
Cloud NAS 서비스매뉴얼 2013.04 1 개정이력 개정일자 Version 개정사유개정내용 2012.10.26 1.0 신규작성 2012.11.08 1.1 CIFS 로그인 ID 정보변경 로그인시 IP\administrator ID 로사용 2012.11.23 1.2 Linux 계열 eth1(nas 용 ) 인식필요 CentOs, Debian, ubuntu 에서
More information1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3
CR-15-59 AhnLab Policy Center 4.6 for Windows 인증보고서 인증번호 : ISIS-0631-2015 2015년 7월 IT보안인증사무국 1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정
More informationISP and CodeVisionAVR C Compiler.hwp
USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler http://www.avrmall.com/ November 12, 2007 Copyright (c) 2003-2008 All Rights Reserved. USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler
More informationPowerPoint Presentation
ExtraHop Wire Data Analytics Propels Cloud Adoption 1 아마존 웹 서비스 개요 COMPUTE Amazon EC2 Amazon EMR Auto Scaling NETWORKING Route 53 Elastic Load Balancing AWS Direct Connect Amazon VPC Router VPN Gateway
More information사용설명서를 읽기 전에 안드로이드(Android)용 아이디스 모바일은 네트워크 연결을 통해 안드로이드 플랫폼 기반의 모바일 기기에서 장치 (DVR, NVR, 네트워크 비디오 서버, 네트워크 카메라) 에 접속하여 원격으로 영상을 감시할 수 있는 프로그램입니다. 장치의 사
IDIS Mobile Android 사용설명서 Powered by 사용설명서를 읽기 전에 안드로이드(Android)용 아이디스 모바일은 네트워크 연결을 통해 안드로이드 플랫폼 기반의 모바일 기기에서 장치 (DVR, NVR, 네트워크 비디오 서버, 네트워크 카메라) 에 접속하여 원격으로 영상을 감시할 수 있는 프로그램입니다. 장치의 사양 및 버전에 따라 일부
More informationVPN.hwp
Linksys VPN Router RV042&RV082 VPN Router 용 VPN 터널설정 한국어사용자설명서 V1.0 Table of Content 1 Gateway to Gateway 설정... 1 STEP 1 - Gateway to Gateway 터널생성하기... 1 STEP 2 - 터널정보입력하기... 1 STEP 3 - Gateway to Gateway
More informationconsulting
CONSULTING 전략 컨설팅 클라우드 마이그레이션 애플리케이션 마이그레이션 데이터 마이그레이션 HELPING YOU ADOPT CLOUD. 클라우드로 가기로 결정했다면 누구와 함께 갈지를 선택해야 합니다. 처음부터 끝까지 믿을만한 파트너를 찾는다면 베스핀글로벌이 정답입니다. 전략 컨설팅 다양한 클라우드 공급자가 존재하고, 클라우드 공급자마다 다른 장단점을
More informationMicrosoft PowerPoint - 6.pptx
DB 암호화업데이트 2011. 3. 15 KIM SUNGJIN ( 주 ) 비에이솔루션즈 1 IBM iseries 암호화구현방안 목차 목 차 정부시책및방향 제정안특이사항 기술적보호조치기준고시 암호화구현방안 암호화적용구조 DB 암호화 Performance Test 결과 암호화적용구조제안 [ 하이브리드방식 ] 2 IBM iseries 암호화구현방안 정부시책및방향
More informationTablespace On-Offline 테이블스페이스 온라인/오프라인
2018/11/10 12:06 1/2 Tablespace On-Offline 테이블스페이스온라인 / 오프라인 목차 Tablespace On-Offline 테이블스페이스온라인 / 오프라인... 1 일반테이블스페이스 (TABLESPACE)... 1 일반테이블스페이스생성하기... 1 테이블스페이스조회하기... 1 테이블스페이스에데이터파일 (DATA FILE) 추가
More informationAWS Educate CAU
2015, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 5 2 AWS 5 9 AWS (S3 CloudFront) 5 23 AWS 5 30 AWS (WAF, IAM) 목차 클라우드보안 AWS 책임공유모델 더나은가시성 더나은제어 더나은감사기능 심층방어 다계층보안 데이터센터의물리적인보안 네트워크보안
More informationStuduino소프트웨어 설치
Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...
More information2 노드
2019/05/03 17:01 1/5 2 노드 2 노드 소개 노드를사용하여계층적분산모니터링을구축할수있습니다. 각노드는Zabbix 서버자체이며, 각각이놓인위치모니터링을담당합니다 Zabbix는. 분산설정은최대 1000 개의노드를지원합니다. 노드의설정을사용하는장점은다음과같습니다. 일부지역에걸친대규모네트워크에서여러수준의모니터링계층을구축합니다. 계층에서하노드는마스터노드에전송합니다.
More information서비스) 와서버( 관리대상서버) 간에자격증명을사용하여서로의 ID 를확인하고서로주고받는데이터를검사하고암호화하는프로세스 이다. 높은인증수준은일반적으로성능의저하를가져올수있지만높은 수준의보안과데이터무결성을제공한다. 기본값 - 관리대상서버에설정되어있는 DCOM 인증수준기본 값을
설정매뉴얼 연결설정 연결을하기위해서는클라이언트와서버에 Windows Management Instrumentation, Remote Procedure Call(RPC) 서비스 가설치및실행되고있어야한다. Windows Management Instrumentation 서비스는 굳이실행시킬필요는없다. 요청이들어올경우자동실행되므로 연결및쿼리는 DCOM 을사용한다. DCOM은
More informationPowerPoint 프레젠테이션
B Type 가이드 가지고있는도메인사용 + 인증서구매대행절차 1. 신청하기. 네임서버변경 / 확인 - 네임서버변경 - 네임서버변경확인 3. 인증심사메일에회신하기 - 메일주소확인 - 메일주소변경 - 인증심사메일서명 4. Ver. 015.10.14 가지고있는도메인사용 + 인증서구매대행절차 도메인은가지고있으나인증서가없는경우소유한도메인주소로 를오픈하고인증서는 Qoo10
More information저장데이터암호화 Ken Beer Ryan Holland 2014 년 11 월
저장데이터암호화 Ken Beer Ryan Holland 목차 목차 2 요약 2 서론 2 암호화의키 : 누가키를제어하는가? 3 모델 A: 사용자가암호화방법및전체 KMI 제어 4 모델 B: 사용자가암호화방법제어, AWS 가 KMI 스토리지구성요소제공및사용자가 KMI 관리계층제공 12 모델 C: AWS 가암호화방법및전체 KMI 제어 13 결론 19 참조자료 20
More informationOperating Instructions
작동지침 Mopria 설명서 안전하고올바른사용을위해기기를사용하기전에 " 안전정보 " 를읽으십시오. 목차 소개...2 기호의의미... 2 고지사항...2 준비...3 같은네트워크에서기기와 Android 기기연결하기...3 기기설정확인하기... 3 1. Mopria 인쇄사용하기 Mopria 인쇄서비스소개...5 Android 기기설정하기... 6 인쇄...7
More informationA SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp
A SQL Server 0 설치 A. 소개 Relational DataBase Management System SQL Server 0는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 express 버전 의무료에디션을제공하는데, 이책에서는실습을위해 SQL Server 0 익스프레스에디 션 SP
More informationCL5 CL3 CL1 QL5 QL1 V4.5 Supplementary Manual
CL/QL 시리즈 이보충설명서에서는주로 CL5/CL3/CL1 및 QL5/QL1 펌웨어 V4.5 에서추가또는변경된기능에관해설명합니다. CL5/CL3/CL1 및 QL5/QL1 V4 사용설명서및참조설명서와함께사용하십시오. CL/QL Editor 이보충설명서에서는주로 CL/QL Editor V4.5 에서추가또는변경된기능에관해설명합니다. 참고 이보충설명서에수록된설명은
More information