2016, Amazon Web Services, Inc. 또는계열사. All rights reserved. 고지사항 이문서는정보제공목적으로만제공됩니다. 본문서의발행일당시 AWS 의현재제품및실행방법을설명하며, 예고없이변경될수있습니다. 고객은본문서에포함된정보나 AWS 제품

Transcription

1 AWS 소개보안프로세스 ( 본문서의최신버전을보려면다음을참조하십시오. )

2 2016, Amazon Web Services, Inc. 또는계열사. All rights reserved. 고지사항 이문서는정보제공목적으로만제공됩니다. 본문서의발행일당시 AWS 의현재제품및실행방법을설명하며, 예고없이변경될수있습니다. 고객은본문서에포함된정보나 AWS 제품또는서비스의사용을독립적으로평가할책임이있으며, 각정보및제품은명시적이든묵시적이든어떠한종류의보증없이 있는그대로 제공됩니다. 본문서는 AWS, 그계열사, 공급업체또는라이선스제공자로부터어떠한보증, 표현, 계약약속, 조건또는보증을구성하지않습니다. 고객에대한 AWS 의책임및채무는 AWS 계약에준거합니다. 본문서는 AWS 와고객간의어떠한계약도구성하지않으며이를변경하지도않습니다. 2 / 46 페이지

3 목차 소개...5 책임분담보안모델...5 AWS 보안책임...6 고객보안책임...7 AWS 글로벌보안인프라...8 AWS 규정준수프로그램...8 물리적및환경적보안...9 화재감지및진압...9 전력...10 기후및온도...10 관리...10 스토리지장치폐기...10 비즈니스연속성관리...10 가용성...10 인시던트대응...11 전사적경영진의검토...11 통신...11 AWS 액세스...12 계정검토및감사...12 배경조회...12 자격증명정책...12 보안설계의원칙...12 변경관리...13 소프트웨어...13 인프라...14 AWS 계정보안기능...14 AWS 자격증명...14 암호...16 AWS Multi-Factor Authentication(AWS MFA)...16 액세스키 / 46 페이지

4 키페어...18 X.509 인증서...18 개별사용자계정...19 보안 HTTPS 액세스포인트...19 보안로그...20 AWS Trusted Advisor 보안검사...21 네트워킹서비스...21 Amazon Elastic Load Balancing 보안...21 Amazon Virtual Private Cloud(Amazon VPC) 보안...23 Amazon Route 53 보안...29 Amazon CloudFront 보안...30 AWS Direct Connect 보안...33 부록 용어...34 문서수정 년 11 월 년 11 월 년 5 월 / 46 페이지

5 소개 Amazon Web Services(AWS) 는높은가용성과신뢰성을갖춘확장가능한클라우드컴퓨팅플랫폼을제공하며, 고객들이다양한애플리케이션을실행하는데필요한도구를제공합니다. AWS 는고객의시스템과데이터의기밀성, 무결성및가용성을지키고고객의믿음과신뢰를유지하는것을최우선으로생각합니다. 본문서는 AWS 가내데이터를보호하는데어떠한도움을줄수있는가? 라는질문에답변을제시할목적으로마련되었습니다. 특히 AWS 의물리적운영보안프로세스는 AWS 에서관리하는네트워크및서버인프라뿐아니라서비스별보안구현에대해서도설명되어있습니다. 책임분담보안모델 AWS 서비스를이용하는고객은콘텐츠를완벽하게제어할수있으며, 다음과같은중요콘텐츠보안요구사항을관리해야할책임이있습니다. AWS 에저장하기로결정한콘텐츠 콘텐츠에사용되는 AWS 서비스 콘텐츠가저장되는국가 콘텐츠의형식과구조및마스크, 익명화또는암호화여부 콘텐츠에액세스할수있는사용자및그러한액세스권한을부여, 관리및취소하는방법 AWS 고객은데이터에대한제어권한을가지고있기때문에 AWS 공동책임 모델에따라해당콘텐츠에대한책임도져야합니다. 이공동책임모델은클라우드보안원칙의맥락에서고객과 AWS 각자의역할을이해하기위한기본전제입니다. 공동책임모델에서는 AWS 가호스트운영체제및가상화계층에서서비스운영시설의물리적보안에이르기까지구성요소를운영, 관리, 제어합니다. 이에대해고객은 AWS 가제공하는보안그룹방화벽구성, 운영체제 ( 업데이트및보안패치포함 ) 및기타관련애플리케이션소프트웨어에대한관리를책임집니다. 사용하는서비스, 서비스를 IT 환경에통합하는과정및준거법과규제에따라책임범위가다르기때문에고객은선택하고자하는서비스를신중하게고려해야합니다. 호스트기반방화벽, 호스트기반침입탐지 / 방지, 암호화등의기술을활용하여보안을향상하거나더욱엄격한규정준수요구사항을충족할수있습니다. AWS 는고객이확장된 IT 환경에서컨트롤이효과적으로작동하고있는지를검토하고검증하는데도움이되는도구와정보를제공합니다. 자세한내용은 AWS 규정준수센터 ( 를참조하십시오. 5/46 페이지

6 그림 1: AWS 책임분담보안모델 수행해야할보안구성작업의양은선택한서비스및보유한데이터의민감도에따라달라집니다. 하지만개별사용자계정및자격증명, 데이터전송을위한 SSL/TLS, 사용자활동로깅등의특정보안기능은어떤 AWS 서비스를사용하든사용자가반드시구성해야합니다. 이러한보안기능에대한자세한내용은아래 AWS 계정보안기능 단원을참조하십시오. AWS 보안책임 AWS 는 AWS 클라우드에제공된모든서비스를실행하는글로벌인프라를보호해야합니다. 이인프라는 AWS 서비스를실행하는하드웨어, 소프트웨어, 네트워킹, 시설로구성됩니다. 이인프라를보호하는것은 AWS 의최우선과제이며고객이 AWS 데이터센터나사옥에방문하여직접확인할수는없지만, 각종컴퓨터보안표준과규정에대한준수사실을확인한타사감사자의보고서를제공합니다 ( 자세한내용은 aws.amazon.com/compliance 참조 ). 6/46 페이지

7 AWS 는이글로벌인프라를보호할뿐만아니라, 관리형서비스로간주되는해당제품의보안구성도책임집니다. 이러한유형의서비스에는 Amazon DynamoDB, Amazon RDS, Amazon Redshift, Amazon Elastic MapReduce, Amazon WorkSpaces 및여러다른서비스가포함됩니다. 이러한서비스는클라우드기반리소스의확장성및유연성과더불어관리형서비스의장점까지제공합니다. 이러한서비스의경우, 게스트운영체제 (OS), 데이터베이스패치, 방화벽구성, 재해복구등의기본보안작업을 AWS 가처리합니다. 이러한관리형서비스를선택하는고객은주로해당리소스에대한논리적액세스제어를구성하고계정자격증명을보호하기만하면됩니다. 이중일부는데이터베이스사용자계정설정등추가작업을필요로할수있으나전반적으로보안구성작업은서비스를통해제공됩니다. 고객보안책임 AWS 클라우드를이용하는고객은몇주가아닌몇분만에가상서버, 스토리지, 데이터베이스, 데스크톱을프로비저닝할수있습니다. 클라우드기반분석및워크플로우도구를사용해데이터가필요할때이를처리한후클라우드나전용데이터센터에저장할수있습니다. 어떤 AWS 서비스를사용하느냐에따라고객이보안책임의일부로수행해야하는구성작업의범위가결정됩니다. Amazon EC2, Amazon VPC 처럼잘알려진 IaaS( 서비스로서의인프라 ) 범주에해당하는 AWS 제품은고객이전적으로제어하기때문에필요한모든보안구성과관리작업을직접수행해야합니다. 예를들어 EC2 인스턴스의경우사용자는게스트 OS( 업데이트및보안패치포함 ) 를비롯하여인스턴스에설치한모든애플리케이션소프트웨어나유틸리티의관리, 그리고각인스턴스에대해 AWS 에서제공한방화벽 ( 보안그룹이라고부름 ) 의구성을책임져야합니다. 이는서버위치와상관없이기존에수행했던보안작업과기본적으로동일합니다. Amazon RDS 나 Amazon Redshift 같은 AWS 관리형서비스는고객이특정작업을수행하는데필요한모든리소스를제공하지만이에수반될수있는구성작업은서비스하지않습니다. 관리형서비스를이용하면인스턴스의시작및유지관리또는게스트 OS 나데이터베이스패치작업또는데이터베이스복제에대해걱정할필요가없습니다. AWS 에서대신모두처리해드립니다. 하지만모든서비스가그렇듯이고객은 AWS 계정자격증명을보호하고 Amazon 자격증명및액세스관리 (IAM) 를통해개별사용자계정을설정하여, 각사용자에게고유한자격증명을부여하는한편고객의업무분리를실현해야합니다. 또한 AWS 리소스와의통신에 SSL/TLS 를사용해야하는멀티팩터인증 (MFA) 을각계정에사용하고, AWS CloudTrail 을이용해 API/ 사용자활동기록을설정하는것이좋습니다. 고객이취할수있는추가조치에대한자세한내용은 AWS 보안리소스웹페이지를참조하십시오. 7/46 페이지

8 AWS 글로벌보안인프라 AWS 는고객이처리및스토리지와같은다양한기본적컴퓨팅리소스를프로비저닝하는데사용하는글로벌클라우드인프라를운영합니다. AWS 글로벌인프라에는시설, 네트워크및하드웨어, 그리고이러한리소스의프로비저닝및사용을지원하는운영소프트웨어 ( 예 : 호스트 OS, 가상화소프트웨어등 ) 가포함됩니다. AWS 글로벌인프라는다양한보안규정준수표준과보안모범사례에따라설계및관리됩니다. AWS 고객은세계에서보안성이가장뛰어난컴퓨팅인프라를기반으로웹아키텍처를구축하고있는것이므로안심할수있습니다. AWS 규정준수프로그램 Amazon Web Services 규정준수는고객이클라우드에서보안과데이터보호를유지하기위해 AWS 에서시행하고있는강력한통제항목을파악하도록지원합니다. 시스템이 AWS 클라우드인프라를기반으로하여구축되었기때문에규정준수책임은 AWS 와고객간에공유됩니다. 해당되는규정준수또는감사표준과거버넌스중심의감사에적합한서비스기능을한데묶어놓은 AWS 규정준수프로그램은기존프로그램위에구축되어있기때문에고객이 AWS 보안제어환경에서설정하고작동할수있습니다. AWS 가고객에게제공하는 IT 인프라는다음과같은다양한 IT 보안표준과보안모범사례에맞게설계및관리됩니다. SOC 1/SSAE 16/ISAE 3402( 이전의 SAS70) SOC 2 SOC 3 FISMA FedRAMP DOD SRG 레벨 2 및 4 PCI DSS Level 1 EU 모델조항 ISO 9001 / ISO / ISO / ISO ITAR IRAP FIPS MLPS 레벨 3 MTCS 8/46 페이지

9 또한고객은 AWS 플랫폼이제공하는유연성및제어기능으로특정산업표준에부합하는솔루션을배포할수있는데이러한산업표준은다음과같습니다. Criminal Justice Information Services (CJIS) Cloud Security Alliance (CSA) 가족교육권및개인정보보호법 (FERPA) 미국건강보험양도및책임에관한법 (HIPAA) 미국영화협회 (MPAA) AWS 는백서, 보고서, 자격증, 승인및기타타사증명을통해, IT 제어환경에관한광범위한정보를고객에게제공합니다. 자세한정보는 에제공된위험및규정준수백서를참조하십시오. 물리적및환경적보안 AWS 의데이터센터는혁신적인아키텍처및엔지니어링접근방식을활용하는최첨단센터입니다. AWS 는대규모데이터센터를설계, 구축및운영하는데있어유구한경험을자랑합니다. AWS 플랫폼과인프라에적용하였습니다. AWS 데이터센터는평범해보이는건물에구축되어있습니다. 건물주위와입구지점에서비디오감시, 침입탐지시스템및기타전자수단을활용하여전문보안직원에의해이들건물에대한물리적인접근을엄격하게통제하고있습니다. 허가받은직원이데이터센터에접근하려면 2 가지요소를이용한신원확인과정을최소두번통과해야합니다. 모든방문자및계약자는신분증을제시해야하며, 통과한후에는허가받은직원의지속적인안내를받습니다. AWS 는합법적인업무목적으로이러한권한이필요한계약업체와직원에게만데이터센터접근권한및정보를제공합니다. 직원에게사업상이러한권한이더이상필요없게되면, 접근권한은즉시해지됩니다. 이는해당직원이 Amazon 또는 Amazon Web Services 의직원신분을유지해도마찬가지입니다. AWS 직원의데이터센터에대한물리적인접근은모두기록되며정기적으로감사를받습니다. 화재감지및진압위험을줄이기위해자동화재감지및소화장비가설치되었습니다. 화재감지시스템은모든데이터센터환경, 기계및전기장비실, 냉각실및발전기장비실에서연기감지센서를활용합니다. 이구역은습식파이프, 이중연동준비작동식시스템또는기체스프링클러시스템으로보호됩니다. 9/46 페이지

10 전력데이터센터전력시스템은전이중방식으로설계및유지관리되도록설계되어운영에전혀영향을미치지않고 365 일항시사용가능합니다. 무정전전원공급장치 (UPS) 는시설의중요하고필수적인부하에전력공급장애가발생할경우에대비해백업전력을제공합니다. 데이터센터는발전기를사용하여전체시설에백업전력을제공합니다. 기후및온도기후제어는서버및기타하드웨어의운영온도를일정하게유지하는데필요하며, 이는과열을방지하고서비스중단가능성을줄입니다. 데이터센터는최상의대기상태조건을유지하도록되어있습니다. 담당자는시스템을통해적절한수준의온도와습도를모니터링및제어합니다. 관리 AWS 는전기, 기계및수명지원시스템과장비를모니터링하여어떤문제든지즉시파악할수있습니다. 예방적유지관리는장비의지속적인운영상태를유지하기위해수행됩니다. 스토리지장치폐기스토리지디바이스의수명이다했을경우권한이없는개인에게고객데이터가노출되는것을방지하기위해고안된폐기프로세스가 AWS 내에마련되어있습니다. AWS 는 NIST ( Guidelines for Media Sanitization ) 에폐기프로세스의일부로자세히설명된기술을사용합니다. 비즈니스연속성관리 AWS 의인프라는높은수준의가용성을보장하며, 고객에게탄력적인 IT 아키텍처를구현할수있는기능을제공합니다. AWS 는시스템또는하드웨어장애가고객에게미치는영향을최소화하도록시스템을설계했습니다. AWS 에서의데이터센터비즈니스연속성관리는 Amazon 인프라그룹의내부지침을준수하고있습니다. 가용성데이터센터는전세계여러리전에클러스터형태로구축됩니다. 모든데이터센터는온라인으로고객에게서비스를제공하며, 어떤데이터센터도 정지 (cold) 되지않습니다. 장애시자동화된프로세스는고객데이터트래픽을장애지역에서먼곳으로이동합니다. 핵심애플리케이션이 N+1 구성으로구현되어, 데이터센터장애가발생할경우에도나머지사이트로트래픽을균형있게분산시킬수있는충분한용량을갖추고있습니다. 10/46 페이지

11 AWS 는각리전내의여러가용영역뿐아니라여러지리적리전내에인스턴스를배치하고데이터를저장하는유연성을고객에게제공합니다. 각가용영역은독립된장애영역으로설계되었습니다. 즉가용영역은일반적인대도시지역내에물리적으로고립되어있으며홍수위험성이낮은지대에위치합니다 ( 자세한홍수지대분류는리전에따라차이가있음 ). 또한, 무정전전원공급장치 (UPS) 와현장백업발전시설을분리하여독립적인유틸리티의서로다른그리드를통해전력을공급받음으로써단일장애점 (Single-point-of-Failure) 을더욱줄여줍니다. 가용영역은여러티어 1 전송서비스제공자에게모두중복으로연결됩니다. 고객은다수의리전및가용영역의이점을활용하여 AWS 아키텍처를구축해야합니다. 여러개의가용영역에애플리케이션을분산함으로써자연재해나시스템장애등대부분의장애모드에직면한경우에도시스템을유지할수있게합니다. 인시던트대응 Amazon 사고관리팀은비즈니스에영향을미치는이벤트발생시해결책을모색하기위해업계표준의진단절차를사용합니다. 관리직원은상시사고를감지하고이들이미치는영향과해결방안을관리합니다. 전사적경영진의검토 Amazon 의내부감사그룹에서는 AWS 복구계획을정기적으로검토합니다. 이계획은고위경영팀의구성원및이사회감사위원회에서도정기적으로검토하고있습니다. 통신 AWS 는다양한내부커뮤니케이션방법을전사적으로구현하여직원들이자신의역할과책임을이해하고중요한사안을적시에의논할수있도록돕습니다. 이러한방법은신입직원을위한오리엔테이션및교육프로그램, 최근비즈니스실적및기타사안에관한경영진정기회의그리고비디오컨퍼런스, 이메일메시지, Amazon 인트라넷을통한정보게시같은디지털방식으로구성됩니다. AWS 는또한서비스를사용하는고객층과커뮤니티를지원하기위해다양한외부통신방법을제공합니다. 고객지원팀이고객의경험에영향을미치는운영문제를전달받을수있도록방법이마련되어있습니다. 고객지원팀에서제공및관리하는 서비스상태대시보드 는고객에게광범위하게영향을미칠수있는모든문제를알려줍니다. AWS 보안센터 를통해 AWS 에관한보안및규정준수세부정보를제공받을수있습니다. 또한고객은 AWS Support 서비스에가입하여고객지원팀에직접문의하거나고객에게영향을미치는모든문제를사전에통보받을수있습니다. 11/46 페이지

12 AWS 액세스 AWS 프로덕션네트워크는 Amazon 사내네트워크와분리되어있으며, 논리적액세스를위해서는별도의자격증명세트가필요합니다. Amazon 사내네트워크는사용자 ID, 암호및 Kerberos 를사용하여, AWS 프로덕션네트워크는배스천호스트를통한 SSH 퍼블릭키인증을요구합니다. AWS 클라우드구성요소에액세스해야하는 Amazon 사내네트워크의 AWS 개발자와관리자는 AWS 액세스관리시스템을통해명시적으로액세스권한을요청해야합니다. 모든요청은해당소유자또는관리자의검토와승인을거칩니다. 계정검토및감사계정은 90 일마다검토되고명시적으로다시승인되어야합니다. 그러지않으면리소스에대한액세스권한이자동으로취소됩니다. 직원의기록이 Amazon 의인사관리시스템에서제거되는경우에도액세스권한이자동으로취소됩니다. Windows 및 UNIX 계정이비활성화되고 Amazon 의권한관리시스템에서해당사용자를모든시스템에서삭제합니다. 액세스권한변경이요청되면 Amazon 권한관리도구감사로그에캡처됩니다. 직원의직무가변경된경우, 리소스에계속액세스하려면명시적으로승인받아야하며, 그러지않으면액세스권한이자동취소됩니다. 배경조회 AWS 는 AWS 플랫폼및인프라호스트에대한논리적인액세스의최소표준을제시하기위해공식적인정책및절차를수립했습니다. AWS 는직원에대한채용전심사과정의일환으로직원의직급과액세스수준에비례해법적으로허용되는전과기록확인을실시합니다. 또한이정책은논리적인액세스및보안관리에대한기능적인책임도명시합니다. 자격증명정책 AWS 보안은필수설정및만료간격을포함하는자격증명정책을수립했습니다. 암호는복잡해야하고 90 일에한번씩반드시변경해야합니다. 보안설계의원칙 AWS 의개발프로세스는 AWS 보안팀의공식적인디자인검토, 위협모델링및일체의리스크평가등최선의보안소프트웨어개발원칙을준수하고있습니다. 표준구축프로세스의일환으로정적코드분석도구를사용하며, 구현된모든소프트웨어는엄선된업계전문가의반복침투테스트를거칩니다. 보안상의리스크평가검토가설계단계에서시작되어서비스시작에서운영기간에이르기까지지속적으로이루어집니다 12/46 페이지

13 변경관리기존 AWS 인프라에대한정기적, 긴급및구성변경은유사한시스템에대한업계표준에따라허가, 기록, 테스트, 승인, 문서화과정을거칩니다. AWS 의인프라업데이트는고객및고객의서비스사용에미치는영향을최소화하는방식으로이루어집니다. AWS 는서비스이용에피해가예상될때, AWS 서비스상태대시보드또는이메일을통해고객에게이내용을전달합니다. 소프트웨어 AWS는변경관리에체계적인접근방법을적용하므로고객에게영향을미치는서비스변경사항은철저한검토, 테스트, 승인을거쳐효과적으로전달됩니다. AWS의변경관리프로세스는고객서비스의무결성을유지하고갑작스런서비스중단을방지하도록설계되었습니다. 운영환경에배포되는변경사항은아래와같습니다. 검토됨 : 변경사항의기술적부분에대한피어검토가요구됩니다. 테스트됨 : 적용중인변경사항이예상대로작동하고성능을떨어뜨리지않는지확인하기위해테스트를거칩니다. 승인됨 : 모든변경사항은비즈니스영향에대한적절한감독과이해를위해반드시허가를받아야합니다. 변경사항은일반적으로영향력이가장낮은영역부터시작하여생산단계에이르기까지단계별로적용됩니다. 배포된사항은단일시스템에서테스트하고면밀하게모니터링하여영향력을평가할수있습니다. 서비스소유자는서비스의업스트림연관항목의상태를측정하는여러개의설정가능한측정치를보유하고있습니다. 이메트릭을임계치와경보로자세히모니터링합니다. 롤백절차는변경관리 (CM) 티켓에설명되어있습니다. 가능한경우, 정규변경기간동안변경일정을수립합니다. 표준변경관리절차와구별되는운영시스템에대한긴급변경사항은인시던트와연관되며적절한기록과승인이필요합니다. AWS 는핵심서비스변경사항을주기적으로자체감사하여품질모니터링, 높은수준의표준유지및변경관리프로세스의지속적인향상을도모합니다. 근본원인을파악하기위해모든예외사항을분석하며, 변경내용이표준을준수하도록하거나필요한경우변경내용을롤백하도록적절한조치를취합니다. 그런다음프로세스및사용자관련문제를해결및개선하기위한조치를취합니다. 13/46 페이지

14 인프라 Amazon 의기업애플리케이션팀은타사개발소프트웨어공급분야의 UNIX/Linux 호스트및내부적으로개발된소프트웨어와구성관리분야에서 IT 프로세스를자동화하기위한소프트웨어를개발, 관리합니다. 인프라팀은하드웨어확장성, 가용성, 감사및보안관리작업을처리하기위한 UNIX/Linux 구성관리프레임워크를관리및운영합니다. 변경사항을관리하는자동화된프로세스를사용해호스트를중앙에서관리함으로써 AWS 는높은가용성, 반복성, 확장성, 보안성및재해복구목표를달성할수있습니다. 시스템및네트워크엔지니어는지속적으로이러한자동화된도구상태를모니터링하며, 구성정보및소프트웨어를확보하거나업데이트하지못한호스트에대해보고사항을검토합니다. 새로운하드웨어가지원되면내부적으로개발된구성관리소프트웨어가설치됩니다. 이러한도구가구성되었는지그리고호스트에할당된역할에따라결정된기준을준수하여소프트웨어가설치되었는지확인하기위해모든 UNIX 호스트에서이를실행합니다. 이구성관리소프트웨어는또한호스트에이미설치된패키지를정기적으로업데이트하는데도움이됩니다. 승인서비스를통해허가받은직원들만중앙구성관리서버에로그인할수있습니다. AWS 계정보안기능 AWS 는 AWS 계정과리소스가무단으로사용되지않도록보호하기위해사용할수있는다양한도구와기능을제공합니다. 여기에는액세스제어를위한자격증명, 암호화된데이터전송을위한 HTTPS 엔드포인트, 별도의 IAM 사용자계정생성, 보안모니터링을위한사용자활동기록, Trusted Advisor 보안검사가포함됩니다. 어떤 AWS 서비스를선택하든이모든보안도구를활용할수있습니다. AWS 자격증명권한있는사용자와프로세스만 AWS 계정과리소스에액세스할수있도록보장하기위해 AWS 는다양한종류의자격증명을사용해인증합니다. 여기에는암호, 암호화키, 디지털서명, 인증서가포함됩니다. 또한 AWS 계정이나 IAM 사용자계정에로그인할때멀티팩터인증 (MFA) 을요구하는옵션도제공합니다. 다음표는다양한 AWS 자격증명과용도를강조해서보여줍니다. 14/46 페이지

15 자격증명유형사용설명 암호 AWS 루트계정이나 IAM 사용자계정으로 AWS 관리콘솔에로그인 AWS 계정이나 IAM 계정에로그인하는데사용되는문자열. AWS 암호는최소 6 자, 최대 128 자여야합니다. 멀티팩터인증 (MFA) AWS 루트계정이나 IAM 사용자계정으로 AWS 관리콘솔에로그인 암호와더불어 AWS 계정이나 IAM 사용자계정에로그인하는데필요한 6 자리일회용코드. 액세스키 디지털로서명한 AWS API 요청 (AWS SDK, CLI 또는 REST/Query API 사용 ) 액세스키 ID 및보안액세스키를포함합니다. 액세스키를이용하여 AWS 에대한프로그래밍요청을디지털로서명합니다. 키페어 EC2 인스턴스에대한 SSH 로그인 CloudFront 서명 URL Windows 인스턴스 X.509 인증서 AWS API에대한디지털서명 SOAP 요청 HTTPS 에대한 SSL 서버인증서 인스턴스에로그인하려면키페어를만들고, 인스턴스를시작할때키페어의이름을지정하고, 인스턴스에연결할때프라이빗키를제공해야합니다. Linux 인스턴스는암호가없으므로키페어를사용하여 SSH 를통해로그인합니다. Windows 인스턴스에서는키페어를사용하여관리자암호를가져오고 RDP 를사용하여로그인합니다. X.509 인증서는 SOAP 기반요청 ( 현재 Amazon S3 에서만사용됨 ) 을서명하는용도로만사용됩니다. AWS 에서는고객이다운로드할수있는 X.509 인증서와프라이빗키를생성하거나, 자격증명보고서를이용해전용인증서를업로드할수있습니다. 보안자격증명페이지에서언제든지고객계정에대한자격증명보고서를다운로드할수있습니다. 이보고서에는계정의사용자와이들의자격증명상태가모두나열됩니다. 즉사용자의암호사용여부, 암호만료여부및정기적인변경필요성, 암호를마지막으로변경한시점, 액세스키를마지막으로교체한시점, MFA 활성화여부가표시됩니다. 15/46 페이지

16 보안상의이유로, 자격증명을분실했거나잊어버린경우복구하거나다시다운로드할수없습니다. 그대신, 새자격증명을만든후이전자격증명세트를비활성화하거나삭제할수있습니다. 사실 AWS 는액세스키와인증서를정기적으로변경 ( 교체 ) 할것을권장합니다. AWS 는다중동시액세스키와인증서를지원하고있어서혹시라도사용자의애플리케이션가용성에영향을주는일없이키교체작업을수행할수있습니다. 이기능덕분에사용할키와인증서를애플리케이션다운타임없이정기적으로교체할수있습니다. 액세스키또는인증서를분실하거나훼손할위험을줄일수있습니다. AWS IAM API 는고객이 IAM 사용자계정뿐아니라 AWS 계정에대해서도액세스키를교체할수있게해줍니다. 암호 AWS 계정, 개별 IAM 사용자계정, AWS 토론포럼, AWS 지원센터에액세스하기위해서는암호가필요합니다. 계정을처음만들때암호를지정한후보안자격증명페이지에서언제든변경할수있습니다. AWS 암호는최대 128 자길이이며특수문자를포함할수있습니다. 따라서쉽게추측할수없는강력한암호를만들것을권장합니다. IAM 사용자계정에암호정책을설정하여, 사용자들이강력한암호를사용하고자주변경하도록할수있습니다. 암호정책은 IAM 사용자가설정할수있는암호의유형을정의한규칙세트입니다. 암호정책에관한자세한내용은 IAM 을이용한암호관리를참조하십시오. AWS Multi-Factor Authentication(AWS MFA) AWS Multi-Factor Authentication(AWS MFA) 은 AWS 서비스에액세스하기위한추가보안계층입니다. 이옵트인 (opt-in) 기능을활성화한경우, 고객은표준사용자이름과암호자격증명외에 6 자리일회용코드를입력해야고객의 AWS 계정설정또는 AWS 서비스및리소스액세스권한이부여됩니다. 이일회용코드는물리적으로소유하고있는인증디바이스에서얻을수있습니다. 액세스권한을부여하기전에복수의인증팩터, 즉암호 ( 고객이알고있는것 ) 와인증디바이스 ( 고객이소유하고있는것 ) 로부터의정확한코드를확인하므로이를멀티팩터인증이라고합니다. 고객은 MFA 계정뿐아니라 AWS IAM 을이용해 AWS 계정에만든사용자들에대해서도 MFA 디바이스를사용하도록설정할수있습니다. 또한하나의 AWS 계정하에서생성한사용자가 IAM 역할을이용해다른 AWS 계정에속한리소스에액세스하도록허용하려면, AWS 계정전체의액세스에대해 MFA 보호를추가할수있습니다. 사용자가역할을수행하기전에추가보안계층으로 MFA 를사용하도록요구할수있습니다. 16/46 페이지

17 AWS MFA 는하드웨어토큰및가상 MFA 디바이스의사용을모두지원합니다. 가상 MFA 디바이스는물리적 MFA 디바이스와동일한프로토콜을사용하지만, 스마트폰을비롯한모바일하드웨어디바이스에서만실행할수있습니다. 가상 MFA 디바이스는시간기반일회용암호 (TOTP) 표준 (RFC 6238 참조 ) 을준수하는 6 자리인증코드를생성하는소프트웨어애플리케이션을사용합니다. 대부분의가상 MFA 애플리케이션은여러개의가상 MFA 디바이스를호스트할수있기때문에하드웨어 MFA 디바이스보다편리하게이용할수있습니다. 그러나가상 MFA 는스마트폰과같이보안수준이떨어지는디바이스에서실행될수있으므로가상 MFA 가하드웨어 MFA 디바이스와동일한보안수준을제공하지못할수있다는점에유의해야합니다. 또한 Amazon EC2 인스턴스를종료하거나 Amazon S3 에저장된중요한데이터를읽는것과같은강력한또는권한있는작업에대해추가보호계층을제공하기위해 AWS 서비스 API 에 MFA 인증을적용할수도있습니다. 이렇게하려면 IAM 액세스정책에 MFA 인증요구사항을추가합니다. 이러한액세스정책을 Amazon S3 버킷, SQS 대기열, SNS 주제와같은 ACL( 액세스제어목록 ) 을지원하는 IAM 사용자, IAM 그룹또는리소스에연결할수있습니다. 참여하는타사공급자로부터하드웨어토큰을, 또는 AppStore 에서가상 MFA 애플리케이션을입수하여 AWS 웹사이트를통해사용을설정하는절차는간단합니다. AWS MFA 에대한자세한정보는 AWS 웹사이트를참조하십시오. 액세스키 AWS 는모든 API 요청에서명을요구합니다. 즉, AWS 가요청자의 ID 를확인하는데사용할수있는디지털서명을포함해야합니다. 암호화해시함수를이용해디지털서명을계산할수있습니다. 이경우해시함수에대한입력에는요청텍스트와보안액세스키가포함됩니다. AWS SDK 를이용해요청을생성하는경우디지털서명계산은자동으로이루어집니다. 또는, AWS 설명서의지시에따라애플리케이션에계산을맡긴후그결과를 REST 나 Query 요청에포함시키는방법도있습니다. 서명프로세스는요청이전송되는동안훼손을방지하여메시지의무결성을보호할뿐만아니라재생공격의가능성을차단하는역할도합니다. 요청서의타임스탬프시간으로부터 15 분이내에 AWS 에요청이도착해야합니다. 그렇지않으면 AWS 가요청을거부합니다. 최신버전의디지털서명계산프로세스는서명버전 4 로서, HMAC-SHA256 프로토콜을이용해서명을계산합니다. 버전 4 는보안액세스키자체를사용하기보다는보안액세스키에서추출한키를이용해메시지에서명하도록요구함으로써이전버전에추가적인보호조치를취했습니다. 게다가자격증명범위를기반으로서명키를추출하기때문에서명키의암호화분리가용이합니다. 17/46 페이지

18 액세스키가악의적인사람손에들어가면오용될수있기때문에안전한위치에저장하고코드에통합하지않는것이좋습니다. 탄력적으로확장가능한대용량 EC2 인스턴스집합을보유한고객은 IAM 역할을사용해액세스키의배포를관리하는편이더안전하고편리할수있습니다. IAM 역할은대상인스턴스에자동으로로드될뿐만아니라하루에여러번자동으로교체되는임시자격증명을제공합니다. 키페어 Amazon EC2 는퍼블릭키암호화기법을사용하여로그인정보를암호화및해독합니다. 공개키암호화기법은공개키를사용하여암호등의데이터를암호화하고, 수신자가개인키를사용하여해당데이터를해독하는방식입니다. 퍼블릭키와프라이빗키를키페어라고합니다. 인스턴스에로그인하려면키페어를만들고, 인스턴스를시작할때키페어의이름을지정하고, 인스턴스에연결할때프라이빗키를제공해야합니다. Linux 인스턴스는암호가없으므로키페어를사용하여 SSH 를통해로그인합니다. Windows 인스턴스에서는키페어를사용하여관리자암호를가져오고 RDP 를사용하여로그인합니다. 키페어만들기 Amazon EC2 를사용하여키페어를만들수있습니다. 자세한내용은 Amazon EC2 를이용한키페어만들기를참조하십시오. 또는타사도구를사용하고 Amazon EC2 로퍼블릭키를가져올수도있습니다. 자세한내용은 Amazon EC2 로사용자의키페어가져오기를참조하십시오. 각키페어에는이름이필요합니다. 이름은당연히기억하기쉬워야합니다. Amazon EC2 에서퍼블릭키는키이름으로지정한이름에연결됩니다. 퍼블릭키는 Amazon EC2 에저장되며프라이빗키는사용자가저장합니다. 프라이빗키소유자는임의로로그인정보를해독할수있으므로보안된장소에프라이빗키를저장해두는것이중요합니다. Amazon EC2 에서사용되는키는 2048 비트 SSH-2 RSA 키입니다. 키페어는리전당최대 5 천개까지보유할수있습니다. X.509 인증서 X.509 인증서는 SOAP 기반요청을서명하는용도로사용됩니다. X.509 인증서에는퍼블릭키와추가메타데이터 ( 인증서가업로드되는시점에 AWS 가확인한만료날짜등 ) 가포함되며프라이빗키와연결됩니다. 요청을만들려면프라이빗키로디지털서명을만든후인증서와함께이서명을요청에포함해야합니다. AWS 는인증서에포함된퍼블릭키로서명을해독하여귀하가발신자임을확인합니다. AWS 는전송된인증서가 AWS 에업로드했던인증서와일치하는지도확인합니다. 18/46 페이지

19 고객 AWS 계정의경우, AWS 에서고객이다운로드할수있는 X.509 인증서와프라이빗키를생성하거나, 보안자격증명페이지를이용해전용인증서를업로드할수있습니다. IAM 사용자의경우, 타사소프트웨어를이용해 X.509 인증서 ( 서명인증서 ) 를생성해야합니다. 루트계정자격증명과달리 AWS 는 IAM 사용자용 X.509 인증서를생성할수없습니다. 인증서를생성한후 IAM 을이용해 IAM 사용자에게연결할수있습니다. X.509 인증서는 SOAP 요청뿐만아니라, HTTPS 를이용해전송을암호화하려는고객의 SSL/TLS 서버인증서로사용됩니다. HTTPS 에사용하기위해 OpenSSL 같은오픈소스도구를이용하여고유한프라이빗키를생성할수있습니다. 서버인증서를얻기위해인증기관 (CA) 에제출할인증서서명요청 (CSR) 을생성하려면프라이빗키가필요합니다. 그런다음 AWS CLI 를이용해인증서, 프라이빗키, 인증서체인을 IAM 에업로드합니다. EC2 인스턴스를위한사용자지정 Linux AMI 를생성할때도 X.509 인증서가필요합니다. 이인증서는 EBS 지원 AMI 와다른인스턴스지원 AMI 를생성하는경우에만필요합니다. AWS 에서는고객이다운로드할수있는 X.509 인증서와프라이빗키를생성하거나, 보안자격증명페이지를이용해전용인증서를업로드할수있습니다. 개별사용자계정 AWS 는 AWS 계정내에서개별사용자를생성하고관리할수있도록 AWS 자격증명및액세스관리 (IAM) 라는중앙집중화된메커니즘을제공합니다. 사용자는프로그래밍방식으로또는 AWS 관리콘솔이나 AWS 명령줄인터페이스 (CLI) 를통해 AWS 리소스와상호작용하는개인, 시스템또는애플리케이션일수있습니다. 각사용자는 AWS 계정내에서다른사용자와공유하지않는고유한이름과고유한보안자격증명세트를보유합니다. AWS IAM 은암호나키를공유할필요를없애는동시에고객의 AWS 계정자격증명사용횟수를최소화합니다. IAM 의경우, 사용자가어떤 AWS 서비스에액세스하여어떤작업을수행할수있는지제어하는정책을정의합니다. 사용자가작업을수행하는데필요한최소권한만부여할수있습니다. 자세한내용은아래 AWS 자격증명및액세스관리 (AWS IAM) 단원을참조하십시오. 보안 HTTPS 액세스포인트 AWS 리소스에대한액세스의통신보안을강화하려면데이터전송시 +HTTP 대신 HTTPS 를사용해야합니다. HTTPS 는퍼블릭키암호화로염탐, 훼손및위조를방지하는 SSL/TLS 프로토콜을사용합니다. 모든 AWS 서비스는고객이보안 HTTPS 통신세션을구축할수있도록보안고객액세스포인트 (API 엔드포인트라고도지칭 ) 를제공합니다. 19/46 페이지

20 현재여러서비스를통해 Elliptic Curve Diffie-Hellman Ephemeral(ECDHE) 프로토콜을사용하는고급암호그룹도제공하고있습니다. ECDHE 를통해 SSL/TLS 클라이언트는임시적이고어디에도저장되지않는세션키를사용하는 PFS(Perfect Forward Secrecy) 를제공할수있습니다. 이렇게하면기밀장기키자체가훼손되더라도제 3 자가무단캡처한데이터의디코딩을방지할수있습니다. 보안로그보안문제를예방하는데있어서자격증명및암호화된엔드포인트가중요한것처럼, 문제가발생한후이벤트를이해하기위해서는로그가매우중요합니다. 보안도구로서효과적이려면, 언제어떤이벤트가발생했는지명시된목록뿐만아니라소스식별정보도로그에포함되어야합니다. 사후조사와거의실시간침입탐지에도움을주기위해 AWS CloudTrail 은지원되는서비스의계정내에 AWS 리소스요청로그를제공합니다. 각이벤트에어떤서비스가액세스되었고어떤조치가취해졌는지, 누가요청했는지알수있습니다. CloudTrail 은로그인이벤트를포함해지원되는모든 AWS 리소스에대한모든 API 호출관련정보를캡처합니다. CloudTrail 을활성화하면이벤트로그가 5 분단위로제공됩니다. CloudTrail 이여러리전의로그파일을하나의 Amazon S3 버킷에집계하도록구성할수있습니다. 그러면원하는로그관리및분석솔루션에이를업로드해보안분석을수행하고사용자행동패턴을감지할수있습니다. 기본적으로로그파일은 Amazon S3 에안전하게저장되지만감사및규정준수요구사항에부합하도록 Amazon Glacier 에아카이브할수도있습니다. CloudTrail 의사용자활동로그외에 Amazon CloudWatch Logs 기능을사용하여 EC2 인스턴스및기타소스에서시스템, 애플리케이션, 사용자지정로그파일을거의실시간으로수집하고모니터링할수도있습니다. 예를들어, 유효하지않은사용자메시지에대한웹서버의로그파일을모니터링하여게스트 OS 에대한무단로그인시도를찾아낼수있습니다. 20/46 페이지

21 AWS Trusted Advisor 보안검사 AWS Trusted Advisor 고객지원서비스는클라우드성능및복원성만모니터링하는것이아니라클라우드보안도모니터링합니다. Trusted Advisor 는고객의 AWS 환경을검사하고비용절감, 시스템성능개선또는보안결함방지의여지가있을때권장사항을알려줍니다. 또한발생할수있는몇몇가장일반적인보안구성오류에대해알림을제공합니다. 이러한오류에는특정포트를열어두어해킹및무단액세스에취약한상태로만드는경우, 내부사용자를위한 IAM 계정을만들지않은경우, Amazon S3 버킷에대해퍼블릭액세스를허용하는경우, 사용자활동로깅 (AWS CloudTrail) 을켜지않은경우또는루트 AWS 계정에서 MFA 를사용하지않는경우가포함됩니다. 조직내보안팀이자동으로 Trusted Advisor 보안검사업데이트상태에관한주간이메일을수신하도록선택할수도있습니다. AWS Trusted Advisor 서비스는제한되지않은특정포트, IAM 사용, 루트계정의 MFA 등세가지중요한보안검사를포함한네가지검사를추가비용없이모든사용자에게제공합니다. 비즈니스급또는엔터프라이즈급 AWS Support 에가입하면모든 Trusted Advisor 검사에액세스할수있습니다. 네트워킹서비스 Amazon Web Services 를통해고객이정의한논리적으로격리된네트워크를만들고 AWS 클라우드에대한사설네트워크연결을설정할수있습니다. 또한가용성및확장성이높은 DNS 서비스를사용할수있도록하며, 콘텐츠전송웹서비스를통해지연시간은짧고데이터전송속도는높은상태에서최종사용자에게콘텐츠를전달할수있도록하는광범위한네트워킹서비스를제공합니다. Amazon Elastic Load Balancing 보안 Amazon Elastic Load Balancing 은한그룹의 Amazon EC2 인스턴스에서트래픽을관리하여인스턴스에대한트래픽을특정리전의모든가용영역으로배포합니다. Elastic Load Balancing 은온프레미스로드밸런서의모든장점이외에여러가지보안상이점을제공합니다. Amazon EC2 인스턴스를대신해암호화및복호화작업을수행하고로드밸런서에서중앙집중식으로관리클라이언트에단일접점을제공하며네트워크공격에대한 1차방어선의역할도수행 Amazon VPC를사용하는경우, Elastic Load Balancing과연결된보안그룹의생성및관리를지원하여추가적인네트워킹및보안옵션을제공보안 HTTP(HTTPS) 연결을사용하는네트워크에서 TLS( 이전에는 SSL) 를이용한종단간트래픽암호화를지원. TLS를사용하는경우, 클라이언트연결을종료하는데사용된 TLS 서버인증서를개별인스턴스에서가아니라로드밸런서에서중앙집중식으로관리할수있습니다. 21/46 페이지

22 HTTPS/TLS 는장기보안키를사용하여서버와브라우저사이에서암호화메시지를생성하는데사용할단기세션키를생성합니다. Amazon Elastic Load Balancing 은클라이언트와고객의로드밸런서사이에연결이설정되면 TLS 협상에사용되는사전정의된암호집합을사용해로드밸런서를구성합니다. 사전정의된암호집합은광범위한클라이언트와호환되며강력한암호화알고리즘을사용합니다. 그러나일부고객은표준준수를보장하기위해클라이언트에서특정암호와프로토콜 (PCI, SOX 등 ) 만허용하도록요구할수있습니다. 이런경우, Amazon Elastic Load Balancing 이 TLS 프로토콜및암호에대해서로다른구성을선택할수있는옵션을제공합니다. 고객은특정요구사항에따라암호를활성화또는비활성화하도록선택할수있습니다. 보안연결을구성할때새롭고강력한암호그룹이사용되도록보장하기위해클라이언트 - 서버협상중에로드밸런서가암호그룹선택시최종결정권을갖도록구성할수있습니다. Server Order Preference 옵션을선택하면로드밸런서는클라이언트가아닌서버의암호그룹우선순위에따라암호그룹을선택합니다. 그결과, 클라이언트가로드밸런서에연결하는데사용하는보안수준을더폭넓게통제할수있습니다. 통신정보보호를더욱강화하기위해 Amazon Elastic Load Balancer 는 Perfect Forward Secrecy(PFS) 사용을허용합니다. 이 PFS 는임시적이고어디에도저장되지않는세션키를사용합니다. 이렇게하면기밀장기키자체가훼손되더라도캡처된데이터의디코딩을방지할수있습니다. HTTPS 나 TCP 로드밸런싱중무엇을사용하든, Amazon Elastic Load Balancing 을통해서버에연결된클라이언트의원본 IP 주소를식별할수있습니다. 일반적으로요청이로드밸런서를통해프록시되면 IP 주소와포트등의클라이언트연결정보는손실됩니다. 이는로드밸런서가클라이언트대신서버로요청을보내마치로드밸런서가클라이언트를요청하는것처럼보이기때문입니다. 연결통계를수집하고트래픽로그를분석하거나 IP 주소의화이트리스트를관리하기위해애플리케이션방문자에대한추가정보가필요할경우원본클라이언트 IP 주소정보가유용합니다. Amazon Elastic Load Balancing 액세스로그에는로드밸런서에서처리하는각 HTTP 와 TCP 요청에관한정보가포함되어있습니다. 여기에는요청하는클라이언트의 IP 주소와포트, 요청을처리하는인스턴스의백엔드 IP 주소, 요청및응답의크기, 클라이언트의실제요청줄 ( 예를들어 GET 80/HTTP/1.1) 이포함됩니다. 백엔드인스턴스로전달되지않는요청을포함해로드밸런서로보낸모든요청이기록됩니다. 22/46 페이지

23 Amazon Virtual Private Cloud(Amazon VPC) 보안 통상적으로고객이시작하는 Amazon EC2 인스턴스에 Amazon EC2 주소공간의퍼블릭 IP 주소가임의로할당됩니다. Amazon VPC 를사용하면 AWS 클라우드의격리된부분을만들고, 선택한범위 ( 예 : /16) 에프라이빗 (RFC 1918) 주소가있는 Amazon EC2 인스턴스를시작할수있습니다. IP 주소범위를기반으로유사한인스턴스를그룹화하여 VPC 내에서서브넷을정의한다음, 라우팅및보안을설정하여인스턴스및서브넷을드나드는트래픽흐름을제어할수있습니다. AWS 는다음과같은여러수준의퍼블릭액세스를제공하는구성을포함하는다양한 VPC 아키텍처템플릿을제공합니다. 단일퍼블릭서브넷만있는 VPC. 고객의인스턴스는 AWS 클라우드의프라이빗격리섹션에서실행되며인터넷에직접액세스합니다. 네트워크 ACL 및보안그룹을사용하여인스턴스를드나드는인바운드및아웃바운드네트워크트래픽을엄격히제어할수있습니다. 퍼블릭및프라이빗서브넷이있는 VPC. 이구성은퍼블릿서브넷을포함하는이외에인터넷에서인스턴스의주소를지정할수없는프라이빗서브넷을추가합니다. 프라이빗서브넷의인스턴스는 NAT(Network Address Translation) 를사용하는퍼블릭서브넷을통해인터넷과아웃바운드연결을설정할수있습니다. 퍼블릭및프라이빗서브넷이있고하드웨어 VPN 액세스를제공하는 VPC. 이구성은 Amazon VPC와데이터센터사이에 IPsec VPN 연결을추가하여데이터센터를효과적으로클라우드까지확장하는한편 Amazon VPC의퍼블릭서브넷인스턴스에게직접인터넷액세스를제공합니다. 이구성에서는고객이기업데이터센터측에 VPN 어플라이언스를추가할수있습니다. 프라이빗서브넷만있고하드웨어 VPN 액세스를제공하는 VPC. 고객의인스턴스가 AWS 클라우드의프라이빗격리섹션에서실행되고인터넷에서인스턴스의주소를지정할수없는프라이빗서브넷이포함됩니다. 이프라이빗서브넷을 IPsec VPN 터널을통해기업데이터센터에연결할수있습니다. 프라이빗 IP 주소를이용해두 VPC 를연결하여두 VPC 의인스턴스가마치같은네트워크에있는것처럼서로통신하도록허용할수도있습니다. 자체 VPC 간의 VPC 피어링연결, 또는단일리전내에있는다른 AWS 계정에서 VPC 와의 VPC 피어링연결을만들수있습니다. Amazon VPC 내보안기능에는보안그룹, 네트워크 ACL, 라우팅테이블, 외부게이트웨이가포함됩니다. 이러한각항목은직접인터넷접근또는다른네트워크에대한사설연결을선택적으로사용해확장가능한안전하고격리된네트워크를제공함으로써상호보완됩니다. Amazon VPC 에서실행되는 Amazon EC2 인스턴스는아래에서설명하는게스트 OS 및패킷스니핑으로부터보호와관련된장점을모두계승합니다. 23/46 페이지

24 단, 고객은자신의 Amazon VPC 만을위한 VPC 보안그룹을생성해야합니다. Amazon VPC 내부에서는고객이생성한 Amazon EC2 보안그룹이작용하지않습니다. 또한 Amazon VPC 보안그룹은인스턴스시작후보안그룹을변경하는기능, (TCP, UDP 또는 ICMP 만사용하는방식이아니라 ) 표준프로토콜번호를사용하여프로토콜을지정하는기능등 EC2 보안그룹에는없는추가기능을제공합니다. 각 Amazon VPC 는클라우드상에서별도로격리된네트워크입니다. 각 Amazon VPC 에서의네트워크트래픽은다른모든 Amazon VPC 와격리됩니다. Amazon VPC 를생성할때각각에대해 IP 주소범위를선택합니다. 고객은아래의제어방법에따라외부연결을설정하기위해인터넷게이트웨이, 가상프라이빗게이트웨이, 또는둘모두를생성하여연결할수있습니다. API 액세스 : Amazon VPC 를생성및삭제하고, 라우팅, 보안그룹및네트워크 ACL 파라미터를변경하며그밖에다른기능을수행하기위한호출은모두고객의 Amazon 보안액세스키를사용하여서명이이루어집니다. 이때 AWS 계정보안액세스키를사용하거나 AWS IAM 을이용해만든사용자의보안액세스키를사용할수도있습니다. 고객의보안액세스키에액세스하지않고서는고객을대신하여 Amazon VPC API 호출을생성할수없습니다. 또한기밀성을유지하기위해 API 호출을 SSL 로암호화할수있습니다. Amazon 은항상 SSL 로보호되는 API 엔드포인트를사용하도록권장하고있습니다. AWS IAM 은또한고객이새로생성된사용자가권한을갖는 API 가운데어느것을호출할지를선택할수있게합니다. 서브넷및라우팅테이블 : 각 Amazon VPC 에하나이상의서브넷을만들수있습니다. Amazon VPC 에서시작되는각인스턴스는하나의서브넷에연결됩니다. MAC 스푸핑및 ARP 스푸핑등기존의계층 2 에대한보안공격이차단됩니다. Amazon VPC 의각서브넷은라우팅테이블하나씩과연결되어있으며, 서브넷에서전송되는모든네트워크트래픽은라우팅테이블에서목적지결정을위한처리를받게됩니다. 방화벽 ( 보안그룹 ): Amazon EC2 와마찬가지로 Amazon VPC 는인스턴스의수신및발신트래픽을모두필터링할수있는완벽한방화벽솔루션을지원합니다. 기본그룹은동일한그룹내의다른구성원으로부터의인바운드통신과모든대상에대한아웃바운드통신을허용합니다. 트래픽은모든 IP 프로토콜, 서비스포트, 원본 / 대상 IP 주소 ( 개별 IP 또는 Classless Inter-Domain Routing(CIDR) 블록 ) 에의해제한될수있습니다. 24/46 페이지

25 방화벽은게스트운영체제를통해제어할수없으며, Amazon VPC API 호출을통해서만수정이가능합니다. AWS 는다양한인스턴스및방화벽관리기능에대해단계별액세스권한을부여하는기능을지원합니다. 따라서고객은역할분리를통해추가보안을구현할수있습니다. 방화벽에서제공하는보안수준은어느포트를어느기간동안어떤목적으로개방할것인지결정합니다. 정보기반의트래픽관리및보안설계가인스턴스별로필요합니다. AWS 에서는 IPtable 또는 Windows 방화벽과같은호스트기반방화벽이있는인스턴스별추가필터를사용할것을권장합니다. 그림 5: Amazon VPC 네트워크아키텍처 네트워크액세스제어목록 : Amazon VPC 에보안계층을추가하기위해네트워크 ACL 을구성할수있습니다. 이네트워크 ACL 은 Amazon VPC 내서브넷에서인바운드또는아웃바운드하는모든트래픽에적용되는상태비저장트래픽필터입니다. 이러한 ACL 은 IP 프로토콜, 서비스포트, 원본 / 대상 IP 주소에따라트래픽을허용또는거부하는정렬된규칙도포함할수있습니다. 보안그룹과마찬가지로, 네트워크 ACL 은 Amazon VPC API 를통해서뿐만아니라추가적인보호계층과역할분리를통해추가보안을설정함으로써관리됩니다. 아래그림에서는위의보안관리기법이네트워크트래픽의흐름을완벽하게제어하는한편유연한네트워크토폴로지를구현할수있도록하기위해어떻게상호연관되는지를보여줍니다. 25/46 페이지

26 26/46 페이지 그림 6: 유연네트워크토폴로지 가상프라이빗게이트웨이 : 가상프라이빗게이트웨이를통해 Amazon VPC 와다른네트워크사이에프라이빗연결이가능합니다. 각가상프라이빗게이트웨이의네트워크트래픽은다른모든가상프라이빗게이트웨이의네트워크트래픽으로부터격리됩니다. 고객의프레미스에위치하는게이트웨이디바이스로부터가상프라이빗게이트웨이와 VPN 연결을설정할수있습니다. 각연결은고객게이트웨이장치의 IP 주소와관련된사전공유된키로보호됩니다. 인터넷게이트웨이 : 인터넷게이트웨이는 Amazon S3, 다른 AWS 서비스및인터넷에직접연결이가능하도록 Amazon VPC 에연결할수있습니다. 이러한접근이필요한각인스턴스는해당접근과관련된엘라스틱 IP 를보유하거나 NAT 인스턴스를통해트래픽을라우팅해야합니다. 또한, 인터넷게이트웨이로직접트래픽을보내도록네트워크경로를구성합니다 ( 위참조 ). AWS 는네트워크로깅, 정밀패킷검사, 애플리케이션계층필터링또는기타보안관리를수행하기위해확장이가능한참조 NAT AMI 를제공합니다. 이접근권한은 Amazon VPC API 호출을통해서만수정할수있습니다. AWS 는인스턴스및인터넷게이트웨이의서로다른관리기능에대한세부적인접근권한을부여하는기능을지원합니다. 따라서고객은역할구분을통해추가보안을구현할수있습니다.

27 전용인스턴스 : VPC 에서는고객이호스트하드웨어수준에서물리적으로분리된 Amazon EC2 인스턴스를시작할수있습니다 ( 이러한인스턴스는단일테넌트하드웨어에서실행됨 ). 전용 테넌시를이용해 Amazon VPC 를생성할수있습니다. 그러면 Amazon VPC 에서시작되는모든인스턴스가이기능을사용합니다. 또는 ' 기본 ' 테넌시를이용해 Amazon VPC 를생성할수있습니다. 하지만이 Amazon VPC 에서시작되는특정인스턴스에대해전용테넌시를지정할수있습니다. 탄력적네트워크인터페이스 : 각 Amazon EC2 인스턴스는고객의 Amazon VPC 네트워크에서프라이빗 IP 주소로지정된기본네트워크인터페이스를갖습니다. 고객은 ENI( 엘라스틱네트워크인터페이스 ) 로알려진추가네트워크인터페이스를생성한후 Amazon VPC 의 Amazon EC2 인스턴스에연결하여인스턴스당총 2 개의네트워크인터페이스를사용할수있습니다. 네트워크인스턴스에복수의네트워크인터페이스를연결할경우관리네트워크를만들거나, Amazon VPC 에서네트워크및보안어플라이언스를사용하거나, 별도의서브넷에워크로드 / 역할이있는이중홈인스턴스를만들때유용합니다. 프라이빗 IP 주소, 탄력적 IP 주소, MAC 주소등 ENI 의속성은인스턴스와연결될때, 또는한인스턴스에서분리되어다른인스턴스로연결될때의 ENI 를따릅니다. Amazon VPC 에대한자세한정보는 AWS 웹사이트를참조하십시오. EC2-VPC 를통한추가네트워크액세스제어 AWS 가새 EC2-VPC 기능 ( 기본 VPC 라고도함 ) 을시작하기전에인스턴스를실행한적이없는리전에서인스턴스를시작할경우, 모든인스턴스가즉시사용가능한기본 VPC 에서자동으로프로비저닝됩니다. 고객은추가 VPC 를생성할수도있고, AWS 가 EC2-VPC 를시작하기전에이미인스턴스를실행한적이있는리전의인스턴스를위해 VPC 를생성할수도있습니다. 일반 VPC 를사용하여나중에 VPC 를생성하는경우 CIDR 블록을지정하고, 서브넷을생성하고, 생성한서브넷에대해라우팅및보안을입력하고, 서브넷중하나를인터넷과연결하려는경우인터넷게이트웨이또는 NAT 인스턴스를프로비저닝합니다. EC2 인스턴스를 EC2-VPC 에서시작할때이작업이대부분자동으로실행됩니다. EC2-VPC 를사용하여기본 VPC 에서인스턴스를시작하면 AWS 가다음작업을수행하여인스턴스를설정합니다. 각가용영역에서기본서브넷을생성합니다인터넷게이트웨이를생성하여기본 VPC와연결합니다인터넷으로향하는모든트래픽을인터넷게이트웨이로전송하는규칙을사용하여기본 VPC에대한기본라우팅테이블을생성합니다기본보안그룹을만들어기본 VPC와연결합니다네트워크 ACL( 액세스제어목록 ) 을생성하여기본 VPC와연결합니다 AWS 계정에서설정된기본 DHCP 옵션을기본 VPC와연결합니다 27/46 페이지

28 기본 VPC 가자체프라이빗 IP 범위를갖는이외에, 기본 VPC 에서시작한 EC2 인스턴스에도퍼블릭 IP 가할당됩니다. 다음표는 EC2-Classic, 기본 VPC, 그리고기본값아닌 VPC 에서시작되는인스턴스의차이점을요약한것입니다. 특성 EC2-Classic EC2-VPC( 기본 VPC) 일반 VPC 퍼블릭 IP 주소 인스턴스에퍼블 IP 주소가할당됩니다. 시작시다르게지정하지않은한, 기본서브넷에서시작한인스턴스에는기본적으로퍼블릭 IP 주소가할당됩니다. 시작시다르게지정하지않은한, 인스턴스에는기본적으로퍼블릭 IP 주소가할당되지않습니다. 프라이빗 IP 주소 다중프라이빗 IP 주소 인스터스를시작할때마다 EC2-Classic 범위내의프라이빗 IP 주소가할당됩니다. AWS가사용자의인스턴스를위해단일 IP 주소를선택합니다. 다중 IP 주소는지원하지않습니다. 인스터스를시작할때마다기본 VPC 범위내의사설프라이빗 IP 주소가할당됩니다. 인스턴스에다중프라이빗 IP 주소를할당할수있습니다. 인스터스를시작할때마다사용 VPC 범위내의프라이빗고정 IP 주소가할당됩니다. 인스턴스에다중프라이빗 IP 주소를할당할수있습니다. 탄력적 IP 주소인스턴스를중지하면, EIP 는더이상그인스턴스와무관하게됩니다. 인스턴스를중지해도 EIP 는여전히그인스턴스의 IP 입니다. 인스턴스를중지해도 EIP 는여전히그인스턴스의 IP 입니다. DNS 호스트이름 기본적으로 DNS 호스트이름을사용하도록되어있습니다. 기본적으로 DNS 호스트이름을사용하도록되어있습니다. 기본적으로 DNS 호스트이름을사용하지않도록되어있습니다. 보안그룹 보안그룹에서다른 AWS 계정에속한보안그룹을참조할수있습니다. 보안그룹에서는사용자의 VPC 내보안그룹만참조할수있습니다. 보안그룹에서는사용자의 VPC 내보안그룹만참조할수있습니다. 보안그룹연결 보안그룹을변경하려면인스턴스를종료해야합니다. 실행중인인스턴스의보안그룹을변경할수있습니다. 실행중인인스턴스의보안그룹을변경할수있습니다. 보안그룹규칙 인바운드트래픽에만규칙을추가할수있습니다. 인바운드및아웃바운드모두에규칙을지정할수있습니다. 인바운드및아웃바운드모두에규칙을지정할수있습니다. 28/46 페이지

29 테넌시 인스턴스가공유된하드웨어에서실행됩니다. 단일테넌트하드웨어에서는인스턴스를실행할수없습니다. 공유된하드웨어나단일테넌트하드웨어에서인스턴스를실행할수있습니다. 공유된하드웨어나단일테넌트하드웨어에서인스턴스를실행할수있습니다. EC2-Classic 인스턴스의보안그룹은 EC2-VPC 인스턴스의보안그룹과약간다릅니다. 예를들어, EC2-Classic 의경우인바운드트래픽에대한규칙을추가할수있지만, EC2-VPC 의경우인바운드및아웃바운드트래픽모두에대한규칙을추가할수있습니다. EC2-Classic 에서는인스턴스가시작된후에는인스턴스에할당된보안그룹을변경할수없지만, EC2-VPC 에서는인스턴스가시작된후에도인스턴스에할당된보안그룹을변경할수있습니다. 또한 EC2-Classic 에서사용하기위해생성한보안그룹을 VPC 의인스턴스에서는사용할수없습니다. VPC 인스턴스전용으로보안그룹을생성해야합니다. VPC 용보안그룹에서사용하기위해생성한규칙은 EC2-Classic 용보안그룹을참조할수없으며그반대의경우도마찬가지입니다. Amazon Route 53 보안 Amazon Route 53 는가용성과확장성이우수한 DNS( 도메인이름시스템 ) 서비스로, DNS 쿼리에응답하여컴퓨터가서로통신할수있도록도메인이름을 IP 주소로변환합니다. Route 53 를사용하여 AWS 에서실행중인인프라 ( 예 : Amazon EC2 인터페이스, Amazon S3 버킷 ) 또는 AWS 외부인프라에사용자요청을연결할수있습니다. Amazon Route 53 는도메인이름에대해나열된 IP 주소 ( 레코드 ) 를관리하고특정도메인이름을해당 IP 주소로변환하라는요청 ( 쿼리 ) 에응답합니다. 지연시간을최소화하기위해도메인에대한쿼리는 anycast 를사용하여인근 DNS 서버에자동으로라우팅됩니다. Route 53 를사용하면지연시간기반라우팅 (LBR), 지역 DNS, 가중치기반라운드로빈 (WRR) 등다양한라우팅유형을통해전세계트래픽을관리할수있으며모든방식에 DNS 장애조치를결합하여짧은지연시간과내결함성을달성할수있습니다. Amazon Route 53 가실행하는장애조치알고리즘은트래픽을정상적인엔드포인트로라우팅할뿐만아니라상태확인및애플리케이션의구성오류, 엔드포인트오버로드, 분할오류등으로인해재난시나리오가악화되는것을피하기위해설계되었습니다. 29/46 페이지

30 Route 53 에서는도메인이름등록도지원하므로, 사용자는 example.com 과같은도메인이름을구매하여관리할수있으며 Route 53 에서도메인에대한기본 DNS 설정을자동으로구성하게됩니다. 다양한범위의일반및국가별 TLD( 최상위도메인 ) 중에서선택하여도메인을구입하여관리하고내부및외부로전송할수있습니다. 등록과정에서도메인에개인정보보호를활성화할수있는옵션이있습니다. 이옵션은스크랩과스팸을차단하기위해퍼블릭 Whois 데이터베이스에서대부분의개인정보를숨깁니다. Amazon Route 53 는 AWS 의가용성이높고신뢰할수있는인프라를사용하여개발하였습니다. AWS DNS 서버의분산특성덕분에최종사용자는해당애플리케이션으로일관되게라우팅됩니다. Route 53 는상태확인및 DNS 장애조치기능을제공하여웹사이트의가용성도보장합니다. 정기적으로웹사이트 (SSL 을통해서만이용할수있는보안웹사이트포함 ) 상태를점검하여기본사이트가응답하지않을경우백업사이트로전환하도록 Route 53 를손쉽게구성할수있습니다. 모든 AWS 서비스와마찬가지로 Amazon Route 53 는제어 API 에대한모든요청을인증하여인증받은사용자만 Route 53 에액세스하고관리할수있도록합니다. 요청에서계산된 HMAC-SHA1 또는 HMAC-SHA256 서명과사용자의 AWS 보안액세스키를사용하여 AWS 요청에서명합니다. 또한, Amazon Route 53 의제어 API 는 SSL 로암호화된엔드포인트를통해서만액세스할수있습니다. Route 53 는 IPv4 라우팅과 IPv6 라우팅을모두지원합니다. DNS IAM 을사용하여 AWS 계정아래에사용자를생성하고이러한사용자가수행할권한이있는 Route 53 작업을제어하는방식으로 Amazon Route 53 DNS 관리기능에대한액세스를제어할수있습니다. Amazon CloudFront 보안 Amazon CloudFront 를사용하면짧은지연시간과높은데이터전송속도로최종사용자에게콘텐츠를배포할수있습니다. Amazon CloudFront 는엣지로케이션의글로벌네트워크를사용해동적, 정적및스트리밍콘텐츠를전송합니다. 고객의객체에대한요청이가장가까운엣지로케이션으로자동라우팅되므로콘텐츠전송성능이뛰어납니다. Amazon CloudFront 는 Amazon S3, Amazon EC2, Elastic Load Balancing 및 Amazon Route 53 와같은다른 AWS 서비스와연동하도록최적화되어있습니다. 또한 AWS 오리진서버는아니지만원본및최종파일버전을저장하는모든서버와도원활하게연동됩니다. Amazon CloudFront 는대상 API 에대한모든요청에대해인증을요구하여권한있는사용자만 Amazon CloudFront 에서배포하는정보를생성, 변경, 또는삭제할수있도록합니다. 요청메시지는이요청메시지및사용자의개인키에서계산한 HMAC-SHA1 서명으로서명합니다. 또한, Amazon CloudFront 의제어 API 는 SSL 지원엔드포인트를통해서만접근할수있습니다. 30/46 페이지

31 Amazon CloudFront 의엣지로케이션에서는데이터의지속성을보장하지않습니다. 이서비스는빈번하게요청되지않는객체를엣지로케이션에서수시로삭제할수도있습니다. Amazon CloudFront 에서제공하는한정된수의객체원본을보유하는 Amazon CloudFront 의오리진서버역할을하는 Amazon S3 에서만데이터의지속성이보장됩니다. Amazon CloudFront 로부터콘텐츠를다운로드할수있는사람들을제한하고자할경우, 서비스의콘텐츠비공개기능을사용하도록설정할수있습니다. 이기능은다음두가지구성요소로구성되어있습니다. 첫번째는 Amazon CloudFront 엣지로케이션에서인터넷의최종사용자에게콘텐츠를전달하는방법을제어합니다. 두번째는 Amazon CloudFront 엣지로케이션에서 Amazon S3 에있는고객소유객체에액세스하는방법을제어합니다. CloudFront 는최종사용자의지리적위치를기반으로콘텐츠에대한액세스를제한하는지역제한도지원합니다. Amazon CloudFront 는 Amazon S3 에있는고객소유의객체원본복사본에대한접근을통제하기위해하나이상의 원본액세스 ID 를만들어이들을고객이배포하는사본과연결할수있게해줍니다. 원본액세스 ID 가 Amazon CloudFront 배포판하나와연결되어있을경우, 이배포판은 Amazon S3 에서이 ID 를사용하여객체를검색하게됩니다. 그런다음 Amazon S3 의 ACL 기능을사용하여원본액세스 ID 에대한액세스를제한함으로써해당객체의원본복사본을공개적으로읽을수없게할수있습니다. Amazon CloudFront 엣지로케이션에서객체를다운로드할수있는사용자를제한하기위해이서비스는서명된 URL 인증시스템을사용합니다. 이시스템을사용하려면먼저퍼블릭 - 프라이빗키쌍을만든후 AWS 관리콘솔을통해공개키를자신의계정에업로드합니다. 둘째, 요청승인이허가된계정을표시하기위해 Amazon CloudFront 배포판을구성하여요청승인을위해신뢰할수있는최대다섯개의 AWS 계정을제시할수있습니다. 셋째, Amazon CloudFront 가고객의콘텐츠지원조건을제시하는정책자료를요청수신시작성하는것입니다. 이러한정책자료에는요청받은객체의이름, 요청날짜및시간, 요청하는클라이언트의원본 IP( 또는 CIDR 범위 ) 를제시할수있습니다. 그런다음정책문서의 SHA1 해시를계산하고프라이빗키를이용해서명합니다. 마지막으로, 객체를참조할때인코딩된정책문서와서명을쿼리문자열파라미터로포함합니다. Amazon CloudFront 가요청을받으면공개키를사용하여서명을디코딩합니다. Amazon CloudFront 는유효한정책문서와해당서명을포함한요청만제공합니다. 콘텐츠비공개는 CloudFront 배포기능설정시선택해야하는옵션기능입니다. 이기능을사용하지않고제공된콘텐츠는공개적으로읽기가능합니다. 31/46 페이지

32 Amazon CloudFront 는암호화된연결 (HTTPS) 을통해콘텐츠를전송하는옵션을제공합니다. 기본적으로 CloudFront 는 HTTP 와 HTTPS 프로토콜모두를통해요청을수락합니다. 하지만모든요청에대해 HTTPS 를요구하거나 HTTP 요청을 HTTPS 로리디렉션하도록 CloudFront 를설정할수도있습니다. 일부객체에 HTTP 를허용하지만다른객체에는 HTTPS 를요구하도록 CloudFront 배포를구성할수도있습니다. 그림 7: Amazon CloudFront 암호화된전송 오리진에서객체를가져올때최종사용자가객체를요청하는데사용한프로토콜을사용할것을 CloudFront 에요구하도록하나이상의 CloudFront 오리진을구성할수있습니다. 예를들면이 CloudFront 설정을사용하며최종사용자가 HTTPS 를사용하여 CloudFront 에서객체를요청하는경우 CloudFront 에서도 HTTPS 를사용하여해당요청을오리진으로전달합니다. Amazon CloudFront 는 CloudFront 와사용자지정오리진웹서버간 HTTPS 연결에 TLSv1.1 및 TLSv1.2 프로토콜을 (SSLv3 및 TLSv1.0 과함께 ) 지원하고, 최종사용자와오리진모두에대한연결에 Elliptic Curve Diffie-Hellman Ephemeral(ECDHE) 프로토콜을포함한여러암호그룹을지원합니다. ECDHE 를통해 SSL/TLS 클라이언트는임시적이고어디에도저장되지않는세션키를사용하는 PFS(Perfect Forward Secrecy) 를제공할수있습니다. 이렇게하면기밀장기키자체가훼손되더라도제 3 자가무단캡처한데이터의디코딩을방지할수있습니다. 전용서버를오리진으로사용하려는경우와최종사용자와 CloudFront 사이, CloudFront 와오리진사이에모두 HTTPS 를사용하려는경우, VeriSign 이나 DigiCert 같이타사인증기관에서서명한 HTTP 서버에유효한 SSL 인증서를설치해야합니다. 32/46 페이지

33 기본적으로, URL 에 CloudFront 배포도메인이름 ( 예 : 을사용하여 HTTPS 를통해최종사용자에게콘텐츠를전송할수있습니다. 사용자의도메인이름과자체 SSL 인증서를사용하여 HTTPS 로콘텐츠를전송하려면 SNI 사용자지정 SSL 또는전용 IP 사용자지정 SSL 을사용하면됩니다. 서버이름표시 (SNI) 사용자지정 SSL 사용시, CloudFront 는대부분의최신웹브라우저에서지원되는 TLS 프로토콜의 SNI 확장기능을활용합니다. 하지만이전브라우저가 SNI 를지원하지않기때문에일부사용자는콘텐츠에액세스하지못할수있습니다. 전용 IP 사용자정의 SSL 사용시, CloudFront 가수신요청과적절한 SSL 인증서를연결할수있도록 SSL 인증서의각 CloudFront 엣지로케이션에 IP 주소를할당합니다. Amazon CloudFront 액세스로그에는콘텐츠요청에대한종합적인정보 ( 예 : 요청한객체, 요청날짜및시간, 요청을처리하는엣지로케이션, 클라이언트 IP 주소, 참조페이지 (referrer), 사용자에이전트 ) 가포함됩니다. 액세스로그를사용하려면 Amazon CloudFront 배포설정시로그를저장할 Amazon S3 버킷의이름을지정하면됩니다. AWS Direct Connect 보안 AWS Direct Connect 고객은처리량이높은전용연결을사용하여내부네트워크와 AWS 리전사이에직접링크를프로비저닝할수있습니다. 이렇게하면네트워크비용이줄고, 처리량이개선되거나더욱일관된네트워크환경을제공할수있습니다. 이전용연결을구성하면 AWS 클라우드 ( 예 : Amazon EC2 및 Amazon S3) 로직접가상인터페이스를생성할수있습니다. AWS Direct Connect 를사용하면네트워크경로내인터넷서비스공급자를우회합니다. AWS Direct Connect 위치를수용하는시설내에랙공간을마련하고근처에장비를설치할수있습니다. 장비를설치한후에는상호연결방식으로 AWS Direct Connect 에연결할수있습니다. 각 AWS Direct Connect 위치는지리적으로가장가까운 AWS 리전으로연결할수있습니다. 해당리전에서사용가능한모든 AWS 서비스에액세스할수있습니다. 미국의 AWS Direct Connect 위치는퍼블릭가상인터페이스를이용해다른 AWS 리전의퍼블릭엔드포인트에도액세스할수있습니다. 전용연결은산업표준 802.1q VLAN 을사용하여여러가상인터페이스로분할할수있습니다. 이렇게하면공용환경과사설환경간의네트워크분리를유지하면서도동일한연결을사용하여공용리소스 ( 예 : 공개 IP 주소공간을사용하는 Amazon S3 에저장된객체 ) 뿐아니라개인리소스 ( 예 : 사설 IP 공간을사용하는 Amazon VPC) 에서실행되고있는 Amazon EC2 인스턴스 ) 에도액세스할수있습니다. AWS Direct Connect 에는 Border Gateway Protocol(BGP) 과자율시스템번호 (ASN) 를사용해야합니다. 가상인터페이스를생성하려면메시지인증에 MD5 암호화키를사용합니다. MD5 는비밀키를이용해키가추가된해시를생성합니다. AWS 가자동으로 BGP MD5 키를생성하도록설정하거나직접입력할수있습니다. 33/46 페이지

34 참고문헌 AWS 보안프로세스소개 AWS 보안개요 스토리지서비스 AWS 보안개요 데이터베이스서비스개요 AWS 보안개요 컴퓨팅서비스개요 AWS 보안개요 애플리케이션서비스 AWS 보안개요 분석, 모바일및애플리케이션서비스 AWS 보안개요 네트워크서비스 부록 용어액세스키 ID: 각 AWS 사용자를고유하게식별하기위해 AWS 가배포하는문자열입니다. 이문자열은보안액세스키와연결된영숫자토큰입니다. ACL( 액세스제어목록 ): 객체나네트워크리소스에액세스하기위한권한또는규칙의목록입니다. Amazon EC2 에서보안그룹은인스턴스수준에서 ACL 로작용하여어떤사용자가특정인스턴스에액세스할권한이있는지를제어합니다. Amazon S3 에서는 ACL 을사용하여사용자그룹에게버킷이나객체에대한읽기또는쓰기액세스권한을부여할수있습니다. Amazon VPC 에서 ACL 은네트워크방화벽과같이작용하며서브넷수준에서액세스를제어합니다. AMI: Amazon 머신이미지 (AMI) 는 Amazon S3 에저장된암호화된머신이미지입니다. 여기에는고객소프트웨어의인스턴스를부팅하는데필요한모든정보가들어있습니다. API: 애플리케이션프로그래밍인터페이스 (API) 는컴퓨터공학분야의인터페이스로서애플리케이션프로그램이서비스라이브러리및 / 또는운영체제에서서비스를요청하는방식을정의합니다. 아카이브 : Amazon Glacier 의아카이브는저장해야하는파일이며 Amazon Glacier 내스토리지의기본단위입니다. 아카이브는사진, 동영상또는문서등의데이터일수있습니다. 각아카이브는고유 ID 가있으며선택사항으로설명을추가할수있습니다. 인증 : 인증이란어떠한사람이주장하는개체또는무엇에부합하는지에대한여부를판단하는과정입니다. 사용자를인증해야할뿐아니라, AWS API 에서공개하는기능을호출하려는모든프로그램을인증해야합니다. AWS 에서는암호화해시함수를사용하여디지털방식으로서명하는방식으로모든요청을인증해야합니다. Auto Scaling: 고객이직접정의하는조건에따라 Amazon EC2 용량을자동으로상향및하향조정할수있는 AWS 서비스입니다. 34/46 페이지

35 가용영역 : Amazon EC2 는리전과가용영역내위치합니다. 가용영역은다른가용영역에장애가발생할경우분리되도록설계된개별적인지점으로, 동일리전내의다른가용영역에저렴하고, 지연시간이짧은네트워크연결을제공합니다. 배스천호스트 : 공격을견딜수있도록특별히구성된컴퓨터입니다. 일반적으로완충영역 (DMZ) 의외부영역이나공개영역또는방화벽외부에배치됩니다. 퍼블릭서브넷을 Amazon VPC 의일부로설정하여 Amazon EC2 인스턴스를 SSH 배스천호스트로설정할수있습니다. 버킷 : Amazon S3 에저장된객체에대한컨테이너입니다. 모든객체는하나의버킷에들어갑니다. 예를들어, photos/puppy.jpg 로명명된객체는 johnsmith 버킷에저장되며, 다음 URL 을사용하여주소를지정할수있습니다. 인증서 : 일부 AWS 제품에서 AWS 계정과사용자를인증하기위해사용하는자격증명입니다. X.509 인증서라고도합니다. 인증서는프라이빗키와연결됩니다. CIDR 블록 : IP 주소의클래스없는도메인간라우팅블록입니다. 클라이언트측암호화 : Amazon S3 에데이터를업로드하기전에클라이언트측에서데이터를암호화하는작업입니다. CloudFormation: 애플리케이션을실행하는데필요한 AWS 리소스의기준구성을기록하여이러한리소스를순서에따라예측가능한방식으로프로비저닝하고업데이트할수있는 AWS 프로비저닝도구입니다. Cognito: 사용자인증및여러디바이스, 플랫폼, 애플리케이션에걸쳐이루어지는데이터저장, 관리, 동기화작업을간소화하는 AWS 서비스입니다. 여러기존 ID 공급자와호환되며, 인증되지않은게스트사용자도지원합니다. 자격증명 : 사용자나프로세스가서비스에액세스하기위해권한을부여받는인증프로세스중에 AWS 서비스를확인하기위해가지고있어야하는항목입니다. AWS 자격증명에는암호, 보안액세스키및 X.509 인증서, 다중요소토큰이포함됩니다. 전용인스턴스 : 호스트하드웨어수준에서물리적으로격리된 Amazon EC2 인스턴스입니다. 이들인스턴스는단일테넌트하드웨어에서실행됩니다. 35/46 페이지

36 디지털서명 : 디지털서명은디지털메시지또는문서의신뢰성을증명하기위한암호화방법입니다. 유효한디지털서명은권한있는발신자가메시지를작성했으며전송중에메시지가변경되지않았음을확신할수있는이유를수신자에게제공합니다. 디지털서명은고객이인증프로세스의일부로서 AWS API 에대한요청에서명하기위해사용합니다. Direct Connect 서비스 : 처리량이높은전용연결을사용하여내부네트워크와 AWS 리전간에직접링크를프로비저닝할수있는 Amazon 서비스입니다. 이전용연결을구성하면네트워크경로에서인터넷서비스공급자를우회하여 AWS 클라우드 ( 예 : Amazon EC2 및 Amazon S3) 와 Amazon VPC 로직접논리적연결을생성할수있습니다. DynamoDB 서비스 : 원활한확장성과함께빠르고예측가능한성능을제공하는 AWS 의완전관리형 NoSQL 데이터베이스서비스입니다. EBS: Amazon Elastic Block Store(EBS) 는 Amazon EC2 인스턴스와함께사용할블록수준의스토리지볼륨을제공합니다. Amazon EBS 볼륨은인스턴스수명에관계없는영구적인오프인스턴스스토리지입니다. ElastiCache: 클라우드상의분산인메모리캐시환경을설정및관리하고확장할수있는 AWS 웹서비스입니다. 이서비스는더느린디스크기반데이터베이스에전적으로의존하기보다는, 신속하며관리되는인메모리캐싱시스템에서정보를검색할수있는기능을지원해웹애플리케이션의성능을향상시킵니다. Elastic Beanstalk: 고객애플리케이션에대한용량프로비저닝, 로드밸런싱및 Auto Scaling 기능을자동화하는 AWS 배포및관리도구입니다. 탄력적 IP 주소 : Amazon VPC 의인스턴스에할당하여인스턴스를퍼블릭으로만들수있는고정퍼블릭 IP 주소입니다. 또한탄력적 IP 주소를사용하면퍼블릭 IP 주소를 VPC 의모든인스턴스에신속하게다시매핑하여인스턴스장애를숨길수있습니다. Elastic Load Balancing: 전체 Amazon EC2 인스턴스에서트래픽을관리하여인스턴스에대한트래픽을한리전내의모든가용영역에분산하는데사용되는 AWS 서비스입니다. Elastic Load Balancing 은온프레미스로드밸런서의모든장점외에도, EC2 인스턴스에서암호화 / 해독작업을인계하여로드밸런서에서중심적으로관리하는등의여러가지보안이점도갖추고있습니다. 36/46 페이지

37 Elastic MapReduce(EMR) 서비스 : 호스팅되는하둡프레임워크를사용하는 AWS 서비스입니다. 하둡프레임워크는 Amazon EC2 와 Amazon S3 의웹스케일인프라상에서실행됩니다. Elastic MapReduce 를사용하면대량의데이터 ( 빅데이터 ) 를쉽고도경제적으로처리할수있습니다. Elastic Network Interface: Amazon VPC 내에서 Elastic Network Interface 는 EC2 인스턴스에연결할수있는선택적인두번째네트워크인터페이스입니다. Elastic Network Interface 는 Amazon VPC 에서관리네트워크를생성하거나네트워크또는보안어플라이언스를사용하는데유용할수있습니다. 이인터페이스는인스턴스에서쉽게분리하여다른인스턴스에연결할수있습니다. Endpoint: AWS 서비스의진입점인 URL 입니다. 애플리케이션에서의데이터지연시간을줄일수있도록대부분의 AWS 서비스에서요청을작성할리전엔드포인트를선택할수있습니다. 일부웹서비스에서는리전을지정하지않는일반엔드포인트를사용할수있지만, 이러한일반엔드포인트는서비스의 us-east-1 엔드포인트로확인됩니다. SSL 을사용하는 HTTP 또는보안 HTTP(HTTPS) 를통해 AWS 엔드포인트에연결할수있습니다. 연동사용자 : 현재 AWS 서비스에액세스할권한이없지만임시로액세스권한을제공하고자하는사용자, 시스템또는애플리케이션입니다. 이러한액세스는 AWS 보안토큰서비스 (STS) API 를사용하여제공됩니다. 방화벽 : 특정규칙세트에따라들어오거나나가는네트워크트래픽을제어하는하드웨어또는소프트웨어구성요소입니다. Amazon EC2 에서는방화벽규칙을사용하여인스턴스에접속할수있는프로토콜, 포트및소스 IP 주소범위를지정합니다. 이러한규칙은수신되는어떤네트워크트래픽을해당인스턴스에전달해야하는지를지정합니다 ( 예 : 포트 80 에서웹트래픽수락 ). Amazon VPC 는인스턴스의수신및발신트래픽을모두필터링할수있는완벽한방화벽솔루션을지원합니다. 기본그룹은동일한그룹내의다른구성원으로부터의인바운드통신과모든대상에대한아웃바운드통신을허용합니다. 트래픽은모든 IP 프로토콜, 서비스포트, 원본 / 대상 IP 주소 ( 개별 IP 또는 Classless Inter-Domain Routing(CIDR) 블록 ) 에의해제한될수있습니다. 게스트 OS: 가상머신환경에서는단일하드웨어에서여러운영체제를실행할수있습니다. 이러한각인스턴스는호스트하드웨어에서게스트로간주되며고유의 OS 를사용합니다. 37/46 페이지

38 Hash: 암호화해시함수는 AWS API 에대한요청에서명하기위해디지털서명을계산하는데사용됩니다. 암호화해시는입력을기반으로고유의해시값을반환하는단방향함수입니다. 해시함수에대한입력에는요청텍스트와보안액세스키가포함됩니다. 해시함수는요청에서명으로포함하는해시값을반환합니다. HMAC-SHA1/HMAC-SHA256: 암호화에서키해시메시지인증코드 (HMAC 또는 KHMAC) 는보안키와조합하여암호화해시함수를포함한특정알고리즘을사용하여계산되는일종의메시지인증코드 (MAC) 입니다. 모든 MAC 과마찬가지로, 동시에데이터무결성및메시지의진위를확인하는데사용할수있습니다. SHA-1 또는 SHA-256 와같은반복암호화해시함수가 HMAC 계산에사용될수있으며, 따라서결과적인 MAC 알고리즘을 HMAC-SHA1 또는 HMAC-SHA256 라고합니다. HMAC 의암호화강도는기본해시함수의암호화강도, 키의크기와품질및비트단위해시출력길이에따라다릅니다. 하드웨어보안모듈 (HSM): HSM 은변조방지하드웨어디바이스내에보안암호키스토리지와작업을제공하는어플라이언스입니다. HSM 은암호화키자료를안전하게보관하고어플라이언스의암호화경계외부에노출하지않고키자료를사용하도록설계되었습니다. AWS CloudHSM 서비스는 HSM 어플라이언스에대한전용단일테넌트액세스권한을고객에게제공합니다. 하이퍼바이저 : VMM(Virtual Machine Manager) 이라고도하며, 호스트컴퓨터에서여러운영체제를동시에실행할수있는컴퓨터소프트웨어 / 하드웨어플랫폼가상화소프트웨어입니다. Identity and Access Management(IAM): AWS IAM 을이용하면본인의 AWS 계정을이용하여여러사용자를생성하고, 각사용자의권한을관리할수있습니다. ID 풀 : 해당 AWS 계정에고유한 Amazon Cognito 내사용자 ID 정보스토어입니다. ID 풀은 IAM 역할을사용하는데이는특정 IAM 사용자나그룹에연결되지않고임시보안자격증명을이용해해당역할에정의된 AWS 리소스에대해인증하는권한을뜻합니다. ID 공급자 : 이서비스나다른협력서비스와상호작용하기를원하는사용자에게 ID 정보를발급하는온라인서비스입니다. ID 공급자의예로는 Facebook, Google, Amazon 등이있습니다. 38/46 페이지

39 Import/Export 서비스 : 이동식스토리지디바이스를안전한 AWS 시설로물리적으로전달하여대용량의데이터를 Amazon S3 또는 EBS 스토리지로전송하는 AWS 서비스입니다. 인스턴스 : 인스턴스는자체하드웨어리소스와게스트 OS 를사용하는가상서버이며가상머신 (VM) 이라고도합니다. EC2 에서인스턴스는 Amazon 머신이미지 (AMI) 사본을실행중인인스턴스를나타냅니다. IP 주소 : 인터넷프로토콜 (IP) 주소는숫자로구성되며, 해당노드간통신에인터넷프로토콜을활용하여컴퓨터네트워크에참여하는장치에할당됩니다. IP 스푸핑 : 위조된소스 IP 주소를사용하여 IP 패킷을생성하는것을스푸핑이라고하며, 발신자의신원을감추거나다른컴퓨팅시스템을가장하려는목적으로사용됩니다. 키 : 암호화에서키는암호화알고리즘 ( 해싱알고리즘 ) 의출력을결정하는파라미터입니다. 키페어는사용자의신원을전자적으로증명하는데사용하는보안자격증명으로, 퍼블릭키와프라이빗키로구성됩니다. 키교체 : 데이터를암호화하거나요청에디지털로서명하는데사용되는암호화키를주기적으로변경하는프로세스입니다. 암호변경과마찬가지로키를교체하면침입자가키를획득하거나키값을결정한경우에무단액세스위험을최소화할수있습니다. AWS 는여러개의동시액세스키와인증서를지원하므로, 고객이작업중이나작업후에애플리케이션을중지하지않고키와인증서를정기적으로교체할수있습니다. Mobile Analytics: 모바일애플리케이션사용량데이터를수집, 시각화, 분석하는 AWS 서비스입니다. 이를통해고객행동을추적하고측정치를집계하고모바일애플리케이션에서의미있는패턴을식별할수있습니다. 멀티팩터인증 (MFA): 두개이상의인증팩터를사용합니다. 인증팩터에는사용자가알고있는요소 ( 예 : 암호 ) 또는사용자가가지고있는요소 ( 예 : 난수를생성하는토큰 ) 가있습니다. AWS IAM 에서는사용자이름과암호자격증명외에 6 자리의일회용코드를사용할수있습니다. 고객은물리적으로소유하고있는인증디바이스 ( 물리적토큰디바이스또는스마트폰의가상토큰 ) 에서이일회용코드를가져옵니다. 39/46 페이지

40 네트워크 ACL: Amazon VPC 내서브넷에서인바운드또는아웃바운드하는모든트래픽에적용되는상태비저장트래픽필터입니다. 네트워크 ACL 은 IP 프로토콜, 서비스포트, 원본 / 대상 IP 주소에따라트래픽을허용또는거부하는정렬된규칙도포함할수있습니다. 객체 : Amazon S3 에저장되는기본개체입니다. 객체는객체데이터와메타데이터로구성됩니다. 이데이터부분은 Amazon S3 에서볼수없습니다. 메타데이터는객체를설명하는이름 - 값페어의집합입니다. 여기에는마지막으로수정한날짜와같은몇가지기본메타데이터및콘텐츠형식과같은표준 HTTP 메타데이터가포함됩니다. 개발자는또한객체를저장할때사용자정의메타데이터를지정할수도있습니다. 반가상화 : 컴퓨팅에서반가상화는기본하드웨어의경우와비슷하지만동일하지는않은가상머신에소프트웨어인터페이스를제공하는가상화기술입니다. 피어링 : VPC 피어링연결은프라이빗 IP 주소를사용하여두 VPC 간에트래픽을라우팅할수있도록하기위한두 VPC 사이의네트워킹연결입니다. 동일한네트워크에속하는경우와같이 VPC 의인스턴스가서로통신할수있습니다. 포트스캐닝 : 포트스캔은컴퓨터에침입하려는누군가가보낸일련의메시지로서, 어떤컴퓨터네트워크가사용되는지, 각네트워크가컴퓨터가제공하는 ' 잘알려진 ' 포트번호에연결되어있는지를확인하기위해사용됩니다. 리전 : 동일한지리적영역에있는명명된 AWS 리소스집합입니다. 각리전에는두개이상의가용영역이있습니다. 복제 : 일반적으로재해복구를위해데이터베이스의두번째버전을유지하기위해데이터베이스에서데이터를지속적으로복사합니다. 고객은 Amazon RDS 데이터베이스복제를위해여러 AZ 를사용할수있으며, MySQL 을사용할경우읽기전용복제본을사용할수있습니다. Relational Database Service(RDS): 관계형데이터베이스 (DB) 인스턴스를신속하게만들고, 애플리케이션요구에맞춰관련컴퓨팅리소스및스토리지용량을유연하게확장할수있도록해주는 AWS 서비스입니다. Amazon RDS 는 Amazon Aurora, MySQL, PostgreSQL, Oracle, Microsoft SQL Server, MariaDB 데이터베이스엔진에사용할수있습니다. 40/46 페이지

41 역할 : 다른엔터티가가정할수있는일련의권한을보유한 AWS IAM 의엔터티입니다. 역할을사용하여 Amazon EC2 인스턴스에서실행되는애플리케이션에서 AWS 서비스리소스에안전하게액세스할수있도록활성화할수있습니다. 역할에특정권한을부여하고, 역할을사용하여 Amazon EC2 인스턴스를시작하고, EC2 를통해 Amazon EC2 에서실행되는애플리케이션에대한 AWS 자격증명관리를자동으로처리할수있습니다. Route 53: 컴퓨터간에서로통신할수있도록 DNS 쿼리에응답하고도메인이름을 IP 주소로변환하여개발자가퍼블릭 DNS 이름을관리하는데사용할수있는업데이트메커니즘을제공하는신뢰할수있는 DNS 시스템입니다. 보안액세스키 : AWS 계정에가입할때 AWS 에서할당하는키입니다. API 를호출하거나명령줄인터페이스를사용하기위해각 AWS 사용자는보안액세스키와액세스키 ID 가있어야합니다. 사용자는보안액세스키로각요청에서명하고액세스키 ID 를요청에포함합니다. AWS 계정의보안을보장하기위해보안액세스키는키및사용자생성중에만액세스할수있습니다. 키를다시액세스하려면안전하게보관된텍스트파일등에키를저장해야합니다. 보안그룹 : 보안그룹을통해 Amazon EC2 인스턴스를접속하도록허용된프로토콜, 포트및소스 IP 주소범위를제어할수있습니다. 즉, 보안그룹은인스턴스에대한방화벽규칙을정의합니다. 이러한규칙은수신되는어떤네트워크트래픽을해당인스턴스에전달해야하는지를지정합니다 ( 예 : 포트 80 에서웹트래픽수락 ). 보안토큰서비스 (STS): AWS STS API 는보안토큰, 액세스키 ID 및보안액세스키로구성된임시보안자격증명을반환합니다. STS 를사용하여리소스에임시로액세스해야하는사용자에게보안자격증명을발급할수있습니다. 이러한사용자는기존 IAM 사용자, 비 AWS 사용자 ( 연동 ID), 시스템, AWS 리소스에액세스해야하는애플리케이션등이될수있습니다. 서버측암호화 (SSE): 유휴데이터를자동으로암호화하는 Amazon S3 스토리지옵션입니다. Amazon S3 SSE 를사용하면고객이객체를기록할때별도의요청헤더를추가하는것만으로업로드시데이터를암호화할수있습니다. 암호해독은데이터를검색할때자동으로이루어집니다. 서비스 : 네트워크에서제공되는소프트웨어또는컴퓨팅기능 ( 예 : Amazon EC2, Amazon S3) 입니다. 41/46 페이지

42 샤드 : Amazon Kinesis 에서샤드는 Amazon Kinesis stream 에서고유하게식별된데이터레코드그룹입니다. Kinesis 스트림은각각고정된용량단위를제공하는여러개의샤드로구성됩니다. Signature: 수학적인방식으로디지털메시지의신뢰성을확인하는디지털서명을의미합니다. AWS 는암호화알고리즘과프라이빗키로계산된서명을사용하여고객이 AWS 웹서비스로보낸요청을인증합니다. Simple Data Base(Simple DB): AWS 고객이웹서비스요청을통해데이터항목을저장및쿼리할수있도록해주는비관계형데이터스토리지입니다. Amazon SimpleDB 는여러지역에분산된고객의데이터복제본을자동으로생성및관리하여높은가용성과데이터내구성을확보합니다. Simple Service(SES): 비즈니스와개발자에게확장가능한대량및트랜잭션이메일전송서비스를제공하는 AWS 서비스입니다. 발신자의발송률과신뢰성을극대화하기위해 Amazon SES 는의심스러운콘텐츠가발송되지않도록차단하는조치를사전예방적으로수행하며이에따라 ISP 는해당서비스를신뢰할수있는이메일오리진으로간주합니다. Simple Mail Transfer Protocol(SMTP): IP 네트워크를통해이메일을전송하기위한인터넷표준인 SMTP 가 Amazon Simple Service 에서사용됩니다. Amazon SES 를사용하는고객은 SMTP 인터페이스를사용하여이메일을보낼수있지만, TLS 를통해 SMTP 엔드포인트에연결해야합니다. Simple Notification Service(SNS): 클라우드에서알림을쉽게설정, 운영, 전송할수있도록지원하는 AWS 서비스입니다. Amazon SNS 는애플리케이션에서메시지를게시하고즉시이를구독자또는다른애플리케이션으로전달할수있는기능을개발자에게제공합니다. Simple Queue Service(SQS): 애플리케이션의분산된구성요소간에비동기메시지기반통신을가능하게해주는 AWS 의확장가능한메시지대기열서비스입니다. 이구성요소는컴퓨터또는 Amazon EC2 인스턴스이거나이두가지가결합된형태일수있습니다. Simple Storage Service(Amazon S3): 객체파일에대한보안스토리지를제공하는 AWS 서비스입니다. 파일또는버킷수준에서객체에대한액세스를제어하고요청 IP 소스, 요청시간등과같은다른조건을기반으로액세스를세부적으로제한할수있습니다. 또한 AES-256 암호화를사용하여파일을자동으로암호화할수있습니다. 42/46 페이지

43 Simple Workflow Service(SWF): 분산된구성요소에대해작업을조정하는애플리케이션을구축할수있는 AWS 서비스입니다. 개발자는 Amazon SWF 를이용해애플리케이션에서다양한처리단계를태스크 로구조화하여분산애플리케이션에서작업을실행할수있습니다. Amazon SWF 는개발자의애플리케이션논리에따라작업실행종속성, 일정및동시성을관리하여이러한작업을조정합니다. Single Sign-On: 한번의로그인으로여러애플리케이션및시스템에액세스할수있는기능입니다. 임시보안자격증명을 AWS 관리콘솔에전달하는 URL 을생성하여연동사용자 (AWS 사용자및비 AWS 사용자 ) 에게보안 Single Sign-On 기능을제공할수있습니다. 스냅샷 : Amazon S3 에저장되는 EBS 볼륨에대해고객이실행한백업또는 Amazon RDS 에저장되는 RDS 데이터베이스에대해고객이실행한백업입니다. 스냅샷을새 EBS 볼륨또는 Amazon RDS 데이터베이스에대한시작점으로사용하거나장기내구성및복구를위해데이터를보호하는데사용할수있습니다. Secure Sockets Layer(SSL): 애플리케이션계층에서인터넷을통해보호하는암호화프로토콜입니다. TLS 1.0 프로토콜사양과 SSL 3.0 프로토콜사양은모두암호화메커니즘을사용하여보안 TCP/IP 연결을설정하여유지관리하는보안서비스를구현합니다. 보안연결은염탐, 훼손또는메시지위조를방지합니다. SSL 을사용하는 HTTP 또는보안 HTTP(HTTPS) 를통해 AWS 엔드포인트에연결할수있습니다. 상태저장방화벽 : 컴퓨팅에서, 상태저장방화벽 ( 상태저장패킷검사 (SPI) 또는상태저장검사를수행하는모든방화벽 ) 은네트워크연결 ( 예 : TCP 스트림, UDP 통신 ) 상태를추적하는방화벽입니다. Storage Gateway: VMware ESXi Hypervisor 를실행하는데이터센터의호스트에배포한 VM 을사용하여고객의온프레미스소프트웨어어플라이언스를 Amazon S3 스토리지에안전하게연결하는 AWS 서비스입니다. 데이터는 SSL 을통해고객의온프레미스스토리지하드웨어에서 AWS 로비동기적으로전송된다음 Amazon S3 에서 AES-256 을사용하여암호화된상태로저장됩니다. 임시보안자격증명 : AWS 서비스에대한임시액세스권한을제공하는 AWS 자격증명입니다. 임시보안자격증명을사용하여고객의자격증명및권한부여시스템내 AWS 서비스와비 AWS 사용자간자격증명연동을제공할수있습니다. 임시보안자격증명은보안토큰, 액세스키 ID 및보안액세스키로구성됩니다. 43/46 페이지

44 Transcoder: 미디어파일 ( 오디오또는비디오 ) 의형식, 크기또는품질을트랜스코딩 ( 변환 ) 하는시스템입니다. Amazon Elastic Transcoder 를사용하면확장가능하고비용효과적인방식으로손쉽게비디오파일을트랜스코딩할수있습니다. TLS( 전송계층보안 ): 애플리케이션계층에서인터넷을통해보호하는암호화프로토콜입니다. Amazon Simple Service 를사용하는고객은 TLS 를통해 SMTP 엔드포인트에연결해야합니다. 트리해시 : 트리해시는메가바이트크기의각데이터세그먼트에대한해시를계산한뒤데이터의인접세그먼트가증가하는것을나타내는트리방식으로해시를결합해생성됩니다. Amazon Glacier 는해시가중간에바뀌지않았는지확인하기위해데이터와비교검사합니다. 볼트 : Amazon Glacier 에서볼트는아카이브보관용컨테이너입니다. 볼트를만들려면이름을지정하고볼트를생성할 AWS 리전을선택해야합니다. 각볼트리소스에는고유한주소가있습니다. 버전관리 : Amazon S3 의모든객체에는키와버전 ID 가있습니다. 키는동일하지만버전 ID 가다른객체를동일한버킷에저장할수있습니다. 버전관리는버킷계층에서 PUT 버킷버전관리를통해활성화됩니다. 가상인스턴스 : AMI 를실행하고나면, 결과실행시스템이인스턴스로참조됩니다. 같은 AMI 를갖는모든인스턴스는동일하게시작되며, 인스턴스가종료되거나장애가발생하는경우인스턴스의모든정보는손실됩니다. 가상 MFA: 사용자가토큰 /fob 가아닌스마트폰에서 6 자리의일회용 MFA 코드를가져올수있도록해주는기능입니다. MFA 는인증을위해사용자이름및암호화함께추가적인단계 ( 일회용코드 ) 를사용합니다. Virtual Private Cloud(VPC): IP 주소범위선택, 서브넷정의, 라우팅테이블및네트워크게이트웨이구성을비롯하여고객이 AWS 클라우드의격리된영역을프로비저닝하는데사용하는 AWS 서비스입니다. 가상프라이빗네트워크 (VPN): 인터넷과같은퍼블릭네트워크를통해두위치간에프라이빗보안네트워크를생성하는기능입니다. AWS 고객은 Amazon VPC 와데이터센터사이에 IPsec VPN 연결을추가하여데이터센터를클라우드까지효과적으로확장하는한편 Amazon VPC 의퍼블릭서브넷인스턴스에직접인터넷액세스를제공합니다. 이구성에서는고객이기업데이터센터측에 VPN 어플라이언스를추가할수있습니다. 44/46 페이지

45 WorkSpaces: 사용자를위해클라우드기반데스크톱을프로비저닝하고, 사용자가고유한자격증명이나일반적인 Active Directory 자격증명을이용해로그인하도록허용하는 AWS 관리형데스크톱서비스입니다. X.509: 암호화기법에서 X.509 는 Single Sign-On 을위한퍼블릭키인프라 (PKI) 및권한관리인프라 (PMI) 에대한표준입니다. X.509 는퍼블릭키인증서, 인증서해지목록, 속성인증서및인증경로유효성검사알고리즘에대한표준형식을지정합니다. 일부 AWS 제품은보안액세스키대신 X.509 인증서를사용하여특정인터페이스에액세스합니다. 예를들어 Amazon EC2 는보안액세스키를사용하여쿼리인터페이스에액세스하지만, SOAP 인터페이스와명령줄인터페이스에액세스하는데에는서명인증서를사용합니다. WorkDocs: 사용자협업을위한피드백기능을갖춘 AWS 관리형엔터프라이즈스토리지및공유서비스입니다. 문서수정 규정준수프로그램업데이트 리전업데이트 2014 년 11 월 규정준수프로그램업데이트 책임분담보안모델업데이트 AWS 계정보안기능업데이트 서비스카테고리재구성 여러서비스에다음기능업데이트 : CloudWatch, CloudTrail, CloudFront, EBS, ElastiCache, Redshift, Route 53, S3, Trusted Advisor, WorkSpaces Cognito 보안추가 Mobile Analytics 보안추가 WorkDocs 보안추가 45/46 페이지

46 2013 년 11 월 리전업데이트여러서비스에다음기능업데이트 : CloudFront, DirectConnect, DynamoDB, EBS, ELB, EMR, Amazon Glacier, IAM, OpsWorks, RDS, Redshift, Route 53, Storage Gateway, VPC AppStream 보안추가 CloudTrail 보안추가 Kinesis 보안추가 WorkSpaces 보안추가 2013 년 5 월 역할과 API 액세스를포함하도록 IAM 업데이트고객이지정한권한있는작업에대한 API 액세스를위해 MFA 업데이트 SQL Server 2012에이벤트알림, 멀티 AZ 및 SSL을추가하도록 RDS 업데이트기본적으로여러 IP 주소, 고정라우팅 VPN 및 VPC를추가하도록 VPC 업데이트여러다른서비스에다음기능업데이트 : CloudFront, CloudWatch, EBS, ElastiCache, Elastic Beanstalk, Route 53, S3, Storage Gateway Glacier 보안추가 RedShift 보안추가 Data Pipeline 보안추가 Transcoder 보안추가 Trusted Advisor 보안추가 OpsWorks 보안추가 CloudHSM 보안추가 46/46 페이지