Amazon Web Services: 보안프로세스의개요 2013 년 11 월 ( 본문서의최신버전을보려면다음을참조하십시오. http://aws.amazon.com/security/)
목차 책임공유환경... 6 AWS 인프라보안... 6 AWS 규정준수프로그램... 6 물리적및환경적보안... 7 화재감지및진압... 7 전력... 7 기후및온도... 7 관리... 7 스토리지디바이스폐기... 8 비즈니스연속성관리... 8 가용성... 8 인시던트대응... 8 전사적경영진의검토... 8 통신... 8 네트워크보안... 9 보안네트워크아키텍처... 9 보안액세스포인트... 9 전송보호... 9 Amazon 사내분리... 10 내결함성설계... 10 네트워크모니터링및보안... 11 AWS 액세스... 13 계정검토및감사... 13
배경조회... 13 자격증명정책... 13 보안설계의원칙... 14 변경관리... 14 소프트웨어... 14 인프라... 15 AWS 계정보안기능... 15 AWS Identity and Access Management(AWS IAM)... 15 임시보안자격증명... 16 역할... 16 AWS Multi-Factor Authentication(AWS MFA)... 17 키관리및교체... 17 AWS Trusted Advisor 보안검사... 17 AWS 서비스별보안... 18 Amazon Elastic Compute Cloud(Amazon EC2) 보안... 18 여러단계의보안기법... 18 하이퍼바이저... 18 인스턴스격리... 18 Elastic Block Storage(Amazon EBS) 보안... 21 Amazon Elastic Load Balancing 보안... 22 Auto Scaling 보안... 22 Amazon Virtual Private Cloud(Amazon VPC) 보안... 23 EC2-VPC 를통한추가네트워크액세스제어... 26 Amazon Direct Connect 보안... 28 Amazon Simple Storage Service(Amazon S3) 보안... 28
데이터액세스... 28 데이터전송... 29 데이터저장... 29 데이터내구성및신뢰성... 30 액세스로그... 30 CORS(Cross-Origin Resource Sharing)... 30 AWS Glacier 보안... 30 데이터업로드... 31 데이터검색... 31 데이터저장... 31 데이터액세스... 32 AWS Storage Gateway 보안... 32 AWS Import/Export 보안... 33 AWS Data Pipeline... 34 Amazon Simple Database(SimpleDB) 보안... 34 Amazon DynamoDB 보안... 35 Amazon Relational Database Service(Amazon RDS) 보안... 36 액세스제어... 36 네트워크격리... 36 암호화... 37 자동백업및 DB 스냅샷... 38 복제... 38 자동소프트웨어패치... 38 이벤트알림... 39 Amazon RedShift 보안... 39
클러스터액세스... 39 데이터백업... 40 데이터암호화... 40 자동소프트웨어패치... 40 SSL 연결... 41 Amazon ElastiCache 보안... 41 Amazon Simple Queue Service(Amazon SQS) 보안... 42 Amazon Simple Notification Service(Amazon SNS) 보안... 42 Amazon Simple Workflow Service(Amazon SWF) 보안... 43 Amazon Simple Email Service(Amazon SES) 보안... 43 Amazon Elastic Transcoder 서비스보안... 45 Amazon CloudWatch 보안... 46 Amazon CloudFront 보안... 46 Amazon Elastic MapReduce(Amazon EMR) 보안... 48 Amazon Route 53 보안... 48 Amazon CloudSearch 보안... 49 AWS Elastic Beanstalk 보안... 50 AWS CloudFormation 보안... 51 AWS OpsWorks 보안... 51 AWS CloudHSM 보안... 53 부록 용어... 54
Amazon Web Services(AWS) 는높은가용성과신뢰성을갖춘확장가능한클라우드컴퓨팅플랫폼을제공하며, 이를통해고객들이다양한애플리케이션을구축할수있도록유연성을제공합니다. AWS 는고객의시스템과데이터의기밀성, 무결성및가용성을지키고고객의믿음과신뢰를유지하는것을최우선으로생각합니다. 본문서는 "AWS 가내데이터를보호하는데어떠한도움을줄수있는가?" 라는질문에답변을제시할목적으로마련되었습니다. 특히 AWS 의물리적운영보안프로세스는 AWS 에서관리하는네트워크및서버인프라뿐아니라서비스별보안구현에대해서도설명되어있습니다. 책임공유환경 IT 인프라를 AWS 로이전할경우고객과 AWS 간에책임공유모델이만들어집니다. 이공유모델을통해고객은운영부담을덜수있습니다. AWS 가호스트운영체제및가상화계층에서서비스운영시설의물리적보안에이르기까지구성요소를운영, 관리, 제어하기때문입니다. 고객은게스트운영체제 ( 업데이트및보안패치포함 ) 및기타관련애플리케이션소프트웨어에대한책임과관리, AWS 가제공하는보안그룹방화벽의구성을담당합니다. 사용하는서비스, 서비스를 IT 환경에통합하는과정및준거법과규제에따라책임범위가다르기때문에고객은선택하고자하는서비스를신중하게고려해야합니다. 호스트기반방화벽, 호스트기반침입탐지 / 방지, 암호화등의기술을활용하여보안을향상하거나더욱엄격한규정준수요구사항을충족할수있습니다. AWS 인프라보안 AWS 는고객이처리및스토리지와같은다양한기본적컴퓨팅리소스를프로비저닝하는데사용하는클라우드인프라를운영합니다. AWS 인프라에는시설, 네트워크및하드웨어, 그리고이러한리소스의프로비저닝및사용을지원하는일부운영소프트웨어 ( 예 : 호스트 OS, 가상화소프트웨어등 ) 가포함됩니다. AWS 인프라는다양한보안규정준수표준과보안모범사례에따라설계및관리됩니다. AWS 고객은세계에서보안성이가장뛰어난컴퓨팅인프라를기반으로웹아키텍처를구축하고있는것이므로안심할수있습니다. AWS 규정준수프로그램 AWS 규정준수프로그램은고객이강력한보안을이해할수있도록지원한뒤보안및데이터보호에대한업계와정부의요구사항에맞춰규정준수를능률화할수있도록돕습니다. AWS 가고객에게제공하는 IT 인프라는다음과같은다양한 IT 보안표준과보안모범사례에맞게설계및관리됩니다. SOC 1/SSAE 16/ISAE 3402( 이전명칭 SAS 70 Type II) SOC 2 SOC 3 FISMA, DIACAP 및 FedRAMP PCI DSS 레벨 1 ISO 27001 ITAR FIPS 140-2
또한고객은 AWS 플랫폼이제공하는유연성및제어기능으로특정산업표준에부합하는솔루션을배포할수있는데이러한산업표준은다음과같습니다. HIPAA Cloud Security Alliance(CSA) Motion Picture Association of America(MPAA) AWS 는백서, 보고서, 자격증, 승인및기타타사증명을통해, IT 제어환경에관한광범위한정보를고객에게제공합니다. 자세한정보는웹사이트 (http://aws.amazon.com/security) 에서제공되는위험및규정준수백서를참조하십시오. 물리적및환경적보안 AWS 의데이터센터는혁신적인아키텍처및엔지니어링접근방식을활용하는최첨단센터입니다. Amazon 은대규모데이터센터를설계, 구축및운영하는데있어유구한경험을자랑합니다. AWS 플랫폼과인프라에적용하였습니다. AWS 데이터센터는평범해보이는건물에구축되어있습니다. 건물주위와입구지점에서비디오감시, 침입탐지시스템및기타전자수단을활용하여전문보안직원에의해이들건물에대한물리적인접근을엄격하게통제하고있습니다. 허가받은직원이데이터센터에접근하려면 2 가지요소를이용한신원확인과정을최소두번통과해야합니다. 모든방문자및계약자는신분증을제시해야하며, 통과한후에는허가받은직원의지속적인안내를받습니다. AWS 는합법적인업무목적으로이러한권한이필요한계약업체와직원에게만데이터센터접근권한및정보를제공합니다. 직원에게사업상이러한권한이더이상필요없게되면, 접근권한은즉시해지됩니다. 이는해당직원이 Amazon 또는 Amazon Web Services 의직원신분을유지해도마찬가지입니다. AWS 직원의데이터센터에대한물리적인접근은모두기록되며정기적으로감사를받습니다. 화재감지및진압 위험을줄이기위해자동화재감지및소화장비가설치되었습니다. 화재감지시스템은모든데이터센터환경, 기계및전기장비실, 냉각실및발전기장비실에서연기감지센서를활용합니다. 이구역은습식파이프, 이중연동준비작동식시스템또는기체스프링클러시스템으로보호됩니다. 전력 데이터센터전력시스템은전이중방식으로설계및유지관리되도록설계되어운영에전혀영향을미치지않고 365 일항시사용가능합니다. 무정전전원공급장치 (UPS) 는시설의중요하고필수적인부하에전력공급장애가발생할경우에대비해백업전력을제공합니다. 데이터센터는발전기를사용하여전체시설에백업전력을제공합니다. 기후및온도 기후제어는서버및기타하드웨어의운영온도를일정하게유지하는데필요하며, 이는과열을방지하고서비스중단가능성을줄입니다. 데이터센터는최상의대기상태조건을유지하도록되어있습니다. 인력및시스템은적절한수준의온도와습도를모니터링및제어합니다. 관리 AWS 는전기, 기계및수명지원시스템과장비를모니터링하여어떤문제든지즉시파악할수있습니다. 예방적유지관리는장비의지속적인운영상태를유지하기위해수행됩니다.
스토리지디바이스폐기 스토리지디바이스의수명이다했을경우권한이없는개인에게고객데이터가노출되는것을방지하기위해고안된폐기프로세스가 AWS 내에마련되어있습니다. AWS 는 DoD 5220.22-M(" 국가산업보안프로그램운영매뉴얼 ") 또는 NIST 800-88(" 미디어삭제가이드라인 ") 에서설명하는기술을사용해폐기프로세스에따라데이터를제거합니다. 모든폐기된마그네틱스토리지디바이스는업계표준관행에따라서자기소거되고물리적으로파쇄됩니다. 비즈니스연속성관리 Amazon 의인프라는높은수준의가용성을제공하며, 고객에게탄력적인 IT 아키텍처를구현할수있는기능을제공합니다. AWS 는시스템또는하드웨어장애가고객에게미치는영향을최소화하도록시스템을설계했습니다. AWS 에서의데이터센터비즈니스연속성관리는 Amazon 인프라그룹의내부지침을준수하고있습니다. 가용성 데이터센터는전세계여러리전에클러스터형태로구축됩니다. 모든데이터센터는온라인으로고객에게서비스를제공하며, 어떤데이터센터도 " 정지 (cold)" 되지않습니다. 장애시자동화된프로세스는고객데이터트래픽을장애지역에서먼곳으로이동합니다. 핵심애플리케이션이 N+1 구성으로구현되어, 데이터센터장애가발생할경우에도나머지사이트로트래픽을균형있게분산시킬수있는충분한용량을갖추고있습니다. AWS 는각리전내의여러가용영역뿐아니라여러지리적리전내에인스턴스를배치하고데이터를저장하는유연성을고객에게제공합니다. 각가용영역은독립된장애영역으로설계되었습니다. 즉가용영역은일반적인대도시지역내에물리적으로고립되어있으며홍수위험성이낮은지대에위치합니다 ( 자세한홍수지대분류는리전에따라차이가있음 ). 또한, 무정전전원공급장치 (UPS) 와현장백업발전시설을분리하여독립적인유틸리티의서로다른그리드를통해전력을공급받음으로써단일장애점 (Single-point-of-Failure) 을더욱줄여줍니다. 가용영역은여러티어 1 전송서비스제공자에게모두중복으로연결됩니다. 고객은다수의리전및가용영역의이점을활용하여 AWS 아키텍처를구축해야합니다. 여러개의가용영역에애플리케이션을분산함으로써자연재해나시스템장애등대부분의장애모드에직면한경우에도시스템을유지할수있게합니다. 인시던트대응 Amazon 사고관리팀은비즈니스에영향을미치는이벤트발생시해결책을모색하기위해업계표준의진단절차를사용합니다. 관리직원은상시사고를감지하고이들이미치는영향과해결방안을관리합니다. 전사적경영진의검토 Amazon 의내부감사그룹에서는최근 AWS 서비스복구계획을검토한바있습니다. 이계획은고위경영팀의구성원및이사회감사위원회에서도정기적으로검토하고있습니다. 통신 AWS 는다양한내부커뮤니케이션방법을전사적으로구현하여직원들이자신의역할과책임을이해하고중요한사안을적시에의논할수있도록돕습니다. 이방법에는신입사원을위한오리엔테이션및교육프로그램, 사업성과및기타사항을알리기위한정기적인임원회의, 전자수단 ( 화상회의, 이메일메시지및 Amazon 인트라넷에정보게시등 ) 도포함됩니다.
AWS 는또한서비스를사용하는고객층과커뮤니티를지원하기위해다양한외부통신방법을제공합니다. 고객지원팀이고객의경험에영향을미치는운영문제를전달받을수있도록방법이마련되어있습니다. 고객지원팀에서제공및관리하는 " 서비스상태대시보드 " 는고객에게광범위하게영향을미칠수있는모든문제를알려줍니다. " 보안및규정준수센터 " 를제공하여고객이 AWS 에관한보안및규정준수세부정보를단일위치에서제공받을수있습니다. 또한고객은 AWS Support 서비스에가입하여고객지원팀에직접문의하거나고객에게영향을미치는모든문제를사전에통보받을수있습니다. 네트워크보안 AWS 네트워크는고객이자신의워크로드에적합한수준의보안과복원성을선택할수있도록구축되었습니다. 클라우드리소스와함께지리적으로분산되고내결함성이있는아키텍처를구성하기위해 AWS 는신중한모니터링과관리를거치는세계최고의네트워크인프라를구현했습니다. 보안네트워크아키텍처 방화벽및기타경계장치를포함한네트워크디바이스가네트워크의외부경계및주요내부경계에서통신을모니터링하고제어합니다. 이러한경계디바이스는규칙세트, ACL( 액세스제어목록 ) 및구성을사용하여특정정보시스템서비스에대한정보흐름을적용합니다. 각관리형인터페이스에대해트래픽흐름을관리및적용하는 ACL, 즉트래픽흐름정책이수립됩니다. ACL 정책은 Amazon Information Security 에서승인합니다. 이들정책은 AWS 의 ACL 관리도구를사용하여자동으로푸시되므로이러한관리형인터페이스가가장최신의 ACL 을적용할수있습니다. 보안액세스포인트 AWS 는인바운드 / 아웃바운드통신및네트워크트래픽을보다포괄적으로모니터링하기위해클라우드에대한제한된수의액세스포인트를전략적으로배치하고있습니다. API 엔드포인트라고부르는이러한고객액세스포인트는고객이 AWS 내에서스토리지와보안통신세션을구축하고인스턴스를컴퓨팅할수있는보안 HTTP 액세스 (HTTPS) 를허용합니다. 고객이 FIPS 140-2 요건을충족할수있도록 AWS GovCloud(US) 의 Amazon Virtual Private Cloud VPN 엔드포인트와 SSL-terminating 로드밸런서는 FIPS 140-2 Level 2 검증하드웨어를이용하여작동합니다. 또한 AWS 는인터넷서비스공급자 (ISP) 와의인터페이스통신을관리하는전용으로사용되는네트워크디바이스를구현했습니다. AWS 는 AWS 네트워크의각인터넷경계엣지에서복수의통신서비스에대한중복연결을사용합니다. 각연결에는전용네트워크디바이스가있습니다. 전송보호 고객은염탐, 훼손및메시지위조를방지하도록설계된암호화프로토콜인 Secure Sockets Layer(SSL) 를사용하는 HTTP 또는 HTTPS 를통해 AWS 액세스포인트에연결할수있습니다. 네트워크보안의추가계층을필요로하는고객을위해 AWS 는 AWS 클라우드내에서프라이빗서브넷을제공하고, Amazon Virtual Private Cloud(VPC) 와데이터센터간에암호화된터널을제공하기위해 IPsec VPN( 가상프라이빗네트워크 ) 디바이스를사용할수있는방법을제시합니다. VPC 구성옵션에대한자세한정보는아래의 Amazon Virtual Private Cloud(VPC) 보안섹션을참조하십시오.
Amazon 사내분리 논리적으로, AWS 프로덕션네트워크는일련의복잡한네트워크보안 / 분리디바이스를통해 Amazon 사내네트워크와분리되어있습니다. 관리목적으로 AWS 클라우드구성요소에액세스해야하는 AWS 사내네트워크개발자및관리자는 AWS 티켓시스템을통해명시적으로액세스권한을요청해야합니다. 모든요청은해당서비스소유자의검토와승인을거칩니다. 그러면승인된 AWS 직원이네트워크디바이스및기타클라우드구성요소에대한액세스를제한하고보안리뷰를위해모든활동을로깅하는배스천호스트를통해 AWS 네트워크에연결하고모든작업이보안합니다. 배스천호스트에액세스하려면호스트의모든사용자계정에대해 SSH 퍼블릭키인증이필요합니다. AWS 개발자및관리자논리적액세스에대한자세한정보는아래의 AWS 액세스를참조하십시오. 내결함성설계 Amazon 의인프라는높은수준의가용성을제공하며, 고객에게탄력적인 IT 아키텍처를구현할수있는역량을제공합니다. AWS 는시스템또는하드웨어장애가고객에게미치는영향을최소화하도록시스템을설계했습니다. 데이터센터는전세계여러리전에클러스터형태로구축됩니다. 모든데이터센터는온라인으로고객에게서비스를제공하며, 어떤데이터센터도 " 정지 (cold)" 되지않습니다. 장애시자동화된프로세스는고객데이터트래픽을장애지역에서먼곳으로이동합니다. 핵심애플리케이션이 N+1 구성으로구현되어, 데이터센터장애가발생할경우에도나머지사이트로트래픽을균형있게분산시킬수있는충분한용량을갖추고있습니다. AWS 는각리전내의여러가용영역뿐아니라여러지리적리전내에인스턴스를배치하고데이터를저장하는유연성을고객에게제공합니다. 각가용영역은독립된장애영역으로설계되었습니다. 즉가용영역은일반적인대도시지역내에물리적으로고립되어있으며홍수위험성이낮은지대에위치합니다 ( 자세한홍수지대분류는리전에따라차이가있음 ). 또한, 무정전전원공급장치 (UPS) 와현장백업발전기를사용하여독립적인유틸리티의서로다른그리드를통해전력을공급받음으로써단일장애점 (Single-point-of-Failure) 을더욱줄여줍니다. 가용영역은여러티어 1 전송서비스제공자에게모두중복으로연결됩니다. 고객은다수의리전및가용영역의이점을활용하여 AWS 아키텍처를구축해야합니다. 여러개의가용영역에애플리케이션을분산함으로써자연재해나시스템장애등대부분의장애시나리오에직면한경우에도시스템을유지할수있게합니다. 단, EU 데이터개인정보보호지침과같은위치별개인정보보호및규정준수요건을주의해야합니다. 데이터는사용자가원하지않는한리전간에는복제되지않습니다. 따라서이러한유형의데이터배치및개인정보보호요구조건을갖춘고객은규제요건에부합하는환경을마련할수있는것입니다. 리전간통신은모두퍼블릭인터넷인프라를통해이루어집니다. 따라서중요한데이터를보호하기위해적절한암호화방법을사용해야합니다. 이문서의작성일현재, 미국동부 ( 버지니아북부 ), 미국서부 ( 오레곤 ), 미국서부 ( 캘리포니아북부 ), AWS GovCloud( 오레곤 ), EU( 아일랜드 ), 아시아태평양 ( 싱가포르 ), 아시아태평양 ( 도쿄 ), 아시아태평양 ( 시드니 ), 남아메리카 ( 상파울루 ) 의 9 개리전이있습니다.
그림 1: 리전및가용영역 가용영역수는변경될수있습니다. AWS GovCloud( 미국 ) 는미국정부또는미국정부기능 / 서비스와직간접적으로연결되는미국기업으로제한된 AWS 의정부커뮤니티클라우드입니다. AWS GovCloud( 미국 ) 리전은미국정부의 ITAR 규정을충족하는정부및상용워크로드를위한전용 CONUS 기반리전을제공합니다. GovCloud 리전을사용하는 AWS 고객은미국국적의 AWS 직원만그구성요소를관리하므로안심할수있습니다. GovCloud 는 ITAR 만을위한것이아닙니다. 이리전은미국수출통제제한이적용되는상용 IT 시스템을포함하여모든 CUI(Controlled Unclassified Information) 워크로드를지원합니다. CUI 범주에는농업, 저작권, 중요인프라, 수출통제 (ITAR), 재무, 이민, 인텔리전스, 법집행, 법률, 핵, 특허, 개인정보보호, 전매 (IP), 통계, 세금및운송이포함됩니다 (EO 13556 에따름, http://www.archives.gov/cui/ 참조 ). GovCloud 리전은다른리전과동일하게 2 개가용영역을포함하는내결함성설계를제공하며 FIPS 140-2 준수액세스포인트를제공합니다. 또한모든 GovCloud 계정은기본적으로 AWS Virtual Private Cloud(VPC) 서비스를사용하여 AWS 클라우드의격리된부분을생성하고프라이빗 (RFC 1918) 주소를갖는 Amazon EC2 인스턴스를시작합니다. GovCloud 에대한자세한정보는 AWS 웹사이트 (http://aws.amazon.com/govcloud-us/) 를참조하십시오. 네트워크모니터링및보안 AWS 는높은수준의서비스성능및가용성을제공하기위해여러가지자동화된모니터링시스템을활용합니다. AWS 모니터링도구는인바운드및아웃바운드통신지점에서비정상적이거나승인되지않은활동및조건을감지하도록설계되어있습니다. 이러한도구는서버및네트워크사용, 포트스캐닝활동, 애플리케이션사용및승인되지않은침입시도를모니터링합니다. 도구에는비정상적활동에대해사용자지정성능지표임계값을설정하는기능이있습니다.
AWS 내시스템은주요운영측정치를모니터링하기위해광범위하게활용됩니다. 주요운영측정치가초기경고임계값을초과하는경우운영담당자에게자동으로통보하도록경보가구성되어있습니다. 담당자가항상운영문제에대응할수있도록대기일정을구성합니다. 무선호출시스템을통해경보가신속하고안정적으로운영담당자에게전달되도록합니다. 인시던트또는문제를처리하는운영담당자에게도움이되는정보를제공할수있도록설명서를유지관리합니다. 문제해결에협업이필요할경우, 커뮤니케이션및로깅기능을지원하는회의시스템이사용됩니다. 협업을필요로하는운영문제를처리하는동안숙련된회의진행자가커뮤니케이션및진행을용이하게합니다. 사후평가는외부영향에관계없이모든중요운영문제해결후수행하며, 근본원인을파악하고차후예방조치를취할수있도록오류원인 (COE) 분석문서의초안을작성합니다. 주간운영회의에서예방조치의진행현황을검토합니다. AWS 보안모니터링도구는분산, 폭주및소프트웨어 / 논리적공격을포함한다양한유형의서비스거부 (DoS) 공격에대한탐지를도와줍니다. DoS 공격이식별되면 AWS 사고대응프로세스가개시됩니다. DoS 방지도구이외에, 각리전의중복통신사업자와추가용량이 DoS 공격가능성으로부터보호합니다. AWS 네트워크는기존의네트워크보안문제와관련하여중요한보호방법을제공합니다. 고객은추가보호방법을실행할수도있습니다. 다음은몇가지예입니다. DDoS( 분산서비스거부 ) 공격. AWS API 엔드포인트는엔지니어링분야전문지식을바탕으로 Amazon 을세계최대의온라인소매업체로발전시킨세계적인수준의인터넷기반대규모인프라에서호스팅합니다. 독점적인 DDoS 완화기법이사용됩니다. 또한, AWS 의네트워크는다양한인터넷접근방법을제공하기위해여러공급자들을통해멀티홈방식으로제공됩니다. MITM( 중간자 ) 공격. 모든 AWS API 는 SSL 을보호하는 endpoint 를통해서버인증을제공합니다. Amazon EC2 AMI 는최초부팅시새 SSH 호스트인증서를자동으로생성하고해당인스턴스관련콘솔에기록합니다. 그러면고객은보안 API 를사용하여이콘솔을호출하고호스트인증서에액세스한다음최초로이인스턴스에로그인할수있습니다. AWS 와의모든상호작용에서 SSL 을사용할것을권장합니다. IP 스푸핑. Amazon EC2 인스턴스는스푸핑된네트워크트래픽을전송할수없습니다. AWS 가제어하는호스트기반의방화벽인프라는인스턴스자체의원본 IP 또는 MAC 주소를사용하지않는경우트래픽전송을허용하지않습니다. 포트스캐닝. Amazon EC2 고객의무단포트스캔은 AWS 이용방침을위반하는것입니다. AWS 이용방침위반은심각한사안이며모든위반사안보고에대해조사하도록되어있습니다. 고객은 Amazon 웹사이트 (http://aws.amazon.com/contact-us/report-abuse/) 에제공되는연락처를통해의심되는침해사례를신고할수있습니다. AWS 에서무단포트스캐닝을탐지하는경우스캐닝이중단및차단됩니다. 일반적으로 Amazon EC2 인스턴스의포트스캔은효과가없습니다. 기본적으로 Amazon EC2 인스턴스의모든인바운드포트는폐쇄되어있고고객에게만액세스가허용되기때문입니다. 고객은보안그룹을엄격하게관리하여포트스캔의위협을더욱완화할수있습니다. 고객이어떠한소스에서특정포트로트래픽을허용하도록보안그룹을구성하는경우해당특정포트는포트스캔에취약해집니다. 이러한경우고객은자신의애플리케이션에꼭필요할수있는청취서비스가무단포트스캔에의해발견되지않도록보호하기위해적절한보안조치를사용해야합니다. 예를들어, 웹서버는명확하게포트 80(HTTP) 을개방해야합니다. 이서버의관리자는 Apache 와같은 HTTP 서버소프트웨어의보안을책임집니다. 고객은특정규정준수요구사항을충족하기위해필요에따라취약성을스캔할수있는권한을요청할수있습니다. 이러한스캔은고객의자체인스턴스로제한되어야하며 AWS 의이용정책을위반하지않아야합니다. 이러한유형의스캔에대한고급승인은요청서를웹사이트 (https://aws-portal.amazon.com/gp/aws/html-formscontroller/contactus/awssecuritypentestrequest) 를통해제출함으로써시작할수있습니다.
다른테넌트에의한패킷스니핑. 무차별모드에서실행되는가상인스턴스가다른가상인스턴스를위한트래픽을수신하거나 " 스니프 " 하는것은불가능합니다. 고객은인터페이스를무차별모드로운영할수는있지만하이퍼바이저는고객에게보내는트래픽이아닌경우고객에게전달하지않습니다. 같은물리적호스트에있으며소유자가같은두가상인스턴스는서로상대방의트래픽을수신할수없습니다. ARP 캐시중독과같은공격은 Amazon EC2 및 Amazon VPC 내에서작동하지않습니다. Amazon EC2 는실수로또는악의적으로다른사람의데이터를볼수없도록충분히보호하지만표준관행에따라민감한트래픽을암호화해야합니다. 모니터링뿐아니라다양한도구를사용하여 AWS 환경의호스트운영체제, 웹애플리케이션, 데이터베이스에대해정기적으로취약성검사를수행합니다. 또한 AWS 보안팀은관련공급업체결함에대한뉴스피드를구독하고새로운패치를확인하기위해공급업체의웹사이트및타관련매체를사전에모니터링합니다. AWS 고객은 AWS 취약성보고웹사이트 (http://aws.amazon.com/security/vulnerability-reporting/) 를통해 AWS 에문제를보고할수도있습니다. AWS 액세스 AWS 프로덕션네트워크는 Amazon 사내네트워크와분리되어있으며, 논리적액세스를위해서는별도의자격증명세트가필요합니다. Amazon 사내네트워크는사용자 ID, 암호및 Kerberos 를사용하여, AWS 프로덕션네트워크는배스천호스트를통한 SSH 퍼블릭키인증을요구합니다. AWS 클라우드구성요소에액세스해야하는 Amazon 사내네트워크의 AWS 개발자와관리자는 AWS 액세스관리시스템을통해명시적으로액세스권한을요청해야합니다. 모든요청은해당소유자또는관리자의검토와승인을거칩니다. 계정검토및감사 계정은 90 일마다검토되고명시적으로다시승인되어야합니다. 그러지않으면리소스에대한액세스권한이자동으로취소됩니다. 직원의기록이 Amazon 의인사관리시스템에서제거되는경우에도액세스권한이자동으로취소됩니다. Windows 및 UNIX 계정이비활성화되고 Amazon 의권한관리시스템에서해당사용자를모든시스템에서삭제합니다. 액세스권한변경이요청되면 Amazon 권한관리도구감사로그에캡처됩니다. 직원의직무가변경된경우, 리소스에계속액세스하려면명시적으로승인받아야하며, 그러지않으면액세스권한이자동취소됩니다. 배경조회 AWS 는 AWS 플랫폼및인프라호스트에대한논리적인액세스의최소표준을제시하기위해공식적인정책및절차를수립했습니다. AWS 는직원에대한채용전심사과정의일환으로직원의직급과액세스수준에비례해법적으로허용되는전과기록확인을실시합니다. 또한이정책은논리적인액세스및보안관리에대한기능적인책임도명시합니다. 자격증명정책 AWS 보안은필수설정및만료간격을포함하는자격증명정책을수립했습니다. 암호는복잡해야하고 90 일에한번씩반드시변경해야합니다.
보안설계의원칙 AWS 의개발프로세스는 AWS 보안팀의공식적인설계검토, 위협모델링및일체의리스크평가등최선의보안소프트웨어개발모범사례를따릅니다. 표준구축프로세스의일환으로정적코드분석도구를사용하며, 구현된모든소프트웨어는엄선된업계전문가의반복침투테스트를거칩니다. 보안상의리스크평가검토가설계단계에서시작되어서비스시작에서운영기간에이르기까지지속적으로이루어집니다. 변경관리 기존 AWS 인프라에대한정기적, 긴급및구성변경은유사한시스템에대한업계표준에따라허가, 기록, 테스트, 승인, 문서화과정을거칩니다. AWS 의인프라업데이트는고객및고객의서비스사용에미치는영향을최소화하는방식으로이루어집니다. AWS 는서비스이용에피해가예상될때, AWS 서비스상태대시보드 (http://status.aws.amazon.com/) 또는이메일을통해고객에게이를전달합니다. 소프트웨어 AWS 는변경관리에체계적인접근방법을적용하므로고객에게영향을미치는서비스변경사항은철저한검토, 테스트, 승인을거쳐효과적으로전달됩니다. AWS 의변경관리프로세스는고객서비스의무결성을유지하고갑작스런서비스중단을방지하도록설계되었습니다. 생산환경에적용되는변경사항은아래와같습니다. 검토 : 변경의기술적측면에대해동료가검토함검토됨 : 변경사항의기술적부분에대한피어검토가요구됩니다. 테스트됨 : 적용중인변경사항이예상대로작동하고성능을떨어뜨리지않는지확인하기위해테스트를거칩니다. 승인됨 : 모든변경사항은비즈니스영향에대한적절한감독과이해를위해반드시허가를받아야합니다. 변경사항은일반적으로영향력이가장낮은영역부터시작하여생산단계에이르기까지단계별로적용됩니다. 배포된사항은단일시스템에서테스트하고면밀하게모니터링하여영향력을평가할수있습니다. 서비스소유자는서비스의업스트림연관항목의건전성여부를측정하기위해여러개의설정가능한메트릭을갖추고있습니다. 이메트릭을임계치와경보로자세히모니터링합니다. 롤백절차는변경관리 (CM) 티켓에설명되어있습니다. 가능한경우, 일상적인변경기간동안변경일정을수립합니다. 표준변경관리절차와구별되는운영시스템에대한긴급변경사항은인시던트와연관되며적절한기록과승인이필요합니다. AWS 는핵심서비스변경사항을주기적으로자체감사하여품질모니터링, 높은수준의표준유지및변경관리프로세스의지속적인향상을도모합니다. 근본원인을파악하기위해모든예외사항을분석하며, 변경내용이표준을준수하도록하거나필요한경우변경내용을롤백하도록적절한조치를취합니다. 그런다음프로세스및사용자관련문제를해결및개선하기위한조치를취합니다.
인프라 Amazon 의기업애플리케이션팀은타사개발소프트웨어공급분야의 UNIX/Linux 호스트및내부적으로개발된소프트웨어와구성관리분야에서 IT 프로세스를자동화하기위한소프트웨어를개발, 관리합니다. 인프라팀은하드웨어확장성, 가용성, 감사및보안관리작업을처리하기위한 UNIX/Linux 구성관리프레임워크를관리및운영합니다. 변경사항을관리하는자동화된프로세스를사용해호스트를중앙에서관리함으로써 Amazon 은높은가용성, 반복성, 확장성, 보안성및재해복구목표를달성할수있습니다. 시스템및네트워크엔지니어는지속적으로이러한자동화된도구상태를모니터링하며, 구성정보및소프트웨어를확보하거나업데이트하지못한호스트에대해보고사항을검토합니다. 새로운하드웨어가지원되면내부적으로개발된구성관리소프트웨어가설치됩니다. 이러한도구가구성되었는지그리고호스트에할당된역할에따라결정된기준을준수하여소프트웨어가설치되었는지확인하기위해모든 UNIX 호스트에서이를실행합니다. 이구성관리소프트웨어는또한호스트에이미설치된패키지를정기적으로업데이트하는데도움이됩니다. 승인서비스를통해허가받은직원들만중앙구성관리서버에로그인할수있습니다. AWS 계정보안기능 AWS 는고객이자신의신원을확인하고안전하게자신의 AWS 계정에액세스할수있는여러가지방법을제공합니다. AWS 에서지원하는자격증명의전체목록은나의계정의보안자격증명페이지에서찾을수있습니다. 또한 AWS 는 AWS Identity and Access Management(IAM), 키관리및교체, 임시보안자격증명, Multi- Factor Authentication(MFA) 과같이 AWS 계정을추가로보호하고액세스를제어할수있는보안옵션을추가로제공합니다. AWS Identity and Access Management(AWS IAM) AWS IAM 을사용하면 AWS 계정내에서여러사용자를생성하고, 이러한사용자각각의권한을관리할수있습니다. 사용자란 AWS 서비스에액세스하는데사용할수있는고유한보안자격증명을포함하는일종의 AWS 계정 ID 입니다. AWS IAM 을사용하면암호나액세스키를공유할필요가없으며상황에따라사용자의액세스권한을쉽게활성화하거나비활성화할수있습니다. AWS IAM 을사용하면보안모범사례를구현할수있습니다. 예를들어, 고객의 AWS 계정내에있는모든사용자에게고유의자격증명을부여하여사용자에게작업을수행하는데필요한 AWS 서비스및리소스에대한액세스권한만주는것입니다. AWS IAM 에는보안이기본값으로설정되어있습니다. 신규사용자는구체적으로권한이부여되기전까지 AWS 에접근할수없습니다. AWS IAM 은 AWS Marketplace 와도통합되어, 고객의조직내에서누가 Marketplace 에서제공하는소프트웨어및서비스를구독할수있는지제어할수있습니다. Marketplace 에서특정소프트웨어를구독하면 EC2 인스턴스가시작하여해당소프트웨어를실행하므로이것은중요한액세스제어기능입니다. AWS IAM 을사용하여 AWS Marketplace 액세스를제어하면 AWS 계정소유자가사용및소프트웨어비용을세부적으로제어할수있습니다. AWS IAM 은고객의 AWS 계정자격증명사용횟수를최소화해줍니다. AWS IAM 사용자계정을만든후에는 AWS 서비스및리소스와의모든상호작용이 AWS IAM 사용자보안자격증명을사용해이루어져야합니다. AWS IAM 에대한자세한정보는 AWS 웹사이트 (http://aws.amazon.com/iam/) 를참조하십시오.
임시보안자격증명 AWS IAM 을사용하면제한된시간동안만유효한보안자격증명을통해보안 AWS 리소스에대한임시액세스를사용자에게제공할수있습니다. 이러한자격증명은유효기간이짧다는점 ( 기본만료시간이 12 시간 ) 과만료후재사용이불가능하다는점때문에향상된보안을제공합니다. 이는특정상황에서제어가능한제한적액세스권한을제공하는데특히유용합니다. 연동 ( 비 AWS) 사용자액세스. 연동사용자는 AWS 계정을보유하지않은사용자 ( 또는애플리케이션 ) 입니다. 고객은임시보안자격증명을통해연동사용자에게제한된시간동안 AWS 리소스에대한액세스권한을부여할수있습니다. 이는고객에게 Microsoft Active Directory, LDAP 또는 Kerberos 와같은외부서비스를사용하여인증할수있는비 AWS 사용자가있을경우유용합니다. 임시 AWS 자격증명은고객의사내자격증명및권한부여시스템내비 AWS 사용자와 AWS 간자격증명연동을제공합니다. Single Sign-On. 고객은연동사용자에게 AWS 에로그인하도록요구할필요가없이사내자격증명및권한부여시스템을통해 AWS Management Console 에대한 Single-Sign-On(SSO) 액세스를제공할수있습니다. Single-Sign-On(SSO) 액세스를제공하기위해고객은임시보안자격증명을 AWS Management Console 로전달하는 URL 을만듭니다. 이 URL 은생성후 15 분간만유효합니다. 임시자격증명은보안토큰, 액세스키 ID 및보안액세스키를포함합니다. 특정리소스에대한사용자액세스를제공하기위해고객은임시액세스권한을제공하려는사용자에게임시보안자격증명을배포합니다. 사용자는리소스를호출할때토큰및액세스키 ID 를전달하고보안액세스키를사용하여요청에서명합니다. 이토큰은다른액세스키에서는작동하지않습니다. 사용자가토큰을전달하는방식은 API 그리고사용자가호출하는 AWS 제품의버전에따라다릅니다. 임시보안자격증명에대한자세한정보는 AWS 웹사이트 (http://docs.amazonwebservices.com/sts) 를참조하십시오. 임시자격증명의사용은추가보호를의미합니다. 임시사용자에게장기자격증명을배포또는관리할필요가없기때문입니다. 또한임시자격증명은대상인스턴스에자동으로로드되므로코드와같이어딘가안전하지않은위치에자격증명을포함할필요가없습니다. 임시자격증명은작업하지않아도자동으로하루에여러번교체또는변경되며기본적으로안전하게저장됩니다. 역할 역할이라고하는 AWS IAM 기능은임시보안자격증명을사용하여고객이일반적으로조직의 AWS 리소스에대한액세스권한이없는사용자또는서비스에게액세스권한을위임할수있게해줍니다. 역할이란특정 AWS 리소스에액세스하기위한권한집합이지만이러한권한은특정 IAM 사용자에만한정되지않습니다. 권한이부여된엔티티 ( 예 : 모바일사용자, EC2 인스턴스 ) 는역할을부여받고역할에서정의된리소스에대해인증받기위한임시보안자격증명을수신합니다. 역할을사용하면대량의인스턴스또는 AWS Auto Scaling 을사용하여탄력적으로조정되는집합을관리하는고객이시간을상당히절약할수있습니다. EC2 인스턴스에서키를자동으로프로비저닝하기위한 IAM 역할사용에대한자세한정보는 AWS 웹사이트 (http://docs.amazonwebservices.com/iam) 에서 Using IAM 가이드를참조하십시오.
AWS Multi-Factor Authentication(AWS MFA) AWS Multi-Factor Authentication(AWS MFA) 은 AWS 서비스에액세스하기위한추가보안계층입니다. 이옵트인 (opt-in) 기능을활성화한경우, 고객은표준사용자이름과암호자격증명외에 6 자리일회용코드를입력해야고객의 AWS 계정설정또는 AWS 서비스및리소스액세스권한이부여됩니다. 이일회용코드는물리적으로소유하고있는인증디바이스에서얻을수있습니다. 액세스권한을부여하기전에복수의인증팩터, 즉암호 ( 고객이알고있는것 ) 와인증디바이스 ( 고객이소유하고있는것 ) 로부터의정확한코드를확인하므로이를멀티팩터인증이라고합니다. 고객은 MFA 계정뿐아니라 AWS IAM 을이용해 AWS 계정에만든사용자들에대해서도 MFA 디바이스를사용하도록설정할수있습니다. AWS MFA 는하드웨어토큰및가상 MFA 디바이스의사용을모두지원합니다. 가상 MFA 디바이스는물리적 MFA 디바이스와동일한프로토콜을사용하지만, 스마트폰을비롯한모바일하드웨어디바이스에서만실행할수있습니다. 가상 MFA 디바이스는시간기반일회용암호 (TOTP) 표준 (RFC 6238 참조 ) 을준수하는 6 자리인증코드를생성하는소프트웨어애플리케이션을사용합니다. 대부분의가상 MFA 애플리케이션은여러개의가상 MFA 디바이스를호스트할수있기때문에하드웨어 MFA 디바이스보다편리하게이용할수있습니다. 그러나가상 MFA 는스마트폰과같이보안수준이떨어지는디바이스에서실행될수있으므로가상 MFA 가하드웨어 MFA 디바이스와동일한보안수준을제공하지못할수있다는점에유의해야합니다. 또한 Amazon EC2 인스턴스를종료하거나 Amazon S3 에저장된중요한데이터를읽는것과같은강력한또는권한있는작업에대해추가보호계층을제공하기위해 AWS 서비스 API 에 MFA 인증을적용할수도있습니다. 이렇게하려면 IAM 액세스정책에 MFA 인증요구사항을추가합니다. 이러한액세스정책을 Amazon S3 버킷, SQS 대기열, SNS 주제와같은 ACL( 액세스제어목록 ) 을지원하는 IAM 사용자, IAM 그룹또는리소스에연결할수있습니다. 참여하는타사공급자로부터하드웨어토큰을, 또는 AppStore 에서가상 MFA 애플리케이션을입수하여 AWS 웹사이트를통해사용을설정하는절차는간단합니다. AWS MFA 에대한자세한정보는 AWS 웹사이트 (http://aws.amazon.com/ko/iam/details/mfa/) 를참조하십시오. 키관리및교체 암호를자주변경하는것이중요한것과마찬가지로, AWS 는액세스키와인증서를정기적으로교체할것을권장합니다. AWS 는다중동시액세스키와인증서를지원하고있어서혹시라도사용자의애플리케이션가용성에영향을주는일없이키교체작업을수행할수있습니다. 이기능덕분에사용할키와인증서를애플리케이션다운타임없이정기적으로교체할수있습니다. 액세스키또는인증서를분실하거나훼손할위험을줄일수있습니다. AWS IAM API 는고객이 API 계정뿐아니라 AWS IAM 을이용해 AWS 계정에만든사용자에대해서도액세스키를교체할수있게해줍니다. AWS Trusted Advisor 보안검사 AWS Trusted Advisor 고객지원서비스는클라우드성능및복원성만모니터링하는것이아니라클라우드보안도모니터링합니다. Trusted Advisor 는고객의 AWS 환경을검사하고비용절감, 시스템성능개선또는보안결함방지의여지가있을때권장사항을알려줍니다. 또한발생할수있는몇몇가장일반적인보안구성오류에대해알림을제공합니다. 이러한오류에는특정포트를열어두어해킹및무단액세스에취약한상태로만드는경우, 내부사용자를위한 IAM 계정을만들지않은경우, S3 버킷에대해퍼블릭액세스를허용하는경우또는루트 AWS 계정에서 MFA 를사용하지않는경우가포함됩니다. AWS Trusted Advisor 서비스는기업또는엔터프라이즈수준의 AWS Support 에등록한 AWS 고객에게제공됩니다.
AWS 서비스별보안 보안이 AWS 인프라모든계층뿐만아니라해당인프라에서제공되는각서비스에도기본적으로제공됩니다. AWS 서비스는모든 AWS 네트워크및플랫폼과효율적으로안전하게작동하도록구축되었습니다. 각서비스는고객이중요한데이터와애플리케이션을보호할수있도록광범위한보안기능을제공합니다. Amazon Elastic Compute Cloud(Amazon EC2) 보안 Elastic Compute Cloud(EC2) 는 Amazon 의 IaaS( 서비스로서의인프라 ) 로서 AWS 데이터센터의서버인스턴스를사용하여규모를조정할수있는컴퓨팅용량을제공합니다. Amazon EC2 는고객이간편하게필요한용량을얻고구성함으로써보다손쉽게웹규모의컴퓨팅을할수있도록설계되었습니다. 고객은플랫폼하드웨어및소프트웨어모음인인스턴스를만들고실행합니다. 여러단계의보안기법 Amazon EC2 의보안은호스트플랫폼의 OS( 운영체제 ), 가상인스턴스 OS 또는게스트 OS, 방화벽및서명된 API 호출등여러수준에서제공됩니다. 각항목은다른항목의기능위에구축되어있습니다. 목표는 Amazon EC2 에포함된데이터를무단시스템이나사용자가가로채지못하도록데이터를보호하고, 고객이요구하는구성유연성을희생하지않고도가능한한안전한 Amazon EC2 인스턴스를제공하는것입니다. 하이퍼바이저 Amazon EC2 는현재고도로맞춤화된버전의 Xen 하이퍼바이저를이용하며 Linux 게스트의경우는반가상화 (paravirtualization) 를활용합니다. 반가상화된게스트는일반적으로액세스권한을요구하는작업을지원할때하이퍼바이저를이용하기때문에, 게스트 OS 는 CPU 에대한고급액세스권한이없습니다. CPU 는링이라고하는 0-3 단계의별도권한모드를제공합니다. 링 0 이가장높은권한이며 3 은가장낫습니다. 호스트 OS 는링 0 에서실행됩니다. 그러나게스트 OS 는대부분의운영체제와마찬가지로링 0 에서실행되지않고더낮은권한의링 1 에서실행되며, 애플리케이션은최소권한을갖는링 3 에서실행됩니다. 이와같이물리적자원을구체적으로가상화하여게스트와하이퍼바이저를명확히구분함으로써이들사이에추가적인보안격리가가능하게합니다. 인스턴스격리 동일한물리적장비에서실행되는서로다른인스턴스는 Xen 하이퍼바이저를통해상호격리됩니다. Amazon 은최신개발동향에대한이해를돕기위해 Xen 커뮤니티에서적극적으로활동하고있습니다. 또한, AWS 방화벽은물리적네트워크인터페이스와인스턴스의가상인터페이스의중간인하이퍼바이저계층내에존재합니다. 모든패킷은이계층을통과해야하며, 따라서, 어떤인스턴스에이웃해있는다른인스턴스가인터넷에있는다른호스트와마찬가지로이인스턴스에접근할수없고마치별도의물리적호스트에있는것처럼처리될수있습니다. 물리적 RAM 도비슷한방식으로구분됩니다.
그림 2: Amazon EC2 다중보안계층 고객인스턴스는원시디스크장치에접근할수는없으나, 대신가상화디스크를통해제공됩니다. AWS 전용디스크가상화계층은고객이사용하는스토리지의모든블록을자동으로리셋하여고객데이터가절대실수로타인에게노출되지않게합니다. AWS 에서는적절한수단을사용하여데이터를추가로보호할것을권장합니다. 한가지일반적인해법은가상화디스크장치에서암호화된파일시스템을실행하는것입니다. 호스트운영체제 : 업무와관련하여관리평면에액세스해야하는관리자는다중요소인증을사용하여특정관리호스트에액세스하는데필요한액세스권한을얻어야합니다. 이러한관리호스트는클라우드의관리평면을보호하기위해특별히설계, 구축, 구성및강화된시스템입니다. 이러한접근은모두기록되고감사됩니다. 어떤직원이업무와관련하여관리평면을더이상액세스할필요가없게될경우, 이러한호스트및관련시스템에대한권한과액세스권한은해지됩니다. 게스트운영체제 : 가상인스턴스는오직고객만제어할수있습니다. 고객은계정, 서비스및애플리케이션에대한전체루트액세스또는관리제어권한을가집니다. AWS 는고객의인스턴스또는게스트 OS 에대한어떤액세스권한도갖지않습니다. AWS 는기본적인보안모범사례를따를것을권장합니다. 여기에는암호만을사용한게스트액세스를금지하는방법과멀티팩터인증형식으로인스턴스에액세스 ( 또는최소인증서기반 SSH 버전 2 액세스 ) 를부여하는방법이포함됩니다. 또한고객은사용자별로그인을이용한권한상승방법을사용해야합니다. 예를들어, 게스트 OS 가 Linux 일경우, 인스턴스를강화하면가상인스턴스에액세스할때인증서기반의 SSHv2 를사용하며, 원격루트로그인을비활성화하고, 명령줄로깅을사용하며, 권한상승을위해 'sudo' 를사용해야합니다. 고객은고유한키페어를생성하여다른고객또는 AWS 와공유되지않도록해야합니다. 또한 AWS 는고객이 UNIX/Linux EC2 인스턴스에안전하게로그인할수있도록 Secure Shell(SSH) 네트워크프로토콜의사용을지원합니다. AWS 에서사용되는 SSH 인증은인스턴스에대한무단액세스위험을줄이기위해퍼블릭 / 프라이빗키페어를통해이루어집니다. 또한고객의인스턴스에대해생성된원격데스크톱프로토콜 (RDP) 인증서를사용하여 RDP 를사용하는 Windows 인스턴스에원격으로연결할수도있습니다.
고객은보안업데이트를포함해게스트 OS 업데이트및패치적용도관리합니다. Amazon 이제공하는 Windows 및 Linux 기반 AMI 는주기적으로최신패치로업데이트됩니다. 그러므로실행중 Amazon AMI 인스턴스에서데이터또는사용자지정을보존할필요가없을경우, 간단히최신업데이트가적용된 AMI 를이용해새인스턴스를다시시작할수있습니다. 또한 Amazon Linux AMI 에대한업데이트가 Amazon Linux yum 리포지토리를통해제공됩니다. 방화벽 : Amazon EC2 는완전한방화벽솔루션을제공합니다. 이필수인바운드방화벽은기본적으로 ' 모두거부 ' 모드로구성됩니다. Amazon EC2 고객은인바운드트래픽을허용하는데필요한포트를분명히개방해야합니다. 이때트래픽은프로토콜, 서비스포트, 또는원본 IP 주소에의해제한될수있습니다 ( 개별 IP 또는 Classless Inter- Domain Routing(CIDR) 블록 ). 인스턴스클래스별로다른규칙을사용하는그룹에대해방화벽을설정할수있습니다. 기존의 3 계층웹애플리케이션을예로들어보겠습니다. 웹서버그룹에는인터넷에개방된포트 80(HTTP) 및 / 또는포트 443(HTTPS) 이있을수있습니다. 애플리케이션서버그룹에는웹서버그룹에만액세스할수있는 8000 번포트 ( 애플리케이션별 ) 가있을수있습니다. 데이터베이스서버그룹에는애플리케이션서버그룹에만개방된 3306 번포트 (MySQL) 가있을수있습니다. 세그룹모두포트 22(SSH) 에대한관리액세스는허용되나, 고객의기업네트워크에서만가능합니다. 고도의안전성을요구하는애플리케이션은이러한방식을사용하여구현할수있습니다. 그림 3: Amazon EC2 보안그룹방화벽 방화벽은게스트운영체제를통해제어할수없습니다. 그보다는고객의 X.509 인증서및키를사용하여변경사항을인증하므로추가보안계층이필요합니다. AWS 는다양한인스턴스및방화벽관리기능에대해단계별액세스권한을부여하는기능을지원합니다. 따라서고객은역할분리를통해추가보안을구현할수있습니다. 방화벽에서제공하는보안수준은어느포트를어느기간동안어떤목적으로개방할것인지결정합니다. 기본상태는모든수신트래픽을거부하는것이며, 고객은애플리케이션구축및보안시어떤포트를개방할것인지를신중하게계획해야합니다. 정보기반의트래픽관리및보안설계가인스턴스별로필요합니다. AWS 에서는 IPtable 또는 Windows 방화벽및 VPN 과같은호스트기반방화벽이있는인스턴스별추가필터를사용할것을권장합니다. 그러면인바운드및아웃바운드트래픽을모두제한할수있습니다.
API 액세스 : 인스턴스를시작및종료하고, 방화벽파라미터를변경하고, 다른기능을수행하기위한 API 호출은모두고객의 Amazon 보안액세스키로서명됩니다. 이때 AWS 계정보안액세스키를사용하거나 AWS IAM 을이용해만든사용자의보안액세스키를사용할수도있습니다. 고객의보안액세스키에액세스하지않고서는고객을대신하여 Amazon EC2 API 호출을생성할수없습니다. 또한, API 호출은기밀성을유지하기위해 SSL 로암호화할수있습니다. Amazon 은항상 SSL 로보호되는 API 엔드포인트를사용하도록권장하고있습니다. 또한고객은 AWS IAM 을이용해만든사용자가호출할권한이있는 API 를세부적으로제어할수있습니다. Elastic Block Storage(Amazon EBS) 보안 Amazon Elastic Block Store(EBS) 에서는 Amazon EC2 인스턴스에서디바이스로서마운트할수있는스토리지볼륨을 1GB 에서 1TB 까지생성할수있습니다. 스토리지볼륨은사용자가정의한디바이스이름과블록디바이스인터페이스를사용하며포맷되지않은원시블록디바이스처럼작동합니다. Amazon EBS 볼륨에파일시스템을생성하거나하드드라이브와같은블록디바이스를사용하는것처럼 Amazon EBS 볼륨을사용할수있습니다. Amazon EBS 의볼륨에대한접근이해당볼륨을생성한 AWS 계정및 AWS IAM 을이용해만든 AWS 계정사용자 ( 사용자가 EBS 작업에대한접근권한이있는경우 ) 로제한되므로, 다른모든 AWS 계정및사용자에게는볼륨을보거나접근하는권한이거부됩니다. Amazon EBS 에저장된데이터는정상적인서비스를위해물리적으로여러지점에중복보관됩니다. 이때추가비용도들지않습니다. 하지만 Amazon EBS 복사본은여러영역이아닌, 단일한가용영역에저장됩니다. 따라서장기적으로데이터를안전하게보관하기위해서는정기적으로스냅샷을생성해 Amazon S3 에저장하는것이좋습니다. EBS 를사용하여복잡한트랜잭션데이터베이스를설계한경우에는분산된트랜잭션과로그를검사할수있도록데이터베이스관리시스템을통해 Amazon S3 에백업하는것이좋습니다. AWS 는 Amazon E2 에서실행되는인스턴스에연결된가상디스크상에유지되는데이터는백업하지않습니다. Amazon EBS 볼륨스냅샷은다른 AWS 계정에도공유하여자체볼륨생성의기반으로사용할수있습니다. Amazon EBS 볼륨스냅샷을공유해도원본스냅샷을변경또는삭제할수있는권한은명시적으로볼륨을생성한 AWS 계정에있으므로다른 AWS 계정은원본스냅샷을변경또는삭제할수없습니다. EBS 스냅샷은전체 EBS 볼륨을블록수준으로나타낸것입니다. 삭제된파일과같이볼륨의파일시스템에서표시되지않는데이터가 EBS 스냅샷에존재할수도있습니다. 공유스냅샷은신중하게만들어야합니다. 볼륨이중요한데이터를보유하고있거나파일을삭제한경우, 새로운 EBS 볼륨을만들어야합니다. 공유스냅샷에포함할데이터는새볼륨과새볼륨에서만든스냅샷에복사해야합니다. Amazon EBS 볼륨은포맷되지않은원시블록디바이스로사용자에게제공되며저장된데이터는사전에삭제됩니다. 데이터는재사용바로전에삭제되기때문에삭제프로세스가확실히완료된상태로제공됩니다. DoD 5220.22- M(" 국가산업보안프로그램운영매뉴얼 ") 또는 NIST 800-88(" 미디어삭제가이드라인 ") 에자세히명시된것과같이특정방법을통해모든데이터를삭제해야할절차가있는경우 Amazon EBS 에도이를적용할수있습니다. 마련된요건준수를위해볼륨을삭제하기전에전문적인삭제절차를수행해야합니다. 중요한데이터를암호화하는것은일반적으로보안에관한모범사례에해당합니다. AWS 는해당보안정책에부합하는알고리즘을통해중요한데이터를암호화할것을권장합니다.
Amazon Elastic Load Balancing 보안 Amazon Elastic Load Balancing 은한그룹의 Amazon EC2 인스턴스에서트래픽을관리하여인스턴스에대한트래픽을특정리전의모든가용영역으로배포합니다. Elastic Load Balancing 은온프레미스로드밸런서의모든장점이외에여러가지보안상이점을제공합니다. Amazon EC2 인스턴스를대신해암호화및복호화작업을수행하고로드밸런서에서중앙집중식으로관리 클라이언트에단일접점을제공하며네트워크공격에대한 1 차방어선의역할도수행 Amazon VPC 를사용하는경우, Elastic Load Balancing 과연결된보안그룹의생성및관리를지원하여추가적인네트워킹및보안옵션을제공 보안 (HTTPS/SSL) 연결을사용하는네트워크에서종단간트래픽암호화를지원. SSL 을사용하는경우, 클라이언트연결을종료하는데사용된 SSL 서버인증서를개별인스턴스에서가아니라로드밸런서에서중앙집중식으로관리할수있습니다. HTTPS/SSL 을프런트엔드연결로선택하는경우사전정의된 SSL 암호집합을사용하거나고객이원하는암호집합을사용하여특정요구사항을기반으로암호화및프로토콜을활성화또는비활성화할수있습니다. Secure Sockets Layer(SSL) 프로토콜은프로토콜과알고리즘의조합을사용하여인터넷에서정보를보호합니다. SSL 암호는암호화키를사용하여암호화된 ( 코딩된 ) 메시지를생성하는암호화알고리즘입니다. SSL 암호알고리즘및프로토콜은여러형식을사용할수있습니다. Amazon Elastic Load Balancing 은클라이언트와고객의로드밸런서사이에연결이설정되면 SSL 협상에사용되는사전정의된암호집합을사용해로드밸런서를구성합니다. 사전정의된암호집합은광범위한클라이언트와호환되며강력한암호화알고리즘을사용합니다. 그러나일부고객은네트워크상의모든데이터를암호화해야하고특정암호만허용되는요구사항이있을수있습니다. 일부경우에는표준준수를위해클라이언트에서특정프로토콜 ( 예 : PCI, SOX 등 ) 이요구될수있습니다. 이런경우, Amazon Elastic Load Balancing 이 SSL 프로토콜및암호에대해서로다른구성을선택할수있는옵션을제공합니다. 고객은특정요구사항에따라암호를활성화또는비활성화하도록선택할수있습니다. Auto Scaling 보안 Auto Scaling 을이용해고객이지정한조건에따라 Amazon EC2 용량을자동으로늘리거나줄일수있습니다. 즉, 요구량이상승할때에는사용하는 Amazon EC2 인스턴스의수를원활하게확장하여성능을유지하고, 요구량이감소할때에는자동으로용량을축소해비용을절감합니다. 다른 AWS 서비스와마찬가지로 Auto Scaling 은제어 API 에대한모든요청을인증하여인증받은사용자만 Auto Scaling 에접근하고관리할수있도록합니다. 요청메시지는이요청메시지및사용자의개인키에서계산한 HMAC-SHA1 서명으로서명합니다. 그러나대규모또는탄력적으로조정되는집합의경우 Auto-Scaling 을이용해시작된새 EC2 인스턴스로자격증명을제공하는프로세스가쉽지않을수있습니다. 이프로세스를간소화하기위해 IAM 내역할을사용할수있습니다. 그러면역할을이용해시작된새인스턴스로자격증명이자동으로제공됩니다. IAM 역할을이용해 EC2 인스턴스를시작하면역할에의해지정된권한을포함하는임시 AWS 보안자격증명이안전하게인스턴스로프로비저닝되고 Amazon EC2 Instance Metadata Service 를통해고객의애플리케이션에서사용할수있게됩니다. Metadata Service 가현재활성자격증명이만료되기전에새로운임시보안자격증명을제공하므로인스턴스에서유효한자격증명을항상사용할수있습니다. 또한임시보안자격증명이하루에여러번자동으로교체되므로향상된보안을제공합니다. 고객은 AWS IAM 을이용해 AWS 계정에사용자들을만들어이사용자들이호출할권한이있는 Auto Scaling API 를지정하여 Auto Scaling 에대한액세스권한을추가로제어할수있습니다. 인스턴스시작시역할사용에대한자세한정보는 AWS 웹사이트 (http://docs.amazonwebservices.com/awsec2/latest/userguide/usingiam) 에서 Amazon EC2 사용설명서를참조하십시오.
Amazon Virtual Private Cloud(Amazon VPC) 보안통상적으로고객이시작하는 Amazon EC2 인스턴스에 Amazon EC2 주소공간의퍼블릭 IP 주소가임의로할당됩니다. Amazon VPC 를사용하면 AWS 클라우드의격리된부분을만들고, 선택한범위 ( 예 : 10.0.0.0/16) 에프라이빗 (RFC 1918) 주소가있는 Amazon EC2 인스턴스를시작할수있습니다. IP 주소범위를기반으로유사한인스턴스를그룹화하여 VPC 내에서서브넷을정의한다음, 라우팅및보안을설정하여인스턴스및서브넷을드나드는트래픽흐름을제어할수있습니다. AWS 는다음과같은여러수준의퍼블릭액세스를제공하는구성을포함하는다양한 VPC 아키텍처템플릿을제공합니다. 단일퍼블릭서브넷만있는 VPC. 고객의인스턴스는 AWS 클라우드의프라이빗격리섹션에서실행되며인터넷에직접액세스합니다. 네트워크 ACL 및보안그룹을사용하여인스턴스를드나드는인바운드및아웃바운드네트워크트래픽을엄격히제어할수있습니다. 퍼블릭및프라이빗서브넷이있는 VPC. 이구성은퍼블릿서브넷을포함하는이외에인터넷에서인스턴스의주소를지정할수없는프라이빗서브넷을추가합니다. 프라이빗서브넷의인스턴스는 NAT(Network Address Translation) 를사용하는퍼블릭서브넷을통해인터넷과아웃바운드연결을설정할수있습니다. 퍼블릭및프라이빗서브넷이있고하드웨어 VPN 액세스를제공하는 VPC. 이구성은 Amazon VPC 와데이터센터사이에 IPsec VPN 연결을추가하여데이터센터를효과적으로클라우드까지확장하는한편 Amazon VPC 의퍼블릭서브넷인스턴스에게직접인터넷액세스를제공합니다. 이구성에서는고객이기업데이터센터측에 VPN 어플라이언스를추가할수있습니다. 프라이빗서브넷만있고하드웨어 VPN 액세스를제공하는 VPC. 고객의인스턴스가 AWS 클라우드의프라이빗격리섹션에서실행되고인터넷에서인스턴스의주소를지정할수없는프라이빗서브넷이포함됩니다. 이프라이빗서브넷을 IPsec VPN 터널을통해기업데이터센터에연결할수있습니다. Amazon VPC 내보안기능에는보안그룹, 네트워크 ACL, 라우팅테이블, 외부게이트웨이가포함됩니다. 이러한각항목은직접인터넷접근또는다른네트워크에대한사설연결을선택적으로사용해확장가능한안전하고격리된네트워크를제공함으로써상호보완됩니다. Amazon VPC 에서실행되는 Amazon EC2 인스턴스는아래에서설명하는호스트 OS, 게스트 OS, 하이퍼바이저, 인스턴스격리및패킷스니핑으로부터보호와관련된장점을모두계승합니다. 단, 고객은자신의 Amazon VPC 만을위한 VPC 보안그룹을생성해야합니다. Amazon VPC 내부에서는고객이생성한 Amazon EC2 보안그룹이작용하지않습니다. 또한 Amazon VPC 보안그룹은인스턴스시작후보안그룹을변경하는기능, (TCP, UDP 또는 ICMP 만사용하는방식이아니라 ) 표준프로토콜번호를사용하여프로토콜을지정하는기능등 EC2 보안그룹에는없는추가기능을제공합니다. 각 Amazon VPC 는클라우드상에서별도로격리된네트워크입니다. 각 Amazon VPC 에서의네트워크트래픽은다른모든 Amazon VPC 와격리됩니다. Amazon VPC 를생성할때각각에대해 IP 주소범위를선택합니다. 고객은아래의제어방법에따라외부연결을설정하기위해인터넷게이트웨이, 가상프라이빗게이트웨이, 또는둘모두를생성하여연결할수있습니다. API 액세스 : Amazon VPC 를생성및삭제하고, 라우팅, 보안그룹및네트워크 ACL 파라미터를변경하며그밖에다른기능을수행하기위한호출은모두고객의 Amazon 보안액세스키를사용하여서명이이루어집니다. 이때 AWS 계정보안액세스키를사용하거나 AWS IAM 을이용해만든사용자의보안액세스키를사용할수도있습니다. 고객의보안액세스키에액세스하지않고서는고객을대신하여 Amazon VPC API 호출을생성할수없습니다. 또한, API 호출은기밀성을유지하기위해 SSL 로암호화할수있습니다. Amazon 은항상 SSL 로보호되는 API 끝점을사용하도록권장하고있습니다. AWS IAM 은또한고객이새로생성된사용자가권한을갖는 API 가운데어느것을호출할지를선택할수있게합니다.
서브넷및라우팅테이블 : 각 Amazon VPC 에하나이상의서브넷을만들수있습니다. Amazon VPC 에서시작되는각인스턴스는하나의서브넷에연결됩니다. MAC 스푸핑및 ARP 스푸핑등기존의계층 2 에대한보안공격이차단됩니다. Amazon VPC 의각서브넷은라우팅테이블하나씩과연결되어있으며, 서브넷에서전송되는모든네트워크트래픽은라우팅테이블에서목적지결정을위한처리를받게됩니다. 방화벽 ( 보안그룹 ): Amazon EC2 와마찬가지로 Amazon VPC 는인스턴스의진출입트래픽을모두필터링할수있는완전한방화벽솔루션을지원합니다. 기본그룹은동일한그룹내의다른구성원으로부터의인바운드통신과모든대상에대한아웃바운드통신을허용합니다. 트래픽은모든 IP 프로토콜, 서비스포트, 원본 / 대상 IP 주소 ( 개별 IP 또는 Classless Inter-Domain Routing(CIDR) 블록 ) 에의해제한될수있습니다. 방화벽은게스트운영체제를통해제어할수없으며, Amazon VPC API 호출을통해서만수정이가능합니다. AWS 는다양한인스턴스및방화벽관리기능에대해단계별액세스권한을부여하는기능을지원합니다. 따라서고객은역할분리를통해추가보안을구현할수있습니다. 방화벽에서제공하는보안수준은어느포트를어느기간동안어떤목적으로개방할것인지결정합니다. 정보기반의트래픽관리및보안설계가인스턴스별로필요합니다. AWS 에서는 IPtable 또는 Windows 방화벽과같은호스트기반방화벽이있는인스턴스별추가필터를사용할것을권장합니다. 그림 4: Amazon VPC 네트워크아키텍처
네트워크 ACL( 액세스제어목록 ): Amazon VPC 에보안계층을추가하기위해네트워크 ACL 을구성할수있습니다. 이네트워크 ACL 은 Amazon VPC 내서브넷에서인바운드또는아웃바운드하는모든트래픽에적용되는상태비저장트래픽필터입니다. 이러한 ACL 은 IP 프로토콜, 서비스포트, 원본 / 대상 IP 주소에따라트래픽을허용또는거부하는정렬된규칙도포함할수있습니다. 보안그룹과마찬가지로, 네트워크 ACL 은 Amazon VPC API 를통해서뿐만아니라추가적인보호계층과역할분리를통해추가보안을설정함으로써관리됩니다. 아래그림에서는위의보안관리기법이네트워크트래픽의흐름을완벽하게제어하는한편유연한네트워크토폴로지를구현할수있도록하기위해어떻게상호연관되는지를보여줍니다. 그림 5: 유연네트워크토폴로지 가상프라이빗게이트웨이 : 가상프라이빗게이트웨이를통해 Amazon VPC 와다른네트워크사이에프라이빗연결이가능합니다. 각가상프라이빗게이트웨이의네트워크트래픽은다른모든가상프라이빗게이트웨이의네트워크트래픽으로부터격리됩니다. 고객의프레미스에위치하는게이트웨이디바이스로부터가상프라이빗게이트웨이와 VPN 연결을설정할수있습니다. 각연결은고객게이트웨이장치의 IP 주소와관련된사전공유된키로보호됩니다.
인터넷게이트웨이 : 인터넷게이트웨이는 Amazon S3, 다른 AWS 서비스및인터넷에직접연결이가능하도록 Amazon VPC 에연결할수있습니다. 이러한접근이필요한각인스턴스는해당접근과관련된유동 IP 를보유하거나 NAT 인스턴스를통해트래픽을라우팅해야합니다. 또한, 인터넷게이트웨이로직접트래픽을보내도록네트워크경로를구성합니다 ( 위참조 ). AWS 는네트워크로깅, 정밀패킷검사, 애플리케이션계층필터링또는기타보안관리를수행하기위해확장이가능한참조 NAT AMI 를제공합니다. 이접근권한은 Amazon VPC API 호출을통해서만수정할수있습니다. AWS 는인스턴스및인터넷게이트웨이의서로다른관리기능에대한세부적인접근권한을부여하는기능을지원합니다. 따라서고객은역할구분을통해추가보안을구현할수있습니다. 전용인스턴스 : VPC 에서는고객이호스트하드웨어수준에서물리적으로분리된 Amazon EC2 인스턴스를시작할수있습니다 ( 이러한인스턴스는단일테넌트하드웨어에서실행됨 ). ' 전용 ' 테넌시를이용해 Amazon VPC 를생성할수있습니다. 그러면 Amazon VPC 에서시작되는모든인스턴스가이기능을사용합니다. 또는 ' 기본 ' 테넌시를이용해 Amazon VPC 를생성할수있습니다. 하지만이 Amazon VPC 에서시작되는특정인스턴스에대해전용테넌시를지정할수있습니다. ENI: 각 Amazon EC2 인스턴스는고객의 Amazon VPC 네트워크에서프라이빗 IP 주소로지정된기본네트워크인터페이스를갖습니다. 고객은 ENI( 엘라스틱네트워크인터페이스 ) 로알려진추가네트워크인터페이스를생성한후 Amazon VPC 의 Amazon EC2 인스턴스에연결하여인스턴스당총 2 개의네트워크인터페이스를사용할수있습니다. 네트워크인스턴스에복수의네트워크인터페이스를연결할경우관리네트워크를만들거나, Amazon VPC 에서네트워크및보안어플라이언스를사용하거나, 별도의서브넷에워크로드 / 역할이있는이중홈인스턴스를만들때유용합니다. 프라이빗 IP 주소, 엘라스틱 IP 주소, MAC 주소등 ENI 의속성은인스턴스와연결될때, 또는한인스턴스에서분리되어다른인스턴스로연결될때의 ENI 를따릅니다. Amazon VPC 에대한자세한내용은 AWS 웹사이트 (http://aws.amazon.com/ko/vpc/) 를참조하십시오. EC2-VPC 를통한추가네트워크액세스제어 AWS 가새 EC2-VPC 기능 ( 기본 VPC 라고도함 ) 을시작하기전에인스턴스를실행한적이없는리전에서인스턴스를시작할경우, 모든인스턴스가즉시사용가능한기본 VPC 에서자동으로프로비저닝됩니다. 고객은추가 VPC 를생성할수도있고, AWS 가 EC2-VPC 를시작하기전에이미인스턴스를실행한적이있는리전의인스턴스를위해 VPC 를생성할수도있습니다. 일반 VPC 를사용하여나중에 VPC 를생성하는경우 CIDR 블록을지정하고, 서브넷을생성하고, 생성한서브넷에대해라우팅및보안을입력하고, 서브넷중하나를인터넷과연결하려는경우인터넷게이트웨이또는 NAT 인스턴스를프로비저닝합니다. EC2 인스턴스를 EC2-VPC 에서시작할때이작업이대부분자동으로실행됩니다. EC2-VPC 를사용하여기본 VPC 에서인스턴스를시작하면 AWS 가다음작업을수행하여인스턴스를설정합니다. 각가용영역에서기본서브넷생성 인터넷게이트웨이를생성하여기본 VPC 와연결 인터넷으로향하는모든트래픽을인터넷게이트웨이로전송하는규칙을사용하여기본 VPC 에대한기본라우팅테이블생성 기본보안그룹을생성하여기본 VPC 와연결 네트워크 ACL( 액세스제어목록 ) 을생성하여기본 VPC 와연결 AWS 계정에서설정된기본 DHCP 옵션을기본 VPC 와연결
기본 VPC 가자체프라이빗 IP 범위를갖는이외에, 기본 VPC 의 EC2 인스턴스에도퍼블릭 IP 가할당됩니다. 다음표는 EC2-Classic, 기본 VPC, 그리고기본값아닌 VPC 에서시작되는인스턴스의차이점을요약한것입니다. 특성 EC2-Classic EC2-VPC( 기본 VPC) 일반 VPC 퍼블릭 IP 주소 인스턴스에퍼블 IP 주소가할당됩니다. 시작시다르게지정하지않은한, 기본서브넷에서시작한인스턴스에는기본적으로퍼블릭 IP 주소가할당됩니다. 시작시다르게지정하지않은한, 인스턴스에는기본적으로퍼블릭 IP 주소가할당되지않습니다. 프라이빗 IP 주소 인스터스를시작할때마다 EC2- Classic 범위내의프라이빗 IP 주소가할당됩니다. 인스터스를시작할때마다기본 VPC 범위내의사설프라이빗 IP 주소가할당됩니다. 인스터스를시작할때마다사용 VPC 범위내의프라이빗고정 IP 주소가할당됩니다. 다중프라이빗 IP 주소 AWS 가사용자의인스턴스를위해단일 IP 주소를선택합니다. 다중 IP 주소는지원하지않습니다. 인스턴스에다중프라이빗 IP 주소를할당할수있습니다. 인스턴스에다중프라이빗 IP 주소를할당할수있습니다. Elastic IP 주소 인스턴스를중지하면, EIP 는더이상그인스턴스와무관하게됩니다. 인스턴스를중지해도 EIP 는여전히그이슨턴스의 IP 입니다. 인스턴스를중지해도 EIP 는여전히그이슨턴스의 IP 입니다. DNS 호스트이름 기본적으로 DNS 호스트이름을사용하도록되어있습니다. 기본적으로 DNS 호스트이름을사용하도록되어있습니다. 기본적으로 DNS 호스트이름을사용하지않도록되어있습니다. 보안그룹 보안그룹에서다른 AWS 계정에속한보안그룹을참조할수있습니다. 보안그룹에서는사용자의 VPC 내보안그룹만참조할수있습니다. 보안그룹에서는사용자의 VPC 내보안그룹만참조할수있습니다. 보안그룹연결 보안그룹을변경하려면인스턴스를종료해야합니다. 실행중인인스턴스의보안그룹을변경할수있습니다. 실행중인인스턴스의보안그룹을변경할수있습니다. 보안그룹규칙 인바운드트래픽에만규칙을추가할수있습니다. 인바운드및아웃바운드모두에규칙을지정할수있습니다. 인바운드및아웃바운드모두에규칙을지정할수있습니다. 테넌시 인스턴스가공유된하드웨어에서실행됩니다. 단일테넌트하드웨어에서는인스턴스를실행할수없습니다. 공유된하드웨어나단일테넌트하드웨어에서인스턴스를실행할수있습니다. 공유된하드웨어나단일테넌트하드웨어에서인스턴스를실행할수있습니다. EC2-Classic 인스턴스의보안그룹은 EC2-VPC 인스턴스의보안그룹과약간다릅니다. 예를들어, EC2-Classic 의경우인바운드트래픽에대한규칙을추가할수있지만, EC2-VPC 의경우인바운드및아웃바운드트래픽모두에대한규칙을추가할수있습니다. EC2-Classic 에서는인스턴스가시작된후에는인스턴스에할당된보안그룹을변경할수없지만, EC2-VPC 에서는인스턴스가시작된후에도인스턴스에할당된보안그룹을변경할수있습니다. 또한 EC2-Classic 에서사용하기위해생성한보안그룹을 VPC 의인스턴스에서는사용할수없습니다. VPC 인스턴스전용으로보안그룹을생성해야합니다. VPC 용보안그룹에서사용하기위해생성한규칙은 EC2-Classic 용보안그룹을참조할수없으며그반대의경우도마찬가지입니다.
Amazon Direct Connect 보안 고객은처리량이높은전용연결을사용하여내부네트워크와 AWS 리전사이에직접링크를프로비저닝할수있습니다. 이전용연결을구성하면네트워크경로에서인터넷서비스공급자를우회하여 AWS 클라우드 ( 예 : Amazon EC2 및 Amazon S3) 와 Amazon VPC 로직접논리적연결을생성할수있습니다. 이서비스를사용하려면 AWS Direct Connect 위치와연결해야합니다. 각 AWS Direct Connect 위치는지리적으로가장가까운 AWS 리전으로연결할수있습니다. Direct Connect 솔루션업체는고객위치에서 AWS Direct Connect 위치까지연결을돕습니다. Amazon Simple Storage Service(Amazon S3) 보안 Amazon Simple Storage Service(S3) 를이용하면인터넷을통해언제어디서든데이터를업로드하고검색할수있습니다. Amazon S3 는데이터를버킷내에객체로저장합니다. 텍스트파일, 사진, 동영상및기타모든종류의파일이객체가될수있습니다. 파일을 Amazon S3 에추가할때원하는경우파일에메타데이터를포함하고파일에대한액세스제어권한을설정할수있습니다. 버킷각각에대해, 버킷에대한액세스를제어하고 ( 버킷에객체를만들고삭제하고확인하는등의작업을수행할수있는사용자지정 ) 버킷과버킷의객체에대한액세스로그를보고 Amazon S3 가버킷과버킷의콘텐츠를저장할지역을선택할수있습니다. 데이터액세스 Amazon S3 에저장된데이터에대한액세스는기본적으로제한됩니다. 버킷및객체소유자만자신이생성한 Amazon S3 리소스에액세스할수있습니다. ( 버킷 / 객체소유자는해당버킷 / 객체를만든사용자가아니라 AWS 계정소유자입니다.) 버킷및객체에대한액세스를제어하는방법은여러가지가있습니다. 자격증명및액세스관리 (IAM) 정책. 직원이여러명인조직은 AWS IAM 을통해하나의 AWS 계정에서여러사용자를생성하고관리할수있습니다. IAM 정책이사용자에게연결되어 AWS 계정내사용자의권한을중앙집중식으로관리할수있습니다. IAM 정책을사용하면자체 AWS 계정내의사용자에게만자체 Amazon S3 리소스에액세스할수있는권한을부여할수있습니다. ACL( 액세스제어목록 ). Amazon S3 에서 ACL 을사용하여사용자그룹에게버킷또는객체에대한읽기또는쓰기액세스권한을부여할수있습니다. ACL 을사용하면다른 AWS 계정 ( 특정사용자가아님 ) 에게만자체 Amazon S3 리소스에대한액세스권한을부여할수있습니다. 버킷정책. Amazon S3 의버킷정책은단일버킷내의일부또는모든객체에대해권한을추가또는거부하는데사용할수있습니다. 정책을사용자, 그룹또는 Amazon S3 버킷에연결해권한을중앙집중식으로관리할수있습니다. 버킷정책을사용하면자체 AWS 계정내사용자또는다른 AWS 계정내사용자에게 S3 리소스에액세스할수있는권한을부여할수있습니다. 액세스제어유형 AWS 계정수준제어? 사용자수준제어? IAM 정책 아니요 예 ACL 예 아니요 버킷정책 예 예
특정조건을기준으로특정리소스에대한액세스를추가로제한할수있습니다. 예를들어요청시간 ( 날짜조건 ), 요청이 SSL 을사용하여전송되었는지여부 ( 부울조건 ), 요청자의 IP 주소 (IP 주소조건 ), 또는요청자의클라이언트애플리케이션 ( 문자열조건 ) 을기준으로액세스를제한할수있습니다. 이들조건을식별하기위해정책키를사용합니다. Amazon S3 에서사용가능한작업별정책키에대한자세한정보는 Amazon Simple Storage Service 개발자안내서를참조하십시오. 또한 Amazon S3 는개발자에게쿼리문자열인증을사용할수있는옵션을제공합니다. 이옵션을사용하면개발자가사전정의된시간동안유효한 URL 을통해 Amazon S3 객체를공유할수있습니다. 쿼리문자열인증은통상적으로는인증이필요한리소스에 HTTP 또는브라우저액세스를부여할때유용합니다. 쿼리문자열내서명이요청을보호합니다. 데이터전송 보안을극대화하기위해 SSL 암호화엔드포인트를통해 Amazon S3 에안전하게데이터를업로드하거나다운로드할수있습니다. 암호화엔드포인트는인터넷과 Amazon EC2 내에서액세스할수있으므로데이터가 AWS 내부와 AWS 외부소스사이에서안전하게전송됩니다. 데이터저장 Amazon S3 는휴면상태의데이터를보호하기위한여러가지옵션을제공합니다. 직접암호화키를관리하려면 Amazon S3 암호화클라이언트와같은클라이언트암호화라이브러리를사용하여데이터를암호화한후 Amazon S3 에업로드할수있습니다. 반면 Amazon S3 에서암호화키를관리하도록하려면 Amazon S3 Server Side Encryption(SSE) 을사용할수있습니다. Amazon S3 SSE 를사용하면객체를기록할때별도의요청헤더를추가하는것만으로업로드시데이터를암호화할수있습니다. 암호해독은데이터를검색할때자동으로이루어집니다. 객체에포함되는메타데이터는암호화되지않습니다. 따라서 AWS 는 S3 메타데이터에중요한정보를포함시키지않을것을권장합니다. Amazon S3 SSE 는현재가장강력한블록암호중하나인 256 비트고급암호화표준 (AES-256) 을사용합니다. Amazon S3 SSE 를사용하면보호되는모든객체가고유한암호화키로암호화됩니다. 그러면이객체키가정기적으로교체되는마스터키를사용하여자체적으로암호화됩니다. Amazon S3 SSE 는암호화된데이터와암호화키를다른호스트에저장해보안을강화합니다. Amazon S3 SSE 에서는암호화요구사항도적용할수있습니다. 예를들어, 암호화된데이터만버킷에업로드해야하는버킷정책을생성해적용할수있습니다. 장기저장시 S3 버킷의콘텐츠를 Glacier 라고하는 AWS 의보관서비스에자동으로보관할수있습니다. S3 에어떤객체를언제 Glacier 에보관할것인지설명하는수명주기규칙을생성하여특정한간격으로데이터를 Glacier 에전송할수있습니다. 데이터관리전략의한부분으로객체를삭제하기위해 S3 에배치한후에얼마나오래기다려야하는지지정할수도있습니다. Amazon S3 에서객체하나를삭제하면이객체에대한공개이름의매핑이즉시제거되는데이작업은분산된시스템을대상으로일반적으로몇초이내에완료됩니다. 일단매핑이제거되면삭제된객체에원격으로접근할수없습니다. 이때사용된스토리지영역은시스템에서사용하기위해회수됩니다.
데이터내구성및신뢰성 Amazon S3 는연간 99.999999999% 의객체내구성과 99.99% 의가용성을제공하도록설계되었습니다. 객체는 Amazon S3 리전에서여러시설의다양한디바이스에중복저장됩니다. 내구성을보장하기위해 Amazon S3 PUT 및 COPY 작업으로고객데이터를여러시설에동기식으로저장한후에 SUCCESS 를반환합니다. 데이터가저장되면 Amazon S3 가손실된중복성을빠르게감지및복구하여객체의지속성을유지합니다. 또한 Amazon S3 는체크섬을사용해저장된데이터의무결성을정기적으로검사합니다. 손상이감지된경우중복데이터를사용하여복원합니다. 이외에도 Amazon S3 는데이터를저장또는검색할때모든네트워크트래픽에서체크섬을계산하여데이터패킷손상을감지합니다. Amazon S3 는버전관리를통해추가적인보호기능을제공합니다. 버전관리를사용하면 Amazon S3 버킷에저장된모든버전의모든객체를보존, 검색및복원할수있습니다. 또한, 의도하지않은사용자작업및애플리케이션장애로부터쉽게복구할수있습니다. 기본적으로요청을통해가장최근에기록된버전을검색합니다. 이전버전의객체는요청에버전을지정하여검색할수있습니다. Amazon S3 버전관리의 MFA 삭제기능을사용하여버전을추가로보호할수있습니다. S3 버킷에활성화되면각버전삭제요청에는멀티팩터인증디바이스의 6 자리코드와일련번호가포함되어있어야합니다. 액세스로그 Amazon S3 버킷은버킷과버킷내의객체에대한액세스를로그하도록설정할수있습니다. 액세스로그에는요청유형, 요청한자원, 요청자의 IP, 요청시간및날짜등각액세스요청에대한정보가포함됩니다. 버킷에대한로깅을선택하면, 로그기록이주기적으로로그파일내에추가되어지정된 Amazon S3 버킷으로전달됩니다. CORS(Cross-Origin Resource Sharing) S3 를사용하여정적웹페이지를호스팅하거나다른웹페이지가사용하는객체를저장하는 AWS 고객은 S3 버킷을교차원본요청을명시적으로활성화하도록구성하여안전하게로드할수있습니다. 최신브라우저는악성콘텐츠가평판이나쁜출처 ( 교차사이트스크립팅공격등 ) 에서로드되지않도록보장하는방법으로써동일원본정책을사용하여 JavaScript 또는 HTML5 가요청을통해다른사이트또는도메인에서콘텐츠를로드하지않도록차단합니다. 교차원본리소스공유 (CORS) 정책이활성화되면 S3 버킷에저장된웹폰트및이미지등의자산은외부웹페이지, 스타일시트및 HTML5 애플리케이션에서안전하게참조할수있습니다. AWS Glacier 보안 Amazon Glacier 서비스는 Amazon S3 와같이저렴하고안전하며내구성이뛰어난스토리지를제공합니다. 하지만 S3 가신속한검색을위해설계된반면 Glacier 는자주액세스하지않고검색시간이여러시간걸려도괜찮은데이터의보관서비스로사용할목적으로개발되었습니다. Amazon Glacier 는파일을아카이브단위로볼트내에저장합니다. 아카이브는사진, 동영상또는문서등모든데이터가될수있고하나또는여러개의파일이포함되어있을수있습니다. 단일볼트에아카이브를무제한저장할수있고리전당최대 1,000 개의볼트를생성할수있습니다. 각아카이브에최대 40TB 의데이터를포함할수있습니다.
데이터업로드 Amazon Glacier 볼트로데이터를전송하기위해단일업로드작업이나멀티파트작업으로아카이브를업로드할수있습니다. 단일업로드작업으로최대 4GB 크기의아카이브를업로드할수있습니다. 그러나고객은멀티파트업로드 API 를사용할경우 100MB 가넘는아카이브를업로드할수있어더나은결과를얻을수있습니다. 멀티파트업로드 API 를사용하면최대 40,000GB 가량의대형아카이브를업로드할수있습니다. 멀티파트업로드 API 호출은대용량아카이브에대한업로드환경을개선하기위해설계되었으며, 파트를아무순서대로동시에개별적으로업로드할수있습니다. 멀티파트업로드가실패할경우전체아카이브가아니라실패한파트만다시업로드하면됩니다. Glacier 에데이터를업로드할때에는트리해시를계산해공급해야합니다. Glacier 는해시가중간에바뀌지않았는지확인하기위해데이터와비교검사합니다. 트리해시는메가바이트크기의각데이터세그먼트에대한해시를계산한뒤데이터의인접세그먼트가증가하는것을나타내는트리방식으로해시를결합해생성됩니다. Amazon Glacier 에많은양의데이터를업로드해야하는고객은멀티파트업로드기능을사용하는대신 AWS Import/Export 서비스를사용하여데이터를전송하는방법을고려해볼수있습니다. AWS Import/Export 는데이터전송시이동식스토리지디바이스를사용하여 AWS 로간편하게많은양의데이터를이동할수있습니다. AWS 는인터넷을우회하는 Amazon 의고속내부네트워크를사용하여스토리지디바이스에서데이터를전송합니다. 특정한간격으로 Glacier 에데이터를전송하도록 S3 를설정할수도있습니다. S3 에서 Glacier 에어떤객체를언제보관할것인지설명하는수명주기규칙을생성할수있습니다. 객체를삭제하기위해 S3 에배치한후에얼마나오래기다려야하는지도지정할수있습니다. 더높은수준의보안을달성하기위해 SSL 암호화엔드포인트를통해 Amazon Glacier 에안전하게데이터를업로드하거나다운로드할수있습니다. 암호화엔드포인트는인터넷과 Amazon EC2 내에서액세스할수있으므로데이터가 AWS 내부와 AWS 외부소스사이에서안전하게전송됩니다. 데이터검색 Amazon Glacier 에서아카이브를검색하려면검색작업을시작해야하는데이작업은대체로 3~5 시간이면완료됩니다. 그러면바이트범위요청이포함된 HTTP GET 요청을통해데이터에액세스할수있습니다. 데이터는 24 시간동안사용가능한상태로유지됩니다. 바이트범위검색을사용하여검색요금을줄이거나없앨수있습니다. 바이트범위검색을사용하는경우는여러개의파일을집계하여단일아카이브로업로드했다가그파일중적은수를선택해검색해야하는경우인데이때필요한파일이들어있는아카이브의범위만을검색할수있습니다. 이유를불문하고아카이브조각을검색할때검색된범위와전체아카이브의트리해시와일치시키면제공된체크섬을사용하여파일의무결성을확인할수있습니다. 데이터저장 Amazon Glacier 는 AES-256 을사용하여데이터를자동으로암호화하고변경이불가능한형태로내구성을고려해저장합니다. Amazon Glacier 는아카이브에대해연평균 99.999999999% 의내구성을제공하도록설계되었습니다. 여러시설및여러디바이스에각아카이브를저장합니다. 어려운데이터검증및수동복구작업이필요할수있는일반적인시스템과달리 Glacier 는정기적이고체계적인데이터무결성검사를수행하며자동으로자가치유기능을실행하도록설계되어있습니다.
데이터액세스 계정을통해서만 Amazon Glacier 에서자신의데이터에액세스할수있습니다. Amazon Glacier 에서데이터액세스를제어하려면, AWS IAM 을사용하여계정내에서어떤사용자에게지정된볼트에대한작업권한이있는지지정합니다. AWS Storage Gateway 보안 AWS Storage Gateway 는온프레미스소프트웨어어플라이언스를클라우드기반스토리지에연결하는서비스로, IT 환경과 AWS 의스토리지인프라를원활하고안전하게통합할수있게해줍니다. 이서비스를사용하면 AWS 의확장가능하고안정적이고안전한 S3 스토리지서비스에데이터를안전하게업로드할수있으므로비용효율적인백업과신속한재해복구가가능합니다. AWS Storage Gateway 는데이터를사이트외부의 Amazon S3 에 Amazon EBS 스냅샷형태로투명하게백업합니다. Amazon S3 는이러한스냅샷을여러설비의여러디바이스에중복저장하고중복성손실을감지하여복구합니다. Amazon EBS 스냅샷은온프레미스에서복원하거나새로운 Amazon EBS 볼륨을인스턴스화하는데사용할수있는지정시점백업을제공합니다. 데이터는지정한단일리전에저장됩니다. AWS Storage Gateway 는두가지옵션을제공합니다. 게이트웨이저장볼륨 ( 클라우드가백업되는경우 ). 이옵션에서는볼륨데이터가로컬로저장된다음 Amazon S3 로푸시되고중복암호화된형태로저장되며 Elastic Block Store(EBS) 스냅샷의형태로사용가능하게됩니다. 이모델을사용하면온프레미스스토리지가기본이기때문에전체데이터세트에지연시간이낮은액세스를제공하고클라우드스토리지가백업이됩니다. 게이트웨이캐싱볼륨 ( 클라우드가기본인경우 ). 이옵션에서는볼륨데이터가 Amazon S3 에암호화되어저장되고 iscsi 인터페이스를통해엔터프라이즈의네트워크내에표시됩니다. 최근에액세스한데이터는지연시간이낮은로컬액세스를위해온프레미스에캐싱됩니다. 이모델을사용하면클라우드스토리지가기본이지만온프레미스에서캐싱된볼륨에설정된활성작동세트에대한지연시간이낮은액세스를얻을수있습니다. 어떤옵션을선택하든데이터는온프레미스스토리지하드웨어에서 SSL 을통해 AWS 로비동기식으로전송됩니다. 256 비트암호화키를사용하는대칭키암호화표준인 AES(Advanced Encryption Standard) 256 을사용하여데이터가암호화되어 Amazon S3 에저장됩니다. 변경된데이터만을업로드하기때문에인터넷을통한데이터전송량을최소화할수있습니다. AWS Storage Gateway 는 VMware ESXi Hypervisor v 4.1 또는 v 5 또는 Microsoft Hyper-V( 설정프로세스중에 VMware 소프트웨어다운로드 ) 를실행하는데이터센터에호스트로배포하는가상머신 (VM) 으로실행됩니다. 해당가상머신에 iscsi(internet Small Computer System Interface) 스토리지볼륨 ( 대상 ) 을생성할수있습니다. 온프레미스애플리케이션 ( 이니시에이터 ) 이이에접속하여데이터를저장하면, 데이터가 AWS 로업로드됩니다. 설치하고구성하는동안게이트웨이당최대 12 개의 iscsi 스토리지볼륨을만들수있습니다. 설치하면각게이트웨이는업데이트와패치를자동으로다운로드, 설치및배포합니다. 이작업은게이트웨이별로설정된유지관리기간동안일어납니다.
iscsi 프로토콜은 CHAP(Challenge-Handshake 인증프로토콜 ) 을통한대상과이니시에이터간인증을지원합니다. CHAP 은주기적으로 iscsi 이니시에이터의 ID 를스토리지볼륨대상에액세스하기위해인증된것으로확인하여중간자및재생공격으로부터보호합니다. CHAP 를설정하려면 AWS Storage Gateway 콘솔및대상에연결하기위해사용된 iscsi 이니시에이터소프트웨어모두에구성해야합니다. AWS Storage Gateway VM 을배포한다음 AWS Storage Gateway 콘솔을사용하여게이트웨이를활성화해야합니다. 정품인증프로세스는게이트웨이와 AWS 계정을연결합니다. 이연결을설정하면콘솔에서게이트웨이의거의모든측면을관리할수있습니다. 정품인증하는동안게이트웨이의 IP 주소및이름, 스냅샷백업을저장할 AWS 리전및게이트웨이시간대를지정합니다. AWS Import/Export 보안 AWS Import/Export 는 AWS S3 또는 EBS 스토리지에대량의데이터를물리적으로전송하는간단하고안전한메서드입니다. 이서비스는대체로데이터가 100GB 를초과하거나연결속도가느려인터넷을통한전송속도가느린고객이사용합니다. AWS Import/Export 를사용하면안전한 AWS 시설로배송하는휴대용스토리지디바이스를준비할수있습니다. AWS 는 Amazon 의고속내부네트워크를사용하여스토리지디바이스에서데이터를전송함으로써인터넷을우회합니다. 반대로, 데이터는 AWS 에서휴대용스토리지디바이스로내보낼수도있습니다 AWS Import/Export 서비스는다른모든 AWS 서비스와마찬가지로스토리지디바이스를안전하게식별및인증해야합니다. 이경우 Amazon S3 버킷, Amazon EBS 리전, AWS 액세스키 ID, 반품배송주소를포함한작업요청을 AWS 에전송합니다. 사용자는해당작업의고유식별자, 디바이스인증을위한디지털서명, 스토리지디바이스를배송할 AWS 주소를받게됩니다. Amazon S3 의경우디바이스의루트디렉토리에서명파일을저장합니다. Amazon EBS 의경우디바이스외부에서명바코드를테이프로부착합니다. 서명파일은인증에만사용되고 S3 또는 EBS 에업로드되지않습니다. S3 로전송하려면고객이데이터를업로드해야하는특정버킷을지정하고로드를하고있는계정이버킷쓰기권한이있는지확인해야합니다. 또한 S3 에로드된각객체에적용할액세스제어목록을지정해야합니다. EBS 에전송하려면 EBS 가져오기작업을위한대상리전을지정합니다. 스토리지디바이스가최대볼륨크기인 1TB 보다작거나같으면해당콘텐츠가직접 Amazon EBS 스냅샷으로로드됩니다. 스토리지디바이스용량이 1TB 를초과하는경우지정된 Amazon S3 로그버킷내에디바이스이미지가저장됩니다. 그러면 Logical Volume Manager 와같은소프트웨어를사용해 Amazon EBS 볼륨의 RAID 를만들고이미지를 Amazon S3 에서이새로운볼륨으로복사할수있습니다. 업로드가완료된후 AWS 가스토리지디바이스의콘텐츠를삭제하게하려는지여부를지정할수있습니다. 이옵션을선택하면스토리지디바이스의쓰기가능한모든블록이 0 으로덮어쓰기됩니다. 디바이스가지워진후에는디바이스를다시파티셔닝하고포맷해야합니다. 디바이스를국제배송할경우 AWS 에전송되는매니페스트파일에세관옵션및특정필수하위필드가필요합니다. AWS Import/Export 는이러한값을사용하여인바운드배송을검증하고아웃바운드세관서류를준비합니다. 이옵션중두가지는디바이스에저장된데이터가암호화되었는지여부와암호화소프트웨어의분류입니다. 미국내외로암호화된데이터를배송하는경우미국수출관리규정 (United States Export Administration Regulations) 에따라암호화소프트웨어를 5D992 로분류해야합니다.
AWS Data Pipeline AWS Data Pipeline 서비스는데이터중심워크플로우및기본제공되는종속성확인기능을사용하여여러데이터소스간에지정된간격으로데이터를안정적으로처리하고이동할수있도록도와줍니다. 파이프라인을생성하면데이터소스, 전제조건, 대상, 처리단계및운영일정을정의하게됩니다. 파이프라인을정의및활성화하면지정한일정에따라자동으로실행됩니다. AWS Data Pipeline 을사용하면리소스가용성확인, 작업간종속성관리, 일시적실패 / 시간초과로인한개별작업재시도, 실패알림생성시스템등에대해염려하지않아도됩니다. AWS Data Pipeline 은파이프라인이데이터를처리하는데필요한 AWS 서비스및리소스 ( 예 : Amazon EC2 또는 EMR) 를시작하고스토리지 ( 예 : Amazon S3, RDS, DynamoDB 또는 EMR) 에결과를전송하는일을담당합니다. 콘솔을사용하는경우 AWS Data Pipeline 이신뢰할수있는필요한엔터티목록등의 IAM 역할및정책을생성합니다. IAM 역할은파이프라인이액세스할수있는것과수행할수있는작업을결정합니다. 또한파이프라인이 EC2 인스턴스등의리소스를생성하면 IAM 역할이 EC2 인스턴스의허용된리소스및작업을결정합니다. 파이프라인을생성하면파이프라인을통제하는 IAM 역할하나와파이프라인의리소스를통제하는또다른 IAM 역할 (" 리소스역할 " 이라함 ) 을지정하는데두가지모두같은역할일수있습니다. 최소권한부여방식의보안모범사례의한부분으로파이프라인이작업을수행하고이에따라 IAM 역할을정의하는데필요한최소권한을고려하는것이좋습니다. 대부분의 AWS 서비스와마찬가지로, AWS Data Pipeline 도 SSL 을통한액세스를위해안전 (HTTPS) 엔드포인트옵션을제공합니다. Amazon Simple Database(SimpleDB) 보안 Amazon SimpleDB 는데이터베이스관리작업부담을덜어주어웹서비스요청을통해데이터항목을간단하게저장및쿼리할수있는비관계형데이터스토리지입니다. Amazon SimpleDB 는여러지역에분산된데이터복제본을자동으로생성및관리하여높은가용성과데이터내구성을확보합니다. Amazon SimpleDB 의데이터는도메인에저장되며여러도메인에서기능을수행할수없다는점을제외하면데이터베이스테이블과유사합니다. Amazon SimpleDB API 는도메인생성자에게허가된접근만허용하는도메인차원의제어기능을제공합니다. 따라서사용자데이터에대한접근권을갖는사용자들에대한통제권한을사용자가갖습니다. Amazon SimpleDB 는자체적으로리소스기반권한시스템을제공하지않습니다. 하지만서비스가 AWS IAM 과통합되어있으므로사용자는 AWS 계정의다른사용자에게 AWS 계정내 Amazon SimpleDB 도메인에대한액세스권한을부여할수있습니다. 각개별도메인에대한액세스권한은인증된사용자를고객이소유한도메인에매핑한별도의 ACL 을통해관리됩니다. AWS IAM 을이용하여생성한사용자는정책에따라권한이부여된작업과도메인에만액세스할수있습니다. 또한 SimpleDB 서비스에대한각요청에는유효한 HMAC-SHA 서명이포함되어있어야하며, 그렇지않은경우요청이거부됩니다. AWS SDK 중하나를사용하여 Amazon SimpleDB 에액세스하는경우 SDK 가사용자대신인증프로세스를처리합니다. 그렇지만 REST 요청을사용하여 Amazon SimpleDB 에액세스하는경우사용자는 AWS 액세스키 ID, 유효한 HMAC-SHA 서명 (HMAC-SHA1 또는 HMAC-SHA256 중하나 ) 및타임스탬프를제공해야요청에대한인증을받을수있습니다. AWS 는사용자의액세스키 ID 를사용하여보안액세스키를검색하고요청에전송된서명을계산하는데사용하는동일한알고리즘을사용하여요청데이터및보안액세스키로부터서명을생성합니다. AWS 에서생성된서명이사용자가요청을통해보낸서명과일치하는경우요청이인증된것으로간주됩니다. 서명이일치하지않는경우요청이삭제되고 AWS 는오류를반환합니다.
Amazon SimpleDB 는 SSL 로암호화된엔드포인트를통해액세스할수있습니다. 이암호화된엔드포인트에는인터넷과 Amazon EC2 에서모두액세스할수있습니다. Amazon SimpleDB 에저장된데이터는 AWS 에서암호화하지않습니다. 그러나고객은 Amazon SimpleDB 에업로드하기전에데이터를암호화할수있습니다. 이와같이암호화된속성은 Get 작업을통해서만검색할수있으며, 쿼리필터링조건으로는사용할수없습니다. Amazon SimpleDB 에전송하기전에데이터를암호화하면 AWS 를포함한어떤장치에서든중요한고객데이터에접근하지못하도록보호합니다. Amazon SimpleDB 에서도메인하나를삭제하면이도메인에대한매핑이즉시제거되는데이작업은분산된시스템을대상으로일반적으로몇초이내에완료됩니다. 일단매핑이제거되면삭제된도메인에원격으로액세스할수없습니다. 항목과속성데이터를도메인에서삭제하면도메인내의매핑이즉시제거되며이작업도일반적으로몇초이내에완료됩니다. 일단매핑이제거되면삭제된데이터에원격으로액세스할수없습니다. 저장영역은쓰기작업에만사용할수있으며, 데이터는새로저장한데이터로업데이트됩니다. Amazon SimpleDB 에저장된데이터는정규서비스작업의일부로추가비용없이여러물리적위치에중복저장됩니다. Amazon SimpleDB 는초기쓰기과정에서여러가용영역에객체를여러번저장하여객체의내구성을제공하고이후에디바이스를사용할수없거나비트손상 (bit-rot) 이감지될경우에대비하여추가로복제하는적극적인조치를취합니다. Amazon DynamoDB 보안 Amazon DynamoDB 는완벽하게관리되는 NoSQL 데이터베이스서비스로서원활한확장성과함께빠르고예측가능한성능을제공합니다. Amazon DynamoDB 를통해분산데이터베이스를운영하고 AWS 로조정하는데따른관리부담에서벗어날수있으며, 하드웨어프로비저닝, 설정및구성, 복제, 소프트웨어패치또는클러스터조정에대해서도걱정할필요가없습니다. 데이터규모에관계없이데이터를저장및검색하고, 어떤수준의요청트래픽이라도처리할수있는데이터베이스테이블을생성할수있습니다. DynamoDB 는테이블의데이터와트래픽을충분한수의서버로자동분산하여지정된요청용량과저장된데이터양을처리하면서도일관되고빠른성능을유지합니다. 모든데이터항목이 SSD(Solid State Drive) 에저장되고리전의여러가용영역에걸쳐자동복제되기때문에확실한고가용성과데이터내구성을보여줍니다. Amazon DynamoDB 는자체적으로리소스기반권한시스템을제공하지않습니다. 하지만서비스가 AWS IAM Security Token Service 와통합되어있으므로사용자는 AWS 계정의다른사용자에게 AWS 계정내 Amazon DynamoDB 테이블에대한액세스권한을부여할수있습니다. 각개별테이블에대한액세스권한은인증된사용자를고객이소유한테이블에매핑한별도의 ACL 을통해관리됩니다. AWS IAM 을이용하여생성한사용자는정책에따라권한이부여된작업과테이블에만액세스할수있습니다. Amazon DynamoDB 를사용하려면사용자가인증프로세스가신속하고효율적으로진행될수있도록 AWS Security Token Service 로부터자격증명을얻어야합니다. AWS Security Token Service 가임시보안자격증명을생성하면자격증명이얼마나오래유효한지지정할수있습니다. 보안상의이유로 AWS 계정의루트자격증명에대한보안토큰의수명은 1 시간으로제한됩니다. 단, IAM 사용자의임시자격증명또는 IAM 사용자가검색하는연동된사용자자격증명은최대 36 시간동안유효할수있습니다.
또한 DynamoDB 서비스에대한각요청에는유효한 HMAC-SHA256 서명이포함되어야하며, 포함되지않은경우요청이거부됩니다. AWS SDK 는자동으로요청에서명하고 Amazon DynamoDB 에필요한 AWS Security Token Service 자격증명을관리합니다. 하지만사용자가자체적으로 HTTP POST 요청을작성하려는경우 Amazon DynamoDB 에대한요청헤더에서명을제공해야합니다. 서명을계산하려면 AWS Security Token Service 에임시보안자격증명을요청해야합니다. 임시보안자격증명을사용하여 Amazon DynamoDB 에대한요청에서명합니다. Amazon DynamoDB 는 SSL 로암호화된엔드포인트를통해액세스할수있습니다. 이암호화된엔드포인트에는인터넷과 Amazon EC2 에서모두액세스할수있습니다. Amazon Relational Database Service(Amazon RDS) 보안 Amazon RDS 를통해관계형데이터베이스 (DB) 인스턴스를신속하게만들고, 애플리케이션요구에맞춰관련컴퓨팅리소스및스토리지용량을유연하게확장할수있습니다. Amazon RDS 는백업수행, 장애조치처리, 및데이터베이스소프트웨어유지관리를통해고객을대신하여데이터베이스인스턴스를관리합니다. 현재 Amazon RDS 는 MySQL, Oracle 또는 Microsoft SQL Server 데이터베이스엔진에사용할수있습니다. Amazon RDS 에는 DB 보안그룹, 사용권한, SSL 연결, 자동화된백업, DB 스냅샷, 다중 AZ 배포를포함해중요한프로덕션데이터베이스의안정성을높여주는여러가지기능이있습니다. DB 인스턴스는추가네트워크격리를위해 Amazon VPC 에도배포할수있습니다. 액세스제어 Amazon RDS 내에서처음 DB 인스턴스를생성할경우 DB 인스턴스에대한액세스를제어하기위해 Amazon RDS 컨텍스트안에서만사용되는마스터사용자계정을만듭니다. 마스터사용자계정은모든데이터베이스권한을사용하여 DB 인스턴스에로그인할수있도록허용하는기본데이터베이스사용자계정입니다. DB 인스턴스를만들때각 DB 인스턴스에연결할마스터사용자이름과암호를지정할수있습니다. DB 인스턴스를만들면마스터사용자자격증명을사용하여데이터베이스에연결할수있습니다. 그다음으로 DB 인스턴스에액세스가능한사용자를제한할수있도록추가사용자계정을생성할수있습니다. Amazon EC2 보안그룹과비슷하지만동일하게사용할수없는 DB 보안그룹을통해 Amazon RDS DB 인스턴스를제어할수있습니다. DB 보안그룹은 DB 인스턴스에대한네트워크액세스를제어하는방화벽과비슷한역할을합니다. 데이터베이스보안그룹기본값은 ' 모두거부 ' 액세스모드입니다. 따라서고객이네트워크진입을명확하게허가해야만합니다. 이를위한두가지방법은일정한네트워크 IP 범위를허가하거나기존 Amazon EC2 보안그룹을허가하는것입니다. DB 보안그룹은데이터베이스서버포트 ( 다른모든포트는차단됨 ) 에대한액세스를허용하고 Amazon RDS DB 인스턴스를다시시작하지않고도업데이트할수있습니다. 이렇게하면고객이자신의데이터베이스액세스권한을원활하게제어할수있습니다. AWS IAM 을사용하여 RDS DB 인스턴스에대한액세스를추가로제어할수있습니다. AWS IAM 을사용하면개별사용자가어떤 RDS 작업을호출할수있는지제어할수있습니다. 네트워크격리 추가네트워크액세스제어를위해 Amazon VPC 에서 DB 인스턴스를실행할수있습니다. Amazon VPC 에서는사용하려는 IP 범위를지정하여 DB 인스턴스를분리하고, 업계표준암호화방식의 IPsec VPN 을사용하여기존 IT 인프라에접속할수있습니다. 현재 Amazon VPC 기능은 MySQL DB 엔진에서만사용할수있습니다.
VPC 에서 Amazon RDS 를실행하면프라이빗서브넷내에 DB 인스턴스를만들수있습니다. 가상프라이빗게이트웨이를설정해사내네트워크를 VPC 로확장하여해당 VPC 의 RDS DB 인스턴스에액세스할수있도록하는방법도있습니다. 자세한내용은 Amazon VPC User Guide 를참조하십시오. 다중 AZ 배포의경우, 특정리전의모든가용영역에서브넷을정의하면 Amazon RDS 가필요한경우다른가용영역에새로운예비복제본을만들수있습니다. VPC 에서 RDS DB 인스턴스에대해지정할수있는서브넷의모음인 DB 서브넷그룹을생성할수있습니다. 각 DB 서브넷그룹에는특정리전의가용영역마다하나이상의서브넷이있어야합니다. 이경우 VPC 에 DB 인스턴스를생성하면 DB 서브넷그룹을선택하게됩니다. 그러면 Amazon RDS 가해당 DB 서브넷그룹및원하는가용영역을사용하여해당서브넷내에서서브넷과 IP 주소를선택합니다. Amazon RDS 가엘라스틱네트워크인터페이스를만든다음해당 IP 주소를가진 DB 인스턴스에연결합니다. Amazon VPC 에배포된 DB 인스턴스는인터넷에서액세스하거나 VPN 또는퍼블릭서브넷에서실행할수있는배스천호스트를통해 VPC 외부의 Amazon EC2 인스턴스에서액세스할수있습니다. 배스천호스트를사용하려면 SSH 접속역할을하는 EC2 인스턴스를사용하여퍼블릭서브넷을설정해야합니다. 이퍼블릭서브넷은 SSH 호스트를통해트래픽을제어할수있는인터넷게이트웨이또는라우팅규칙이필요합니다. 또한, SSH 호스트에서 Amazon RDS DB 인스턴스의프라이빗 IP 주소로요청을전달할수있어야합니다. DB 보안그룹을사용하면 Amazon VPC 의 DB 인스턴스를보호할수있습니다. 또한네트워크각서브넷에출입하는네트워크트래픽은네트워크 ACL 를통해허용하거나거부할수있습니다. IPsec VPN 연결을통해 Amazon VPC 에출입하는모든네트워크트래픽은네트워크방화벽, 침입탐지시스템등온프레미스보안인프라에서모니터링할수있습니다. 암호화 SSL 을사용하여애플리케이션과 DB 인스턴스사이의연결을암호화할수있습니다. MySQL 및 SQL Server 의경우 RDS 가 SSL 인증서를생성하고, 인스턴스가프로비저닝되면 DB 인스턴스에인증서를설치합니다. MySQL 의경우연결을암호화하기위해 --ssl_ca 파라미터를사용해 mysql 클라이언트를시작하고퍼블릭키를참조합니다. SQL Server 의경우퍼블릭키를다운로드하고 Windows 운영체제로인증서를가져오십시오. Oracle RDS 는 DB 인스턴스와함께 Oracle 기본네트워크암호화를사용합니다. 옵션그룹에기본네트워크암호화옵션을추가하고해당옵션그룹을 DB 인스턴스와연결하기만하면됩니다. 암호화된연결이설정되면 DB 인스턴스와애플리케이션간에전송되는데이터는전송중에암호화됩니다. DB 인스턴스에서암호화된연결만허용하도록요구할수있습니다. 데이터베이스에 상주 해있는 MySQL 또는 SQL Server 데이터를암호화해야하는경우애플리케이션이데이터의암호화및복호화를관리해야합니다. Amazon RDS 는 Oracle Enterprise Edition 에서지원되는 Oracle Advanced Security 옵션의기능인 Oracle Transparent Data Encryption(TDE) 을지원합니다. 이기능은스토리지에데이터를쓰기전에자동으로데이터를암호화한뒤에스토리지에서읽을때다시자동으로해독합니다. Amazon RDS 내에서 SSL 지원은애플리케이션과 DB 인스턴스간에연결을암호화하기위한것으로, DB 인스턴스자체를인증하기위한용도로사용해서는안됩니다. SSL 은보안이점을제공하지만 SSL 암호화는컴퓨팅중심의작업이며데이터베이스연결의지연시간을늘립니다. MySQL 에서 SSL 을사용하는방법에대한자세한내용은여기에있는 MySQL 문서를직접참조하십시오. SSL 이 SQL Server 와연동되는방식에대한자세한내용은 RDS 사용설명서에서자세히알아볼수있습니다.
자동백업및 DB 스냅샷 Amazon RDS 는 DB 인스턴스백업및복구를위한두가지방법, 즉자동백업및데이터베이스스냅샷 (DB 스냅샷 ) 을제공합니다. Amazon RDS 의백업자동화기능은기본적으로활성화되어있으며, 이를통해 DB 인스턴스에대한지정시간복구가가능합니다. Amazon RDS 는데이터베이스및트랜잭션로그를백업하고두로그를모두사용자가지정한보존기간동안저장합니다. 이를통해 DB 인스턴스를보존기간중어느시점 ( 초 ) 으로나복원할수있습니다 ( 마지막 5 분까지가능 ). 자동백업보존기간은최대 35 일로구성할수있습니다. 백업기간중에데이터가백업되는동안스토리지 I/O 가일시적으로중단될수있습니다. 이 I/O 일시중단시간은일반적으로몇분정도걸립니다. 다중 AZ DB 배포를사용하면백업이예비복제본에서수행되므로이처럼 I/O 가일시중단되는문제를방지할수있습니다. DB 스냅샷은사용자가시작한 DB 인스턴스백업입니다. 이러한전체데이터베이스백업은사용자가명시적으로삭제할때까지는 Amazon RDS 에저장됩니다. 원하는경우언제나 DB 스냅샷에서새 DB 인스턴스를생성할수있습니다. 복제 Amazon RDS 는서로다르지만상호보완적인두가지복제기능, 즉다중가용영역 ( 다중 AZ) 배포및읽기전용복제본을제공합니다. 다중 AZ 배포와읽기전용복제본을함께사용하면데이터베이스가용성이향상되고, 예기치않은정전에대비해최신데이터베이스업데이트를보호할수있습니다. 또한, 단일 DB 인스턴스의용량을한도이상으로확장해, 읽기중심의데이터베이스워크로드도원활히처리할수있습니다. 현재다중 AZ 배포및읽기복제본은 MySQL 데이터베이스엔진에서지원됩니다. 자세한내용은 MySQL 용 Amazon RDS 를참조하십시오. 자동소프트웨어패치 Amazon RDS 는최신패치를통해배포를지원하는관계형데이터베이스소프트웨어가최신상태로유지되도록합니다. 필요한경우제어가능한유지관리기간중에패치를적용합니다. Amazon RDS 유지관리기간은요청이나필요에따라 DB 인스턴스를수정 (DB 인스턴스클래스확장등 ) 하거나소프트웨어패치를적용하는시기를조정할수있는기간입니다. 유지관리 작업이특정주에예정되어있는경우, 사용자가지정하는 30 분의유지관리기간중특정시점에시작되고완료됩니다. 스케일계산작업 ( 일반적으로시작에서완료까지몇분밖에걸리지않음 ) 또는필수소프트웨어패치적용시에만 Amazon RDS 가 DB 인스턴스를오프라인으로설정합니다. 필수패치적용은보안및내구성과관련된패치에대해서만자동으로예약됩니다. 이러한패치적용은자주발생하는것은아닙니다 ( 일반적으로몇달에한번 ). 또한유지관리시간에서차지하는비중도크지않습니다. DB 인스턴스를만들때기본주별유지관리기간을지정하지않으면 30 분이기본값으로지정됩니다. 사용자를대신해자동으로유지관리를수행하는시기를수정하려면 AWS Management Console 에서 DB 인스턴스를수정하거나 ModifyDBInstance API 를사용하면됩니다. 원하는경우각 DB 인스턴스에서로다른기본유지관리기간을설정할수있습니다. DB 인스턴스를다중 AZ 배포로실행하면유지관리작업으로인한영향을더욱줄일수있습니다. Amazon RDS 는 1) 대기목록에서유지관리수행, 2) 대기목록을기본목록으로승격, 3) 이전에기본목록이었지만현재는새로운대기목록인유지관리를수행하는단계로유지관리를실행하기때문입니다.