On-Premise vs AWS 보안관련가장많은질문 이상오 SA GS 네오텍 @renjoy www.cloudsec.com
CLOUD SECURITY CHALLENGES
CLOUD MARKET 약 45% 차지
CLOUD INVESTMENTS 38% 50% Organizations invest more than 15% of all IT in cloud IT infrastructure 21% 12% 13% 9% 7% 0% 1-15% 16-25% 26-50% 51-75% +75% Share of cloud relative to overall IT investment Datasource : Cloud Security Spotlight report 2016 by cloudpassage
CLOUD 도입장벽 #1 #2 #3 #4 #5 53% 42% 40% 35% 26% General security risks Legal & regulatory compliance Data loss & leakage risks Integration with existing IT environments Lack of expertise 8%p.p. 13%p.p. 1%p.p. 6%p.p. 10%p.p. from last year from last year from last year from last year from last year Datasource : Cloud Security Spotlight report 2016 by cloudpassage
클라우드에서가장큰보안위협 #1 #2 #3 #4 11001010110010101 010PASSWORD10 11001010110010101 11001010110010101 53% Unauthorized access 44% Hijacking of accounts 39% Insecure interfaces/apis 33% External sharing of data Datasource : Cloud Security Spotlight report 2016 by cloudpassage
SECURITY RISKS IN THE CLOUD VS ON-PREMISE 22% Lower risk of security breaches compared to on-premise Significantly lower (7%) Somewhat lower (15%) About the same 21% Higher risk of security breaches compared to on-premise Significantly higher (5%) Somewhat higher (16%) 0% unchanged Datasource : Cloud Security Spotlight report 2016 by cloudpassage Not sure 7% p.p. from last year
THE MOST FREQUENT QUESTION
Q #1 : AWS 클라우드 IDC 에현재사용중인 IPS/IDS 장비를넣을수있나요?
Q #1 : AWS 클라우드 IDC 에현재사용중인 IPS/IDS 장비를넣을수있나요? A : AWS 는외부인프라인입및어떠한출입도허용하지않습니다. AWS 인프라구성정보 해당인프라위치정보 비공개 물리적인프라정보제공및출입통제
Q #2 : AWS 환경에도 IPS/IDS/WAF 와같은보안솔루션을사용할수있나요?
Q #2 : AWS 환경에서 IPS/IDS/WAF 와같은보안솔루션을사용할수있나요? A : 사용할수있습니다. AWS 는 Maket(http://aws.amazon.com/marketplace) 을통해다양한 3rd Party 솔루션을제공하고있습니다. 이중에는 IPS / IDS / WAF / DB 접근제어솔루션도포함하고있습니다.
Q #3 : 내부보안정책상 ON-PREMISE 상의 IPS/IDS 를통해트래픽을처리되어야하는데, 어떻게하나요?
Q #3 : 내부보안정책상 ON-PREMISE 상의 IPS/IDS 를통해트래픽을처리되어야하는데, 어떻게하나요? A : AWS 를서비스의 Back-end 로구성하여, 고객사의네트웍 / 보안규정을적용할수있습니다. 인터넷 AWS 리전 데이터센터 고객별 ( 보안, 규정 ) 적용계층 (DMZ) App 계층 DB 계층 Direct Connect / VPN Web 계층 S3
Q #4 : AWS 환경에서네트워크트래픽에대해로깅을할려면어떻게해야하나요?
Q #4 : AWS 환경에서네트워크트래픽에대해로깅을할려면어떻게해야하나요? A : 특정 VPC 에서 Flow Logs 를사용하여 VPC 서브넷과 Elastic Network Interface(ENI) 의네트워크트래픽에대해로깅할수있습니다.
Q #5 : AWS 에서제공하는보안기능은어떤것들이있나요?
네트워크 물리적 Q #5 : AWS 에서제공하는보안기능은어떤것들이있나요? AWS 컴플라이언스프로그램 AWS 물리적출입통제 SECURITY GROUP VPC NACL SERVICE CATALOG CONFIG IAM(MFA/ROLE) CLOUD WATCH LOGS CLOUD TAIL 시스템보안 VPC FLOW LOG BASTION HOST / NAT HTTPS / SSL / TLS KMS CLOUD HSM CLOUD TAIL 데이터보안
네트워크보안 AWS VPC (Virtual Private Cloud) 방화벽 NACL, Security Group VPC Flow Logs( 방화벽로그 ) Managed NAT AWS WAF 웹요청필터링 IP, 문자열,SQL injection Amazon Cloudfront 연계 대쉬보드
시스템보안 AWS CloudTrail Amazon CloudWatch AWS IAM 모든리전에대한일괄활성화 무결성 & 암호화 Archive & Forward Amazon CloudWatch Logs 메트릭 & 필터 경보 & 통지 SMS 기반 MFA Policy Simulator Console Search
데이터보안 AWS KMS 타 AWS 서비스들과연계 CloudTrail 연계 AWS SDK for application encryption Amazon CloudHSM 전용 HSM on-premises HSM 장비와연계 하이브리드아키텍쳐 SafeNet 의 Luna SA HSM 을사용 Encrypted DATA ServerSide Encryption 지원 ClientSide Encryption 지원 AWS KMS 와연동지원
Q #6: Autoscaling 을사용했을때, Scale-Out 된서버가 Scale-In 될때로그를어떻게보관해야하나요?
Q #6: Autoscaling 을사용했을때, Scale-Out 된서버가 Scale-In 될때로그를어떻게보관해야하나요? A : AWS 는필요한로그저장을위해 Cloud Watch Logs 라는인터페이스를제공합니다. 사용하는 Cloud Watch Logs 를통해, 필요한보안 / 서비스 /Application 로그를 S3 저장할수있습니다. Data Source : AWS Blog(https://aws.amazon.com/blogs/aws/cloudwatch-log-service/)
[ 수집된로그리스트 ] Data Source : AWS Blog(https://aws.amazon.com/blogs/aws/cloudwatch-log-service/)
[ Metric Filter 설정 ] Data Source : AWS Blog(https://aws.amazon.com/blogs/aws/cloudwatch-log-service/)
[ Alarm 설정 ] Data Source : AWS Blog(https://aws.amazon.com/blogs/aws/cloudwatch-log-service/)
CloudWatch Logs 이용 Architecture EC2 Log Agent EC2 Log Agent Amazon Linux Config EC2 Ubuntu Linux Log Agent EC2 CloudWatch Logs CloudWatch 지표 Windows RHEL virtual private cloud CloudWatch Alarm SNS
Q #7: 파일시스템레벨의암호화를지원하나요?
Server Side Encryption Your applications in your data center HTTPS Your applications in Amazon EC2 AWS Storage Services S3 Glacier EBS Redshift RDS for Oracle RDS for MS-SQL
S3 Server Side Encryption
EBS Server Side Encryption
Encryption 저장시암호화 전송중암호화 저장시암호화 HTTPS SSL / TLS VPN OBJECT SSH OBJECT DATABASE FILE SYSTEM SSH DISK 자세한정보가담긴백서 : https://media.amazonwebservices.com/aws_securing_data_at_rest_with_encryption.pdf
Q #8: 저희는서비스특성때문에물리적서버를저희만사용해야하는정책이있습니다. 따라서저희만사용가능한물리적서버를제공받을수있습니까?
EC2 Dedicated Hosts 서비스 전용서버의사용을강제하는경우 Core혹은 Socket기반의 Licensing을강제하는경우 일정기간동안물리적장치로부터 License를이동할수없는경우 물리적서버의 Utilization을 Reporting해야할의무가있는경우 정책적이유로물리적서버를다른업체와공유할수없는경우
Q #9: AWS 가이야기하는책임공유모델은무엇인가요?
Customers 책임공유모델 고객어플리케이션및컨텐츠 플랫폼, 어플리케이션, 신원및접근제어 (IAM) 클라이언트측데이터암호화및데이터무결성인증 AWS 기본서비스 컴퓨팅 AWS 글로벌인프라 운영체제, 네트워크, 방화벽설정 서버측암호화 ( 파일시스템 or 데이터 ) 스토리지 가용영역 REGION 데이터베이스 네트워크트래픽보호 ( 암호화 / 무결성 / 자격증명 ) 네트워킹 엣지로케이션 고객은 AWS상의고객환경에대한보안 / 통제를담당 AWS는클라우드자체의보안 / 통제를담당 Data source : AWS Seoul Summit 2016
Q #10 : GS 네오텍은 AWS 와무슨관계인가요?
GS 네오텍 포털 국내포털업계 1 위고객 쇼핑몰 Top10 중 6개고객 게임 Top10 중 5개고객 ( 국내최대게임트래픽 ) 교육 Top5 중 4개고객 미디어 Top5 중 3개고객 콘텐츠전송서비스 (Content Delivery Network) 경력 10년이상의전문전담기술지원팀 국내 No.1 ( 업계 1위의기술력, 고객사보유 ) CDN AWS Cloud Service Amazon Web Services 를활용한안정성과확장성이 뛰어난인프라플랫폼서비스제공 사용기준에따른다양한 Billing 레포팅 국내최초 AWS Premier Consulting Partner 인증 AWS Managed Service Partner 인증 GS 네오텍소개 1974년설립 ( 대표이사남기정 ) 직원수 950여명 연매출약 7천억원 서울시구로구경인로 576 GS네오텍빌딩 CDN Business ICT Business IT Division CLOUD Business NI Business 기업신용평가등급 AA 자체특허보유 ( 고성능서버기술 ) ISMS 인증 ( 정보보호관리체계 )
분야별전문가로구성된 전문팀 보유 개발전문가 비용분석전문가 솔루션아키텍트 보안전문가 네트워크전문가
Q #00 : 그밖에참고할만한 AWS 보안관련서비스?
AWS Config AWS Inspector AWS CloudFormation Amazon Config Rules 리소스인벤토리, 구성기록 / 변경알림 시간순서별변경 내역추적 규정준수감사 / 보안분석 어플리케이션환경스캐닝 빌트인룰셋 CVE( 취약점 ), 운영체제, 네트웍, 인증, 어플리케이션 감사패키지 PCI-DSS 회사보안정책의코드화 Config Rules + 람다를 활용하여정책의강제집행 회사정책, 모범사례기준 위배사항적발 위배사항에대한자동조치 필요시, 별도워크플로병합 리소스변경추적등수행
AWS Market 을통해다양한보안솔루션을이용할수있습니다. 인프라보안로깅모니터링접근제어취약점제어데이터보안
AWS 보안포털 AWS 보안포털 (http://aws.amazon.com/security) 을통해다양한문서및정보를제공받을수있습니다. 보안리소스 취약점리포팅 침투테스트 보안게시판 보안프로세스소개 AWS Risk 및 Compliance AWS 보안 Best Practice
이상오 GS 네오텍 renjoy@gsneotek.co.kr @renjoy