AWS 클라우드보안 양승도 솔루션즈아키텍트 sdyang@amazon.com
전통적인방식 정적이고고정적인시스템 Firewall/NG Firewall : 방화벽 IDS/IPS : 침입탐지 / 방지시스템 NAC : 네트워크접근제어 WAF : 웹방화벽 Anti-Spam : 스팸차단장비 Web 서버 App/DB 서버
월요일금요일휴가시즌의끝
AWS 는클라우드에최적화된보안을제공합니다. 데이터보안어플리케이션보안운영체제보안하이퍼바이저보안서비스보안관리적보안네트워크보안물리보안 기존에 수행하던 방식과 유사하게적용하실수있도록 다양한 기능을 제공하고 있습니다. 다이내믹한 API 레이어에 대한 완벽한 보안 ( 인증 + 인가 + 로깅 ) 을 제공하고있습니다. 전적으로 AWS 에서
Shared Security Responsibility ( 책임공유모델 )
WHAT NEEDS TO BE DONE TO KEEP THE SYSTEM SAFE
WHAT WE DO WHAT YOU HAVE TO DO
Customers AWS 와고객이보안을함께완성할책임이있습니다. 책임공유모델 고객어플리케이션및데이터 플랫폼, 어플리케이션, 신원및접근제어 (IAM) 운영체제, 네트워크, 방화벽설정 AWS 서비스 파트너솔루션 클라이언트측데이터암호화및데이터무결성인증 AWS 기본서비스 서버측암호화 ( 파일시스템 or 데이터 ) 네트워크트래픽보호 ( 암호화 / 무결성 / 자격증명 ) 컴퓨팅스토리지데이터베이스네트워킹 AWS 글로벌인프라 가용영역 리전 엣지로케이션
네트웍 데이터보안 물리적 시스템보안 AWS 보안기능 ( 심층보안 ) AWS 컴플라이언스프로그램 물리적출입통제 Service Catalog Config IAM(MFA/Role) 보안그룹 Cloud Watch Logs VPC NACL 설정 VPC Flow Logs KMS Bastion Hosts / NAT HTTPS / SSL / TLS CloudHSM CloudTrail
보안은 AWS 의최우선순위과제입니다! 고객층의증가와더불어더나은서비스제공을위해보안, 규제 / 감사, 거버넌스관련다양한업데이트를빠르게진행 722 보안, 거버넌스, 컴플라이언스, 감사관련신규서비스출시및업데이트 기타신규서비스출시및업데이트 514 269 (37%) 48 61 82 159 280 2007 2008 2009 2010 2011 2012 2013 2014 2015 2015 년에는전년대비 40% 증가한, 722 건의새로운서비스및기능을출시
AWS 는주요규제 / 표준 / 모범사례를준수합니다.
규제 / 표준준수 - 스토리지보안 독자적인스토리지관리기능으로타인의데이터접근완벽히통제 사용전디스크청소 (Disk Wiping) 데이터저장시고객이직접암호화적용가능 산업표준에따른디스크폐기처리
이것이 이렇게
우리의경험을바탕으로보면, AWS 클라우드가 우리의데이터센터보다 더안전할수있다고생각합니다 Tom Soderstrom, CTO, NASA JPL
AWS 의보안은여러분이지금수행하고있는것과같은익숙함을제공하기위해서지속적으로노력하고있습니다. 가시성 (Visibility) 제어 (Controllability) 감사기능 (Auditability)
더나은가시성 ( 네트워크, 시스템, 감사 )
가시성 : 보안의기본속성 여러분의데이터센터를보면 한눈에전체의상황이다들어오는것을원하시겠지만, 보통이런그림을보시게됩니다.
가시성 : 보안의기본속성 하지만클라우드에서는 인프라 = software! 변경이빈번하게발생하고, 자동화되며, 즉각반영된다. 리소스등이서로연계되어있음. 셀프서비스와민첩성.
취합과추적항목들 AWS CloudWatch AWS 리소스와 AWS 기반어플리케이션에대한모니터링서비스 EC2 ELB Route 53 EBS AutoScaling Custom EMR SNS SQS EBS Storage Gateway CloudFront DynamoDB ElastiCache 빌링 RDS 모니터링과로그저장 경보설정 그래프와통계조회
AWS Trusted Advisor Security
AWS Inspector Agent 기반 - 어플리케이션보안수준진단 보안진단결과 가이드제공 API 를통한자동화 Rule Package CVE (common vulnerabilities and exposures) 수천개항목 Network security best practices 4 개항목 Authentication best practices 9 개항목 Operating system security best practices 4 개항목 Application security best practices 2 개항목 PCI DSS 3.0 readiness 25 개항목
더나은제어 ( 데이터, 사용자, 네트워크 )
컴퓨팅과스토리지의위치를고객이직접선택가능
퍼스트클래스보안및규정준수는 암호화로시작됩니다 ( 그리고끝나지않습니다!)
Encryption - 전송중 / 저장시암호화 전송중암호화 HTTPS SSH SSL/TLS VPN Object 저장시암호화 Object Database Filesystem Disk 자세한정보가담긴백서, Securing Data at Rest with Encryption.
AWS KMS - 암호화키생성 / 보관 / 관리 암호화키를안전하게생성 / 보관 / 관리해주는관리형서비스 중앙집중암호화키관리 : Customer Master Key(s) EBS S3 Redshift AWS SDK Data Key 1 Data Key 2 Data Key 3 Data Key 4 AWS CloudTrail Amazon S3 Object Amazon EBS Volume Amazon Redshift Cluster 자세한내용을담고있는백서 : KMS Cryptographic Details.
AWS Key Management Service 다양한 AWS 서버스들과통합 IAM S3 EBS RDS RedShift Glacier
AWS Key Management Service Integrated with Amazon EBS
USER 에대한더나은제어
AWS Identity and Access Management (IAM) AWS 서비스와리소스에대한안전한접근통제. 사용자이름 / 사용자 사용자그룹관리 중앙화된접근제어관리 계정에서누가무엇을할수있는지제어 사용자, 그룹, 롤 (Role) 및권한 제어 중앙집중식 잘갖춰진 APIs, 자원및 AWS 관리콘솔 보안 기본적으로안전함 ( 거부규칙 ) 다중사용자, 개별보안신원및권한
NETWORK 에대한더나은제어
가용영역 A 가용영역 B AWS Cloud 내에격리된사설네트워크를생성 AWS Virtual Private Cloud 논리적으로분리된일종의가상사설망을제공 VPC상에서사설 IP대역을선택 적절하게서브넷팅하고 EC2 인스턴스를배치 AWS network security AWS 는 IP Spoofing과같은레이어 2 공격차단 소유하지않은 EC2인스턴스에대한스니핑불가 외부와의모든라우팅과연결을통제
애플리케이션아키텍쳐에맞도록서브넷분리 Web App Web DB
각서브넷에네트워크접근제어목록 (NACL) 사용 Web App Allow Web Deny all traffic DB
각 EC2 인스턴스에보안그룹 (Security Group) 방화벽사용 Web Port 443 App Port 443 Web Deny all traffic DB
서브넷에대한라우팅제어 ( 인터넷 or 고객 DC) Public Private Web Private App Web DB On-Prem 복제
기존데이터센터에안전하게연결 서비스 App 개발 / 테스트 AWS Internet VPN 빅데이터분석 AWS 기업용 App AWS Direct Connect 고객 DC
AWS WAF 웹방화벽 legitimate traffic WAF Safe Traffic Edge Location Edge Location WAF WAF SQL Injection, XSS,.. users hackers WEB WAS WEB WAS 59 edges site scripting Bad bots www.aaa.com WAF on CloudFront & ALB
더나은감사기능 ( 컴플라이언스, 히스토리, 로그 )
AWS CloudTrail AWS 상의모든관리작업에대한로깅 모든작업은 API 콜로처리됨... 사용하는서비스와인스턴스들이늘어남에따라 CloudTrail 은계속해서모든 API 요청들에대해신뢰성있는기록을수행
AWS Config AWS 리소스에대한인벤토리관리와구성정보변경관리및통보 (AWS SNS) 보안분석 : 나는안전한가요? 규정감사 : 어디에증거가있나요? 변경관리 : 이변경에대한영향은? 문제해결 : 무엇이변경되었나요? 감사보안분석변경관리 Troubleshooting Discovery 컴플라이언스
AWS Config Rules 변경된내역에대해검증하는규칙설정 AWS가제공하는내장된규칙사용 AWS Lambda를활용한커스텀규칙지원 지속적인진단수행을자동화 컴플라이언스시각과나위험한변경을식별하기위해대쉬보드제공
필요에따라네트워크 / 보안관련다양한솔루션들을선택하실수있습니다. 인프라보안로깅모니터링계정및접근제어구성및취약점제어데이터보호 SaaS SaaS SaaS
더이상보안은 클라우드도입을가로막는 걸림돌이아닙니다!
사례연구 : 암호화기반의빅데이터분석 " 나스닥그룹은클라우드도입이후아마존 Redshift 를사용하기때문에매우만족하고있다. 현재, 매일아마존 Redshift 에 55 억행데이터가처리되고있습니다. S3 암호화클라이언트 암호화된데이터 S3 에저장 암호화된데이터 EMR 로처리 -- Nate Simmons, Principal Architect HSM 에서온암호화키계층 S3 EMR/Redshift HSM EMR 이용시에만암호해독 http://aws.amazon.com/cn/solutions/case-studies/nasdaq-finqloud/ http://aws.amazon.com/solutions/case-studies/nasdaq-omx/
AWS 보안센터 다양한보안정보및문서를제공하는 AWS 보안포털 : http://aws.amazon.com/security 보안백서 보안프로세스소개 AWS 리스크및컴플라이언 AWS 보안베스트프랙티스 보안리소스 침해테스팅신청절차 취약점리포팅 수상한이메일신고 보안게시판
보안리소스및블로그 AWS 보안리소스 개발자정보 기고문 + 튜토리얼 보안제품 백서 보안리소스, 교육, 도구들에대한광범위한소개 : http://aws.amazon.com/security/security-resources/ AWS 보안블로그 AWS보안및컴플라이언스와관련된최신정보를제공 : http://blogs.aws.amazon.com/security/ https://aws-preview.aka.amazon.com/ko/blogs/korea/
이제는보안과규제준수가 클라우드를도입하는 중요한이유가되고있습니다!
감사합니다!