AWS 보안 서비스

AWS 보안 서비스 - WAF

🔹 Amazon WAF란?

• 관리형 웹 방화벽 서비스, http, https 트래픽을 모니터링하고 차단함으로써 고객의 웹 어플리케이션을 보호하는 도구
• 어플리케이션의 가용성에 영향을 미치거나 보안을 악화시키거나 리소스를 과다하게 사용하는 것 등 여러가지 형태로 어플리케이션 계층에서의 웹 공격을 방어하는 서비스
• OWASP TOP 10 (SQL injection, XSS 등) 대응, OWASP에서 선정한 Web Application Security Risks 10가지
• Cloudfront / Application LB 배포
• AWS 관리형 규칙 / 사용자 지정 규칙
• IP / 국가 / 헤더 / 문자열 / 요청 길이 기반 차단
• 실시간 웹 보안 모니터링 (Cloudwatch)
• AWS 서비스를 활용한 로그통합 (Kinesis Data Firehose 및 S3)

🔹 Amazon WAF Architecture 예시

• WAF를 통해서 log를 수집하고, 수집한 log를 분석하는 구성
• AWS 서비스 간의 상호 연동이 가능. Kinesis를 통해 데이터를 S3로 모으고, S3를 통해 모은 데이터를 Athena가 직접 query하거나, Athena가 query 할 수 있도록 Lamda가 log데이터를 parsing해서 지속적인 보안 모니터링과 분석을 할 수 있음
• Cloudwatch event를 Lamda를 통해 분석해서 의심이 되는 IP 리스트를 받아오고 WAF 보안규칙 rule에 자동으로 적용하는 자동화 구현이 가능

AWS 보안 서비스 - Shield

🔹 Amazon Shield란?

• 관리형 DDOS 차단 솔루션 (DDoS 공격 : 여러 대의 컴퓨터 또는 기기가 한 목표의 시스템 또는 서비스에 대규모의 악성 트래픽을 보내 과부하를 일으켜 원활한 서비스를 방해하는 공격)
• DDOS 이벤트 자동 감지 및 차단
• AWS WAF 서비스와 통합

🔹 Amazon Shield Standard VS Advanced

• Standard에서는 L3, L4만 방어 가능

🔹L3, L4, L7

L3, L4, L7이란 DDOS 공격의 유형 및 대상에 따른 계층 구분

• L3(Layer 3) 공격: 네트워크 계층(Network Layer)에 해당하며, 주로 IP를 기준으로 하는 공격. 이 공격은 대량의 IP 패킷을 상대방의 목적지 IP 주소로 보내 데이터 흐름을 방해하고 시스템에 과부하를 일으키는 방법을 사용.
• L4(Layer 4) 공격: 전송 계층(Transport Layer)에 해당하며, TCP와 UDP 등을 대상으로 하는 공격. 이 공격은 SYN 패킷을 보내 목표 서버가 계속 커넥션을 기다리게 만들거나, UDP 패킷의 대량 전송을 통해 시스템에 과부하를 일으키는 방법을 사용.
• L7(Layer 7) 공격: 응용 계층(Application Layer)에 해당하며, 특정 웹 어플리케이션을 대상으로 한 공격. 이 공격은 HTTP 기반으로 서버의 베일리위크를 찾아 과부하를 일으키거나, 정상적인 트래픽처럼 위장하여 외부에서 시스템을 파괴하는 방식으로 진행.

이렇게 다양한 형태의 디도스 공격이 있기 때문에 대응 방법 역시 각 레벨에 따라 다름

AWS 보안 서비스 - KMS

🔹 Amazon KMS란?

• AWS 키 관리 서비스
• 리소스 데이터 암호화 / 복호화
• 디지털 서명 및 확인
• AWS 서비스와 통합 (CloudTrail, Cloudwatch)
• 3가지 키 방식 지원
  - AWS managed key, AWS에서 Default로 제공하는 키, 내부적으로 자동관리 되며, 사용자가 직접 제어가 불가능. 따라서, 키의 활용범위가 적을 때, 선택적으로 사용
  - Customer managed key(CMK), 사용자가 직접 키를 생성하고 관리하는 방식, IAM을 통해 권한을 부여받고, 키를 제어할 수 있음, 일반적으로 많이 사용
  - Cumtom key stores, AWS 키관리형 서비스인 CloudHSM을 통해 키를 관리하는 형태, 보다 강력한 키관리 및 제어가 가능