[AWS Cloud Practitioner Essentials]모듈 6 보안 요약

yylog·2023년 1월 3일
0

📌 요약

공동 책임 모델
Multi-Factor Authentication(MFA)
AWS Identity and Access Management(IAM)
AWS Organizations
보안 정책
AWS를 사용한 규정 준수의 이점
AWS Shield
추가 AWS 보안 서비스

공동 책임 모델

클라우드 자체 물리적 보안은 AWS가 클라우드 내부 보안은 고객이 책임진다.

AWS Identity and Access Management(IAM)

AWS 서비스와 리소스에 대한 액세스 관리
아래 3가지 기능을 조합하여 IAM 기능 사용

  • IAM 사용자, 그룹 및 역할
  • IAM 정책
  • Multi-Factor Authentication

AWS 계정 루트 사용자

AWS 계정을 처음 만들면 루트 사용자라는 자격증명으로 시작
일상 작업에 사용 X

IAM 사용자

AWS에서 생성하는 자격증명
이름 + 자격증명으로 구성
사용자를 생성해서 AWS 서비스와 리소스에 접근할 수 있도록 해야함

IAM 정책

AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서

{
	"Version": "2012-10-17",
    "Statemenet":{
    	"Effect": "Allow",
        "Action": "s3:ListObject",
        "Resource": "arn:aws:s3:::
        AWSDOC-EXAMPLE-BUCKET"
         }
}

이 예제 정책은 ID가 AWSDOC-EXAMPLE-BUCKET인 Amazon S3 버킷의 객체에 액세스할 수 있는 권한을 허용한다는 문서이다.

IAM 그룹

IAM 사용자를 IAM그룹에 넣어서 그룹에 권한을 부여하여 사용자 관리

IAM 역할

임시로 권한에 액세스하기 위해 수임할 수 있는 자격증명
기존 권한을 포기하고 새 역할에 지정된 권한을 수임(일시적으로 부여)

Multi-Factor Authentication

AWS 추가 보안 계층
2 FACTOR 인증(핸드폰으로 인증번호 알리거나 OTP 개념)

AWS Organizations

여러 계정을 중앙 위치에서 통합하고 관리하는 서비스
조직을 생성하면 상위 루트가 자동으로 생성됨
계정을 조직 단위(OU)로 그룹화 하여 권한 부여 관리 가능
OU에 권한을 부여하면 하위 계정에 권한 자동으로 상속 부여

서비스 제어 정책(SCP)

조직의 계정에 대한 권한을 중앙에서 제어
각 계정의 사용자 및 역할의 개별 리소스 액세스 API 작업을 제한할 수 있다.

규정 준수

AWS Artifact

AWS 보안 및 규정 준수 보고서 및 일부 온라인 계약에 대한 온디맨드 액세스를 제공하는 서비스
아래 두가지 섹션으로 구성

  • AWS Artifact Agreements
    개별 계정 및 AWS Organizations 내 모든 계정에 대한 계약을 검토, 수락 및 관리 가능 (예를 들어 HIPAA같은 특정 규정의 적용을 받는 고객의 요구 사항을 해결하기 위한 다양한 유형의 계약이 제공)
  • AWS Artifact Reports
    외부 감사 기관이 작성한 규정 준수 보고서
    감사 기관에서 AWS가 다양한 글로벌, 지역별, 산업별 보안 표준 및 규정을 준수했음을 검증다는 뜻으로 감사왔을 때 이 리포트를 증거로 제시할 수 있음.

고객 규정 준수 센터

고객 규정 준수 사례를 읽고 규제 대상 업종의 기업들이 다양한 규정 준수, 거버넌스 및 감사 과제를 어떻게 해결했는지 확인할 수 있다.

  • 주요 규정 준수 질문에 대한 AWS 답변
  • AWS 위험 및 규정 준수 개요
  • 보안 감사 체크리스트

AWS Shield

DDos 공격으로부터 애플리케이션을 보호하는 서비스

추가 보안 서비스

AWS Key Management Service(AWS KMS)

암호화 키를 사용하여 암호화 작업을 수행
암호화 키를 생성, 관리 및 사용 가능
키에 필요한 액세스를 특정 수준으로 선택 가능(키를 관리하는 IAM 사용자 및 역할 지정 가능 or 일시적 비활성화)

  • 저장 된 데이터 암호화 가능
  • 전송 중 암호화 가능

AWS WAF

웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽
Amazon CloudFront 및 Application Load Balancer와 함께 작동
패킷이 접속하려고 하면 웹 ACL(액세스 제어 목록) 규칙 목록을 확인하여 액세스 허용 또는 거부

Amazon Inspector

자동화된 보안 평가를 실행하여 애플리케이션의 보안 및 규정 준수를 개선할 수 있는 서비스
안 모범 사례 위반 및 보안 취약성을 애플리케이션에서 검사한 후 보안 탐지 결과 목록을 고객에게 제공
심각도 수준에 따라 우선 순위가 결정되고 각 보안 문제에 대한 자세한 설명 및 권장 해결 방법 포함
하지만 완전 의존 x 공동 책임 모델에 따라서 고객도 보안 탐지 책임이 있음

Amazon GuardDuty

AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공
AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별 후 AWS Management Console에서 위협에 대한 자세한 탐지 결과를 검토 가능
제 해결 단계를 수행하도록 AWS Lambda 함수를 구성 가능

출처
https://explore.skillbuilder.aws/learn/course/1928/play/6248/aws-cloud-practitioner-essentials-korean

profile
경험하고 공부한 모든 것을 기록하는 공간

0개의 댓글