AWS 공동 책임 모델

본 글의 내용은 AWS Cloud Practitioner Essentials (Korean)에서 발췌함

 

AWS 클라우드에서 생성할 수 있는 리소스는 다양하다.

이러한 리소스에는 Amazon EC2 인스턴스, Amazon S3 버킷, Amazon RDS 데이터베이스가 포함된다.

 

이러한 리소스를 안전하게 유지할 책임은 누구에게 있을까?

고객일까, AWS일까

 

 

AWS 공동 책임 모델

 

정답은 둘 다이다.

AWS 환경을 단일 객체로 취급하지 않기 때문이다.

 

오히려 환경을 서로를 기반으로 빌드되는 부분의 모음으로 취급한다.

AWS는 사용자 환경의 일부분을 책임지고 고객은 다른 부분을 책임진다.

 

이러한 개념을 공동 책임 모델이라고 한다.

 

공동 책임 모델은 고객 책임(클라우드 내부의 보안)과 AWS 책임(클라우드 자체의 보안)으로 나뉜다.

 

공동 책임 모델

 

이 모델은 주택 소유자와 주택 건축업자 간의 책임 분담과 비슷하다고 생각하면 된다.

 

건축업자(AWS)는 견고하게 주택을 건설할 책임이 있다.

주택 소유자(고객)는 문이 닫혀있고 잠겨있는지 확인하여 집안의 모든 것을 보호할 책임이 있다.

 

 

 

고객: 클라우드 내부의 보안

 

고객은 AWS 클라우드 내에서 생성하고 배치하는 모든 것의 보안을 책임진다.

 

AWS 서비스를 사용할 때 고객은 자체 콘텐츠에 대한 완전한 제어를 유지한다.

 

AWS에 저장하기로 선택하는 콘텐츠, 사용하는 AWS 서비스, 해당 콘텐츠에 액세스할 수 있는 사용자를 포함하여 콘텐츠에 대한 보안 요구 사항을 관리할 책임은 고객에게 있다.

 

또한 액세스 권한을 부여, 관리 및 해지하는 방법도 고객이 제어한다.

 

고객이 수행하는 보안 단계는 사용하는 서비스, 시스템의 복잡성, 회사별 운영 및 보안 요구 사항과 같은 요소에 따라 달라진다.

 

이러한 단계에는 EC2 인스턴스에서 실행할 운영체제를 선택, 구성 및 패치 적용하는 단계, 보안 그룹을 구성하는 단계, 사용자 계정을 관리하는 단계가 포함된다.

 

 

AWS는 시스템에 백도어를 설치하지 않는다.

오직 고객만 암호화 키를 소유하며 이 OS의 루트에 로그인하거나 사용자 계정을 만들 수 있다.

 

건설회사에서 고객의 현관 열쇠 복제본을 보관하지 않듯이 AWS는 고객의 운영체제에 들어갈 수 없다는 것이다.

 

 

고객의 운영 팀은 운영 체제 패치 적용을 전적으로 책임진다.

AWS가 고객의 Windows 버전에서 새로운 취약점을 발견했다고 가정하자.

 

AWS는 계정 소유자에게 이를 알리지만 패치를 배포할 수는 없다.

보안에 있어서 아주 중요한 부분이다.

 

고객의 팀원이 아니라면 누구도 고객의 시스템에 장애를 유발할 수 있는 요소를 배포할 수 없기 때문이다.

이제 OS 위에서 원하는 애플리케이션을 무엇이든 실행할 수 있다.

 

고객이 애플리케이션을 소유하고 유지 관리하는 것이다. 

 

 

데이터 역시 고객이 제어해야 하는 영역이다.

소매 웹사이트의 사진처럼 데이터를 모두에게 공개해야 할 때도 있다.

 

하지만 은행이나 의료 서비스 데이터처럼 그래선 안 되는 경우도 있다.

AWS는 각 사용자에게 필요한 도구 모음을 제공한다.

 

데이터를 승인된 일부 집단에만 공개할 수도 있고 모두에게 공개하거나 특정한 조건을 전제하여 1명에게만 공개하거나 아무도 액세스하지 못하도록 잠글 수도 있다.

 

여기에 더해 유비쿼터스 암호화 기능도 지원된다.

그래서 실수로 정문을 열어 놓더라도 내부를 보려는 사람은 판독 불가능한 암호화된 콘텐츠를 보게 된다.

 

 

 

AWS: 클라우드 자체의 보안

 

AWS는 클라우드 자체의 보안을 책임진다.

 

AWS는 인프라의 모든 계층에서 구성 요소를 운영, 관리 및 제어한다.

여기에는 호스트 운영체제, 가상화 계층, 심지어 서비스가 작동하는 데이터센터의 물리적 보안과 같은 영역이 포함된다.

 

AWS는 AWS 클라우드의 모든 서비스를 실행하는 글로벌 인프라를 보호할 책임이 있다.

이러한 인프라에는 AWS 리전, 가용 영역 및 엣지 로케이션이 포함된다.

 

AWS는 클라우드 자체의 보안, 특히 리소스를 호스팅하는 물리적 인프라를 관리한다.

여기에는 다음이 포함된다.

 

* 데이터센터의 물리적 보안

* 하드웨어 및 소프트웨어

* 인프라

* 네트워크 인프라

* 가상화 인프라

 

고객이 AWS 데이터센터를 방문하여 이러한 보호 기능을 직접 확인할 수는 없지만 AWS는 외부 감사 기관이 작성한 여러 보고서를 제공한다.

 

이러한 감사 기관에서 다양한 컴퓨터 보안 표준 및 규정을 준수하는지 확인했다.

 

 

 

 

AWS 공동 책임 모델은 양쪽 모두가 자신이 해야 하는 일을 정확하게 파악하게 하는 장치이다.

기본적으로 AWS는 클라우드 자체의 보안을 책임지며 고객은 클라우드 내부의 보안을 책임진다.

양쪽이 협력하면 신뢰할 수 있는 환경이 조성되는 것이다.