추가 보안 서비스

본 글의 내용은 AWS Cloud Practitioner Essentials (Korean)에서 발췌함

 

AWS Key Management Service (AWS KMS)

 

커피숍에는 커피 머신, 쿠키, 금전 등록기 안의 돈 등 많은 물품이 있다.

이러한 물품을 데이터로 생각해보자.

 

커피숍 점주는 창고에 보관되어 있거나 매장 위치 간에 운송되는 모든 물품이 안전하게 보호되길 원한다.

 

AWS Key Management Service (AWS KMS)를 사용하면 암호화 키를 사용하여 암호화 작업을 수행할 수 있다.

암호화 키는 데이터 잠금(암호화) 및 잠금 해제(암호 해독)에 사용되는 임의의 숫자 문자열이다.

 

AWS KMS를 사용하여 암호화 키를 생성, 관리 및 사용할 수 있다.

또한 광범위한 서비스 및 애플리케이션에서 키 사용을 제어할 수 있다.

 

AWS KMS를 사용하면 키에 필요한 액세스 제어를 특정 수준으로 선택할 수 있다.

 

예를 들어 키를 관리할 수 있는 IAM 사용자 및 역할을 지정할 수 있다.

또는 더 이상 사용되지 않도록 일시적으로 키를 비활성화할 수 있다.

 

키는 AWS KMS를 벗어나지 않으며, 사용자가 항상 키를 제어할 수 있다.

 

 

AWS WAF

 

AWS WAF는 웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽이다.

 

AWS WAF는 Amazon CloudFront 및 Application Load Balancer와 함께 작동한다.

네트워크 액세스 제어 목록을 떠올려보자.

 

AWS WAF는 비슷한 방식으로 작동하여 트래픽을 차단하거나 허용한다.

그러나 AWS 리소스를 보호하기 위해 웹 ACL(액세스 제어 목록)을 사용한다.

 

다음은 AWS WAF를 사용하여 특정 요청을 허용하고 차단하는 방법의 예이다.

 

 

애플리케이션이 여러 IP 주소에서 악의적인 네트워크 요청을 받고 있다고 가정하자.

 

이러한 요청이 애플리케이션에 계속 액세스하는 것을 방지해야 하지만 합법적인 사용자는 여전히 애플리케이션에 액세스할 수 있도록 해야 한다.

지정한 IP 주소에서 나온 요청을 제외한 모든 요청을 허용하도록 웹 ACL을 구성한다.

 

AWS WAF는 요청이 들어오면 웹 ACL에서 구성한 규칙 목록을 확인한다.

요청이 차단된 IP 주소 중 하나에서 나온 것이 아니면 애플리케이션에 대한 액세스가 허용된다.

 

 

그러나 웹 ACL에서 지정한 차단 IP 주소 중 하나에서 요청이 나왔으면 액세스가 거부된다.

 

 

Amazon Inspector

 

커피숍의 개발자들이 새로운 주문 애플리케이션을 개발하고 테스트한다고 가정하자.

이들은 보안 모범 사례에 따라 애플리케이션을 디자인하고 있는지 확인하기를 원한다.

 

그러나 개발해야 할 다른 여러 애플리케이션이 있으므로 수동 평가를 수행하는데 많은 시간을 할애할 수 없다.

개발자들은 자동 보안 평가를 수행하기 위해 Amazon Inspector를 사용하기로 결정했다.

 

Amazon Inspector는 자동화된 보안 평가를 실행하여 애플리케이션의 보안 및 규정 준수를 개선할 수 있는 서비스다.

이 서비스는 EC2 인스턴스에 대한 오픈 액세스, 취약한 소프트웨어 버전 설치와 같은 보안 모범 사례 위반 및 보안 취약성을 애플리케이션에서 검사한다.

 

Amazon Inspector는 평가를 수행한 후에 보안 탐지 결과 목록을 제공한다.

이 목록은 심각도 수준에 따라 우선 순위가 결정되고 각 보안 문제에 대한 자세한 설명 및 권장 해결 방법이 포함된다.

 

그러나 AWS는 제공된 권장 사항으로 모든 잠재적 보안 문제가 해결됨을 보장하지 않는다.

공동 책임 모델에 따라 고객은 AWS 서비스에서 실행되는 애플리케이션, 프로세스 및 도구의 보안에 대한 책임이 있다.

 

 

Amazon GuardDuty

 

Amazon GuardDuty는 AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스다.

이 서비스는 AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별한다.

 

 

AWS 계정에서 GuardDuty를 활성화하면 GuardDuty가 네트워크 및 계정 활동을 모니터링하기 시작한다.

추가 보안 소프트웨어를 배포하거나 관리할 필요가 없다.

 

그 다음 GuardDuty는 VPC Flow Logs 및 DNS 로그를 비롯한 여러 AWS 소스의 데이터를 지속적으로 분석한다.

 

GuardDuty가 위협을 탐지한 경우 AWS Management Console에서 위협에 대한 제세한 탐지 결과를 검토할 수 있다.

탐지 결과에는 문제 해결을 위한 권장 단계가 포함된다.

 

또한 GuardDuty 보안 탐지 결과에 대한 응답으로 자동으로 문제 해결 단계를 수행하도록 AWS Lambda 함수를 구성할 수도 있다.