[AWS CCP] 9강 Security

공동책임모델 > 시험에 많이 나옴(60문제 중 10문제)

 

[AWS Shared Responsibility Model]

책임주체를 aws, 고객으로 나누어, 각자의 영역을 책임지는 것

보안은 aws만 책임지는게 아니라 고객도 책임을 져야함

어떤게 고객 책임인지 묻는 문제 나옴(10문제 정도 나옴)

하드웨어, 물리적인건 다 aws 책임(장치관련된거나 고객이 설정할 수 없는것 같은것들)

 

[shared responsiblity]

(고객책임)

- network security

- IAM and user access

- patch of guest OS and softwares (이거 외워라)

 

(AWS책임)

- physical security of data centers

- hardware and software infrastructure

- network infrastructure

- virtualization infrastructure

 

(ex) 고객책임인건?

> patching software on amazon ec2 instances

setting permissions for amazon s3 objects(권한설정하는건 고객이 할 수 있음)

 

(ex) AWS 책임인건?

performing hardware maintenance in the AWS facilities that run the aws

 

---

[AWS IAM]

AWS 서비스 및 리소스에 대한 액세스와 자격증명을 안전하게 관리 가능

보안사고 방지하는 가장 좋은 방법은 적절한 권한 및 액세스 관리 사용하는 것

IAM 사용할 경우 기본적으로 모든 작업이 거부됨(권한 부여돼야 사용가능)

권한부여 시 꼭 필요한 경우에만 액세스 권한 제공 : 최소 권한의 원칙

IAM : 사용자, 그룹, 역할 제공하므로 운영 및 보안 요구사항에 따라 액세스 권한 구성 가능

 

(AWS IAM Identity Center)

single sign on으로 기존 직원의 자격증명소스를 연결하고 aws에 대한 액세스를 중앙에서 관리함

(AWS Secret Manager)

자격증명, api키 및 기타 보안 암호를 중앙 위치에 저장하여 관리 가능

(AWS Systems Manager)

대규모로 노드 또는 연결 지점을 관리함

 

(AWS Account Root User)

aws 계정 생성 시 자동으로 생성되는 최고 관리자 계정

모든 aws 리소스 및 서비스에 대한 권한을 가짐(평상시엔 사용하지 않는것을 권고)

(IAM User)

AWS 서비스 및 리소스와 상호작용하는 사람 또는 애플리케이션 의미

이름과 자격증명으로 구성

새 IAM 사용자 생성 시 권한 부여해줘야함

각 사용자마다 IAM 사용자 생성하는것을 권고함

 

(IAM 정책)

AWS 서비스 및 리소스에 대한 사용자 권한이 작성된 문서(json기반)

리소스의 액세스 기준 지정할 수 있으며, 최소 권한 보안 원칙에 따라 필요 이상의 권한 부여하지 않는 것을 권고

---

 

[AWS organizations]

조직 내에서 여러개 계정을 관리하는 서비스

서비스 제한 정책(SCP)으로 관리됨 (organization unit)(service control policies) -> 조직 내 멤버 계정 권한을 중앙에서 제어 가능

SCP를 조직 루트, 개별 계정 또는 조직 단위(OU)에 적용할 수 있음

SCP통해 각 멤버 계정에서 액세스할 수 있는 AWS 서비스, 리소스, 개별 API 작업, 사용자 및 역할을 제한함

 

root 계정 안에 IAM 여러개가 있음

이 IAM을 묶는게 GROUP

이 ROOT 여러개를 묶는 것이 Organization

루트계정을 여러개 다룰 수 있는게 조직(organization)

 

(조직단위)(OU)

계정을 조직 단위(OU)로 그룹화하여 비슷한 비즈니스 또는 보안 요구사항있는 계정을 손쉽게 관리 가능

OU에 정책 적용하면 OU의 모든 계정이 정책에 지정된 권한 자동 상속함

 

(Consolidated Billings)

계정관리하는데 돈을 한번에 관리하는것

여러 계정의 돈을 한번에 관리

 

[AWS Control Tower]

한번에 여러개 계정 만들때 사용

조직관리를 좀 더 간편하게 만들어주는 서비스

 

[AWS artifact]

규정 준수 및 보안 보고서 및 계약에 대한 온디맨드 액세스 제공

- 보고서 보기

- 계약 보기

 

여기서 말하는 보고서 : report

계약 : agreement, 인증

 

문제에 compliance report, agreement 나오면 다 artifact

뭔가 설정하는 서비스가 아니라 계약, 인증같은걸 조회할 수 있는 사이트

---

 

[DoS 공격 (Denial of Service Attacks)]

서비스 거부 공격

공격자가 웹 애플리케이션에 과도한 네트워크 트래픽을 몰아서 전송하여 과부하 발생 > 더이상 응답할 수 없는 상태로 만듦

단일소스에서 발생(단일 위협 행위자가 단일 웹사이트 또는 애플리케이션을 표적으로 삼음)

[DDoS 공격]

분산 서비스 거부 공격

공격자가 감염된 여러 컴퓨터(좀비봇) 사용하여 웹애플리케이션에 과도한 트래픽 전송

손상된 여러 컴퓨터와 장치를 사용하여 공격 시작

---

AWS 인프라와 서비스가 네트워크 및 애플리케이션 보호를 제공하는 방법이 있음

 

[인프라를 통한 AWS 보호]

1. 보안 그룹

적절한 요청 트래픽만 허용

전체 aws 리전의 용량을 사용하여 대규모 공격을 차단할 수 있음

 

2. ELB(Elastic Load Balancing)

ELB는 트래픽을 먼저 처리한 후 전달하므로, 프론트엔드 서버에 과부하가 발생하지 않음

Region 수준에서 실행

 

3. AWS Region

region은 용량이 매우 크므로 과부하를 일으키기 어려움

 

[서비스를 통한 AWS 보호]

1. AWS Shield

가장 일반적인 발생 유형의 DDoS 공격으로부터 AWS 고객을 추가비용 없이 자동으로 보호하도록 설계된 서비스

AWS Shield Advanced는 유료서비스(정교한 DDoS 공격을 탐지하고 완화하는 기능 제공)

+ 다음 중 아마존에서 보안해주지 않는것은? > dos는 답이 아님 왜냐면 shield가 지켜주니까

 

2. AWS WAF

Web Application Firewall

firewall 일종의 방화벽 역할

웹애플리케이션으로 들어오는 네트워크 요청을 모니터링하는 웹 애플리케이션 방화

security group은 ec2 하나에 매핑이되지만

waf는 그룹이나 애플리케이션 하나에 매핑될 수 있음

 

[데이터 암호화]

- 저장된 데이터 암호화

데이터가 유후 상태이며, 이동하지 않음

데이터가 db에 저장돼있는 경우가 이에 해당함

- 전송 중 데이터 암호화

서로 다른 위치 간 데이터 이동

데이터가 db에서 애플리케이션으로 전송되는 경우가 이에 해당

SSL/TLS 인증서 : 한 시스템에서 다르시스템으로 암호화된 네트워크 연결 설정하는데 사용됨

 

(AWS의 내장된 데이터 보호 기능)

- Amazon S3

- Amazon EBS

- Amazon DynamoDB

 

(AWS 데이터 보호 서비스)

1. AWS KMS(Key Management Service)

암호화 키를 생성하고 관리할 수 있도록 도와주는 서비스

문제에 내가 암호화하고싶다~ 이러면 KMS밖에 없음(encryption-> 암호화)

 

2. Amazon Macie

저장된 민감 데이터를 모니터링하여 해당 데이터가 안전한지 확인 가능

기계학습(ML) 및 자동화 사용하여 Amazon s3에 저장된 민감 데이터를 검색

 

3. ACM(AWS Certificate Manager)

전송 중 데이터 암호화 제공하는 SSL/TLS 인증서 관리를 중앙 집중화함

전송 중 데이터 보호하는데 도움이 되는 서비

 

+ 암호화키 : 데이터 잠금(암호화) 및 잠금 해제(암호 해독)에 사용되는 임의의 숫자 문자열

+ SSL/TLS 인증서 : 한 시스템에서 다른 시스템으로 암호화된 네트워크 연결 설정에 사용됨

 

(보안 인시던트 탐지 및 대응)

AWS에서는 보안 인시던트를 탐지하고 이에 대응하는데 사용할 수 있는 다양한 서비스 제공

 

1. AWS Inspector

보안적으로 "취약한" 부분을 검사해줌

취약성 평가에 사용

 

2. AWS GuardDuty

보안관련 지속적으로 모니터링해서 위협 식별

위협 탐지하면 AWS 관리 콘솔에서 위협에 대한 자세한 탐지 결과 검토 가능

 

3, Amazon Detective 

위협 탐지되면 근본 원인 추가 조사

시각화 사용하여 시간의 추이에 따른 보안 위협을 대화형 방식으로 분석하고 조사할 수 있음

보안팀 조사에 적합한 옵션

이미 발생한 보안 문제를 분석하고 조사하는데 사용

 

4. AWS Security Hub

여러 보안 서비스를 단일 위치와 형식으로 통합함

여러 AWS 서비스 보안 결과를 하나의 종합적 보기로 자동 집

해당 서비스 사용 시 보안 및 규정 준수 상태를 하나의 종합적 보기에서 신속하게 확인 가능

이는 애플리케이션의 보안 취약성 평가를 직접 수행하진 않음

 

(cloudHSM) : 물리버전의 KMS다 이해하면될듯

 

---

[QUIZ]

Q1. 추가 비용없이 DDoS 공격으로부터 고객 자동보호하는 AWS 서비스는?

A. AWS Sheld

-> DDoS공격으로부터 추가 비용없이 보호하는 관리형 DDoS 보호 서비스

 

Q3. AWS IAM 사용할 경우 기본적으로 모든 작업이 거부됨. 권한 부여할 때 필요한 경우에만 액세스 권한 제공하도록 해야함

해당 개념은?

A. 최소 권한의 원칙

-> 최소권한의 원칙에 따르면, 필요한 항목에 대한 액세스 권한만 사용자 및 시스템에 부여하고 그 이외의 것은 허용하지 않아야함

 

Q4. 전송중인 데이터를 암호화는데 사용되는 것은?

A. SSL/TLS 인증서

-> SSL/TLS는 네트워크 통해 시스템 간 데이터를 이전할 때 해당 데이터를 암호화하도록 특별히 설계된 프로토콜

 

Q5. 한 대규모 전자 상거래 회사의 보안팀은 AWS에서 데이터 보호하는 암호화 키를 생성 및 관리할 수 있는 중앙 집중식 방식이 필요함. 이때 가장 적합한 서비스는?

A. AWS KMS

-> 암호화 키를 생성 및 관리하도록 특별히 설계된 서비스

 

Q6. 모든 AWS 계정에는 AWS 계정 루트 사용자가 제공됨

루트 사용자는 계정 소유자이며 모든 작업을 수행할 수 있는 전체 권한을 가짐

이 강력한 계정을 보호할 수 있는 방법은?

A. 계정에 강력한 암호를 연결

A. 다중인증(MFA)를 

-> AWS 계정은 루트 사용자를 단 한명만 보유 가능

루트사용자는 삭제 불가능하며, 루트 사용자 액세스 권한을 다른 사용자에게 위임해서는 안됨

루트사용자를 보호하려면 계정에 강력한 암호 연결 후 MFA 키는 것이 좋

 

Q7. AWS 공동책임모델에서 AWS 책임은?

A. 데이터 센터의 물리적 보안 관리

-> AWS는 시설의 액세스 제어, 환경 보호, 전력 이중화, 감시 시스템 비롯한 데이터 센터에 대한 물리적 보안의 모든 측면을 다룸

 

Q8. 한 기술 회사에서 리소스 중 일부를 AWS로 이전하려함

그리고 기존 자격증명 소스를 사용하여 AWS에서 직원들에게 SSO 액세스를 제공하고자함

이때 필요한 서비스는?

A. AWS IAM Identity Center

-> 조직에서 기존 자격 증명 공급자 사용하여 AWS 리소스에 대해 SSO 구현가능하도록 특별히 설계됨

 

Q9. 한 대규모 회사의 보안팀은 여러 애플리케이션에 보안 취약성이 있는지 확인하고, 보안 모범 사례와의 편차를 확인해야함

이러한 애플리케이션은 Amazon EC2, AWS Lambda, 컨테이너에서 실행됨

보안 평가를 위해 어떤 서비스 사용해야하는가?

A. Amazon Inspector

-> AWS에서 호스팅되는 애플리케이션의 "자동화된 취약성 평가"를 위해 특별 설계됨