7. 데이터 소유권 (Data Ownership)
…AWS 모든 리전은 지리적으로 격리되도록 디자인 되어있습니다.Isolated by Design
Data is not replicated
Customers always
own their data
…고객이 AWS에 요청하지 않는한, 어떠한 경우에도 데이터를 다른 리전에 복제하지 않습니다.
…고객만이 데이터를 소유하고, 암호화하고, 이동시키고, 지울수 있습니다.
…고객이 자신의 데이터를 어디에 저장될지 선택합니다.Where to place their data
8. AWS는 주요 규제/표준/모범사례를 준수합니다.
90+
services
7,710 Audit
Artifacts
2,670
Controls
3,030 Audit
Requirements
보안 기준을 지속적으로 개선하기 위해서 모든 것을 구축합니다
11. 컴플라이언스를 보다 쉽게 만들어 드립니다.
AWS SOLUTION: Marketplace Program – Allgress
12. 컴플라이언스를 보다 쉽게 만들어 드립니다.
AWS SOLUTION: Marketplace Program – Allgress
13. 인프라 보호 로깅 모니터링 구성 및 취약점 제어 데이터 보호
aws.amazon.com/mp/security
계정 및 접근제어
Deep Security-as-a-Service
VM-Series Next-
Generation Firewall
Bundle 2
vSEC
Web Application
Firewall
Unified Threat
Management 9
FortiGate-VM
SecureSphere WAF
CloudInsight
Security Platform
(ESP) for AWS
SecOps
Log Management & Analytics
Enterprise
Cost & Security Management
DataControl
Transparent
Encryption for AWS
SafeNet ProtectV
Identity & Access
Management or AWS
Security Manager
OneLogin for AWS
Identity Management
for the Cloud
One-click launch
Ready-to-run on AWS
Pay only for what you use
필요에 따라 네트워크/보안 관련 다양한
솔루션들을 선택하실 수 있습니다.
14. Amazon S3 AWS Lambda
Amazon CloudWatch
AWS CloudTrail
컴플라이언스를 보다 쉽게 만들어 드립니다.
15. “AWS와 긴밀한 협조하에
보안 모델을 개발하여, 우리 자체
데이터센터에서 하는 것 보다
더 안전하게 퍼블릭 클라우드를 운영할 수
있게 되었습니다”
– Rob Alexander, CIO, Capital One
19. AWS Inspector
• Agent 기반 - 어플리케이션 보안 수준 진단
• 보안 진단 결과 – 가이드 제공
• API를 통한 자동화
• Rule Package
• CVE (common vulnerabilities and exposures) – 수천개 항목
• Network security best practices
• Authentication best practices
• Operating system security best practices
• Application security best practices
24. 퍼스트 클래스 보안 및 규정준수는
암호화로 시작됩니다.
(그리고 끝나지 않습니다!)
25. Encryption - 전송중 / 저장시 암호화
자세한 정보가 담긴 백서,“Securing Data at Rest with Encryption”.
전송 중 암호화
HTTPS
SSL/TLS
SSH
VPN
Object
저장 시 암호화
Object
Database
Filesystem
Disk
26. AWS KMS - 암호화키 생성/보관/관리
Customer Master
Key(s)
Data Key 1
Amazon
S3 Object
Amazon EBS
Volume
Amazon
Redshift
Cluster
Data Key 2 Data Key 3 Data Key 4
• 암호화키를 안전하게 생성/보관/관리 해주는 관리형
서비스
• 중앙 집중 암호화 키 관리:
EBS S3 Redshift AWS SDK
AWS CloudTrail
자세한 내용을 담고 있는 백서: KMS Cryptographic Details.
28. AWS Certificate Manager (ACM)
• SSL/TLS 인증서를 손쉽게 생성, 관리, 적용 시켜주는 서비스
• 인증서를 쉽고 빠르게 생성 및 웹 사이트 적용
• ACM 제공 인증서는 “Managed” 로 자동으로 인증서 갱신
• RSA 2048 과 SHA-256 알고리즘으로 ELB나 CloudFront에
연동되는 무료 서비스
* CF Distribution 적용시 리전 제약 없음
30. AWS Identity and Access Management (IAM)
AWS서비스와 리소스에 대한 안전한 접근 통제
사용자 이름 /
사용자
사용자 그룹
관리
중앙화된 접근
제어 관리
• 사용자, 그룹, 롤(Role) 및 권한
• 제어
• 중앙집중식
• 잘 갖춰진 – APIs, 자원 및 AWS 관리 콘솔
• 보안
• 기본적으로 안전함(거부 규칙)
• 다중 사용자, 개별 보안 신원 및 권한
계정에서 누가 무엇을 할 수 있는지 제어
34. AWS WAF
웹방화벽
Good users
Bad guys
AWS WAF region
Amazon
CloudFront
AWS WAF
AWS ELB (External / Internal) 모두에서 WAF Rule 설정 가능
CloudFront를 쓰지 않는 고객 및 CF를 경유하지 않는 서비스에 적용
* 지원리전: Virginia, Oregon, Tokyo, Ireland
35. • AWS 통합
• DDoS protection
without
infrastructure
changes
• 합리적 비용
• Don’t force
unnecessary trade-
offs between cost
and availability
• 유연함
• Customize
protections for
your applications
무중단 탐색 및 완화
Minimize impact on
application latency
Standard Protection Advanced Protection
AWS Shield
관리형 DDoS 보호 서비스
36. • 일반적인 DDoS공격에 대한 보호 및
AWS상에서 DDoS 공격에 가장 잘 견
딜수 있는 아키텍쳐를 구성하기 위한
Best practice 및 서비스에 대한 접근
• 더 크고 복잡한 공격에 대응하기 위한 추가
적인 보호를 제공하며, 공격에 대한 가시성
제공 및 공격으로 인한 AWS 사용 비용 보호,
L7 공격 보호 및 복잡한 공격들에 대한 24x7
의 DDoS 전문 대응팀 지원
Standard Protection Advanced Protection
AWS Shield
관리형 DDoS 보호 서비스
지원리전: Virginia, Oregon, Tokyo, Ireland
38. But what does a jellyfish have
to do with compliance?
감사 증적
• 많은 수의 컴플라이언스
감사작업에서 임의 시간에
시스템상태에 대한 접근을 필요 (i.e.,
PCI, HIPAA)
• 모든 리소스와 그것들의 구성정보에
대한 완벽한 인벤토리는 어떤
순간에도 활용 가능해야 한다.
39. 모든 작업은 API
콜로 처리됨...
사용하는 서비스와
인스턴스들이 늘어
남에 따라 …
CloudTrail은
계속해서 모든
API 요청들에
대해 신뢰성 있는
기록을 수행…
AWS CloudTrail
AWS상의 모든 관리작업에 대한 로깅
40. AWS Config
AWS 리소스에 대한 인벤토리 관리와 구성정보 변경관리 및 통보(AWS SNS)
변경 관리
감사
컴플라이언스
보안 분석 Troubleshooting Discovery
보안 분석: 나는 안전한가요?
규정 감사: 어디에 증거가 있나요?
변경 관리: 이 변경에 대한 영향은?
문제 해결: 무엇이 변경되었나요?
42. Resource Relationship Related Resource
Customer Gateway is attached to VPN Connection
Elastic IP (EIP) is attached to Network Interface
is attached to Instance
Instance contains Network Interface
is attached to Elastic IP (EIP)
is contained in Route Table
is associated with Security Group
is contained in Subnet
is attached to Volume
is contained in Virtual Private Cloud (VPC)
Internet Gateway is attached to Virtual Private Cloud (VPC)
AWS Config
43. AWS Config Rules
• 변경된 내역에 대해 검증하는 규칙 설정
• AWS가 제공하는 내장된 규칙 사용
• AWS Lambda를 활용한 커스텀 규칙 지원
• 지속적인 진단수행을 자동화
• 컴플라이언스 시각과나 위험한 변경을 식별하기 위해 대쉬보드 제공
46. AWS Service Catalog
• 사용이 승인된 IT 서비스 카탈로그를 생성하고 관리
VM 이미지, 서버, 소프트웨어, 데이터베이스
• 배포된 IT 서비스를 중앙에서 관리
• 일관된 거버넌스를 달성하고 규정 준수 요건을 충족하는 도움
• 기업 표준 규정 준수 보장
• 직원이 승인된 IT 서비스를 신속하게 검색 및 배포하도록 지원
47. Portfolio 생성
제약사항 추가
및 접근 허용
1
4
5
관리자
포트폴리오(Portfolio)
사용자
Products 검색(Browse)
6
Products 생성(Launch )
AWS 클라우드포메이션
템플릿
Product
생성
3Template
작성(Authors)
2
ProductX ProductY ProductZ
7
스택(Stacks)
배포
이벤트(Events) 전송
이벤트(Events) 전송
8
8
사용자 서비스 생성
및 접근 허용
서비스를 찾고
생성하기 위한
개인화된 포털
사용
AWS Service Catalog
AWS 리소스 생성 및 관리용
셀프서비스 포털
49. 사례 연구 : 암호화 기반의 빅 데이터 분석
What Nasdaq 요구사항
• 기존 데이터웨어 하우스의 저렴하게 교체
• 비용은 줄이고, 데이터 용량 및 처리는 증대
왜 AWS (특히 아마존 Redshift)를 선택
• 보안 및 규정 준수 요구 사항을 충족
• 현재 전제된 기능을 희생하지 않고 비용을 개선
기대효과
• 아마존 Redshift에 하루 평균 데이터의 55 억행 처리
가능 (2014년 10월의 피크날, 데이터의 140 억행 처리)
• 회사 내 여러 부서에서 데이터를 접근 및 분석, 처리가
가능한 환경 구현
"나스닥 그룹은 클라우드
도입 이후 아마존
Redshift를 사용하기
때문에 매우 만족하고
있다. 현재, 매일 우리가
아마존 Redshift에 55 억
행 데이터가 처리 되고
있습니다.”
-- Nate Simmons,
Principal Architect
http://aws.amazon.com/cn/solutions/case-studies/nasdaq-finqloud/
http://aws.amazon.com/solutions/case-studies/nasdaq-omx/
50. "시장에서 AWS 모니터링
플랫폼을 사용하여 우리는
40 %의 비용 절감을 달성 할
것으로 예상하지만, 더
중요한 장점은 새로운
비즈니스를 얻는 것입니다 :
우리가 할 수 있는 일에
집중하고 새로운 혁신을 할
수 있는 것은 귀중한
혜택입니다.
-- Steve Randich, CIO
사례 연구 : 규제 감시 및 리스크 사전 분석
FINRA 요구사항
• 시장 감시 인프라를 구축하는 플랫폼
• 300 억건의 매일 발생하는 시장 이벤트의 저장 및
분석을위한 지원
AWS를 선택한 이유
• FINRA의 보안 및 요구 사항 만족
• 유연한 플랫폼 (하둡, 하이브 및 HBase를), 아마존
EMR, 아마존 S3 동적 클러스터 배포를 통한 구축
기대효과
• 유연성, 속도와 비용 절감을 증가
• AWS를 사용하는 비용은 $1에서 $1M 까지
탄력적으로 활용할 수 있었음
http://aws.amazon.com/cn/solutions/case-studies/finra/
51. "데이터 센터와 백업 및
재해복구 센터에 대한
전면재조정함에 따라 8개의
센터에서 3개의 센터까지
조정을 완료하고,
최종적으로는 2개의 센터만
유지하는것을 결정: 우리가
할 수 있는 일에 집중하고
새로운 혁신을 할 수 있는
것은 귀중한 혜택입니다.
CapitalOne 요구사항
• 최신 IT 기술 수용 및 환경 도입에 따른 클라우드 기반의
플랫폼 체계 수립
AWS를 선택한 이유
• AWS는 금융 서비스 기관처럼 규제가 심하고 데이터에
민감한 산업에서 조차 새로운 표준(New Normal)이
되었음
기대효과
• 4개 사업부로 확대 적용(Retail Bank/Investing/Auto
Finance/IT-InfoSec)
• 데이터센터 이관 완료로 인해 년간 1조 5천억 IT 운영
및 자산에 대한 관리 비용 절감(500개 App, 4000개 VM
운영)
사례 연구 : 금융 클라우드 인프라 주 공급 업체로 AWS
https://aws.amazon.com/ko/solutions/case-studies/capital-one/