Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

쉽게 알아보는 AWS 클라우드 보안 :: 임기성 & 신용녀 :: AWS Summit Seoul 2016

4,794 views

Published on

5월 17일 서울COEX에서 열린 AWS Summit Seoul 2016에서 임기성 솔루션즈 아키텍트님과 신용녀 솔루션즈 아키텍트님이 발표하신 "쉽게 알아보는 AWS 클라우드 보안" 발표자료입니다

Published in: Technology
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/qURD } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/qURD } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/qURD } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/qURD } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/qURD } ......................................................................................................................... Download doc Ebook here { https://soo.gd/qURD } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

쉽게 알아보는 AWS 클라우드 보안 :: 임기성 & 신용녀 :: AWS Summit Seoul 2016

  1. 1. 쉽게 알아보는 AWS 클라우드 보안 임기성 | 솔루션즈 아키텍트 2016년 5월 17일
  2. 2. 목 차 • 클라우드 보안 • AWS 책임 공유 모델 • 더 나은 가시성 • 더 나은 제어 • 더 나은 감사기능
  3. 3. 다 계층 보안 • 데이터 센터의 물리적인 보안 • 네트워크 보안 • 시스템 보안 • 데이터 보안 심층 방어
  4. 4. 전통적인 방식 – 정적이고 고정적인 시스템 DB1 DB2 App1 App2 Web1 Web2 SW1 SW2 LB1 LB2
  5. 5. 월요일 금요일 휴가 시즌의 끝
  6. 6. 클라우드의 다이나믹한 환경을 전통적인 보안 접근방식으로 잘 방어할 수 있을까요?
  7. 7. 전적으로 AWS에서 AWS는 클라우드에 최적화된 보안을 제공합니다. 다이내믹한 API 레이어에 대 한 완 벽 한 보 안 ( 인 증 + 인 가 + 로 깅 ) 을 제공하고 있습니다. 기 존 에 수 행 하 던 방 식 과 유사하게 적용하실 수 있도록 다 양 한 기 능 을 제 공 하 고 있습니다. 물리 보안 네트워크 보안 관리적 보안 서비스 보안 하이퍼바이저 보안 운영체제 보안 어플리케이션 보안 비지니스 프로세스
  8. 8. 책임 공유 모델 AWS 기본 서비스 컴퓨팅 스토리지 데이터베이스 네트워킹 AWS 글로벌 인프라 리전 가용 영역 엣지 로케이션 클라이언트 측 데이터 암호화 및 데이터 무결성 인증 서버 측 암호화 (파일 시스템 or 데이터) 네트워크 트래픽 보호 (암호화/무결성/자격 증명) 플랫폼, 어플리케이션, 신원 및 접근 제어(IAM) 운영체제, 네트워크, 방화벽 설정 고객 어플리케이션 및 컨텐츠 Customers AWS 서비스 파트너 솔루션 AWS와 고객이 보안을 함께 완성할 책임이 있습니다.
  9. 9. AWS 보안 기능들 AWS 컴플라이언스 프로그램 물리적 출입통제 물리적 보안 그룹 VPC NACL설정 네트웍 VPC Flow Logs Bastion Hosts / NAT HTTPS / SSL / TLS Service Catalog Config IAM(MFA/Role) Cloud Watch Logs 시스템보안 KMS CloudHSM CloudTrail 데이터보안
  10. 10. 보안은 AWS의 최우선 순위 과제입니다! 2007 2008 2009 2010 2011 2012 2013 2014 2015 48 61 82 159 280 514 722 269 (37%) 고객층의 증가와 더불어 더 나은 서비스 제공을 위해 보안, 규제/감사, 거버넌스 관련 다양한 업데이트를 빠르게 진행 보안, 거버넌스, 컴플라이언스, 감사 관련 신규 서비스 출시 및 업데이트 기타 신규 서비스 출시 및 업데이트 2015년에는 전년대비 40% 증가한, 722건의 새로운 서비스 및 기능을 출시
  11. 11. AWS는 주요 규제/표준/모범사례를 준수합니다.
  12. 12. 규제/표준 준수 - 스토리지 보안 • 독자적인 스토리지 관리 기능으로 타인의 데이터 접근 완벽히 통제 • 사용전 디스크 청소(Disk Wiping) • 데이터 저장 시 고객이 직접 암호화 적용 가능 • 산업표준에 따른 디스크 폐기 처리
  13. 13. 이것이 이렇게
  14. 14. “우리의 경험을 바탕으로 보면, AWS 클라우드가 우리의 데이터센터보다 더 안전할 수 있다고 생각합니다” – Tom Soderstrom, CTO, NASA JPL
  15. 15. “AWS 의 보안은 여러분이 지금 수행하고 있는 것과 같은익숙함을 제공하기 위해서 지속적으로 노력하고 있습니다.” • 가시성(Visibility) • 제어(Controllability) • 감사 기능(Auditability)
  16. 16. 더 나은 가시성 (네트워크, 시스템, 감사)
  17. 17. 가시성: 보안의 기본 속성 여러분의 데이터 센터를 보면… 한눈에 전체의상황이 다 들어오는 것을 원하시겠지만, 보통 이런 그림을 보시게 됩니다.
  18. 18. 가시성: 보안의 기본 속성 하지만 클라우드에서는… • 인프라 = software! • 변경이 빈번하게 발생하고, 자동화 되며, 즉각 반영된다. • 리소스 등이 서로 연계되어 있음. • 셀프서비스와 민첩성.
  19. 19. 가시성: 보안의 기본 속성 하지만 클라우드에서는… • 인프라 = software! • 변경이 빈번하게 발생하고, 자동화 되며, 즉각 반영된다. • 리소스 등이 서로 연계되어 있음. • 셀프서비스와 민첩성.
  20. 20. AWS CloudWatch AWS 리소스와 AWS기반 어플리케이션에 대한 모니터링 서비스 EC2 AutoScaling ELB Route 53 EBS Storage Gateway CloudFront DynamoDB ElastiCache RDS EMR SNS SQS EBS 빌링 취합과추적항목들 Custom 모니터링 과 로그 저장 경보 설정 그래프와 통계 조회
  21. 21. CloudWatch Logs로 모든 것을 모니터링 • Amazon CloudWatch Logs: EC2 인스턴스나 다른 자원에 대해서 시스템, 애플리케이션 및 커스텀 로그를 모니터링 할 수 있음. 예를들면; • 웹 서버의 HTTP 로그 파일을 모니터링하고 에러(404 등)를 식별하기 위해 CloudWatch Metrics의 필터를 사용하여 지정된 기간 내에 발생 횟수를 카운트 • 404 에러의 횟수가 사전에 설정된 임계치에 도달하게 되면 CloudWatch Alarms 가 통지를 할 수 있음. => 문제의 원인을 파악하기 위해 자동으로 티켓을 생성하도록 사용 가능
  22. 22. AWS Trusted Advisor Security
  23. 23. AWS Inspector • Agent 기반 - 어플리케이션 보안 수준 진단 • 보안 진단 결과 – 가이드 제공 • API를 통한 자동화 • Rule Package • CVE (common vulnerabilities and exposures) – 수천개 항목 • Network security best practices – 4개 항목 • Authentication best practices – 9개 항목 • Operating system security best practices – 4개 항목 • Application security best practices – 2개 항목 • PCI DSS 3.0 readiness – 25개 항목
  24. 24. 더 나은 제어 (데이터, 사용자, 네트워크)
  25. 25. 컴퓨팅과 스토리지의 위치를 고객이 직접 선택 가능
  26. 26. 퍼스트 클래스 보안 및 규정준수는 암호화로 시작됩니다 (그리고 끝나지 않습니다!)
  27. 27. Encryption - 전송중 / 저장시 암호화 자세한 정보가 담긴 백서,“Securing Data at Rest with Encryption”. 전송 중 암호화 HTTPS SSL/TLS SSH VPN Object 저장 시 암호화 Object Database Filesystem Disk
  28. 28. AWS KMS - 암호화키 생성/보관/관리 Customer Master Key(s) Data Key 1 Amazon S3 Object Amazon EBS Volume Amazon Redshift Cluster Data Key 2 Data Key 3 Data Key 4 • 암호화키를 안전하게 생성/보관/관리 해주는 관리형 서비스 • 중앙 집중 암호화 키 관리: EBS S3 Redshift AWS SDK AWS CloudTrail 자세한 내용을 담고 있는 백서: KMS Cryptographic Details.
  29. 29. AWS Key Management Service 다양한 AWS 서비스들과 통합 IAM S3 RedShift GlacierEBS RDS
  30. 30. AWS Key Management Service 다양한 AWS 서비스들과 통합 IAM S3 RedShift GlacierEBS RDS
  31. 31. AWS Key Management Service Integrated with Amazon EBS
  32. 32. USER에 대한 더 나은 제어
  33. 33. AWS Identity and Access Management (IAM) AWS서비스와 리소스에 대한 안전한 접근 통제. 사용자 이름 / 사용자 사용자 그룹 관리 중앙화된 접근 제어 관리 • 사용자, 그룹, 롤(Role) 및 권한 • 제어 • 중앙집중식 • 잘 갖춰진 – APIs, 자원 및 AWS 관리 콘솔 • 보안 • 기본적으로 안전함(거부 규칙) • 다중 사용자, 개별 보안 신원 및 권한 계정에서 누가 무엇을 할 수 있는지 제어
  34. 34. NETWORK에 대한 더 나은 제어
  35. 35. AWS Cloud 내에 격리된 사설 네트워크를 생성 가용영역A 가용영역B AWS Virtual Private Cloud • 논리적으로 분리된 일종의 가상 사설망을 제공 • VPC상에서 사설 IP대역을 선택 • 적절하게 서브넷팅하고 EC2 인스턴스를 배치 AWS network security • AWS 는 IP Spoofing과 같은 레이어 2 공격 차단 • 소유하지 않은 EC2인스턴스에 대한 스니핑 불가 • 외부와의 모든 라우팅과 연결을 통제
  36. 36. 애플리케이션 아키텍쳐에 맞도록 서브넷 분리 Web App DBWeb
  37. 37. 각 서브넷에 네트워크 접근 제어 목록(NACL) 사용 App DBWeb Web Deny all traffic Allow
  38. 38. 각 EC2 인스턴스에 보안 그룹(Security Group) 방화벽 사용 App DBWeb Web Port 443 Port 443 Deny all traffic
  39. 39. 서브넷에 대한 라우팅 제어 (인터넷 or 고객DC) Private App On-Prem 복제 DB Public Private Web Web
  40. 40. 기존 데이터 센터에 안전하게 연결 AWS AWS Direct Connect 고객 DC 기업용 App 빅 데이터 분석 개발/ 테스트 기업용 App AWS Internet VPN
  41. 41. WEB WAS WEB WAS www.a.com WAF on CloudFront edges users Safe Traffic Edge Location Edge Location … 54 edges WAF WAF hackers Bad bots legitimate traffic SQL Injection, XSS, .. site scripting AWS WAF 웹방화벽
  42. 42. 더 나은 감사기능 (컴플라이언스, 히스토리, 로그)
  43. 43. But what does a jellyfish have to do with compliance? 감사 증적 • 많은 수의 컴플라이언스 감사작업에서 임의 시간에 시스템상태에 대한 접근을 필요 (i.e., PCI, HIPAA) • 모든 리소스와 그것들의 구성정보에 대한 완벽한 인벤토리는 어떤 순간에도 활용 가능해야 한다.
  44. 44. 모든 작업은 API 콜로 처리됨... 사용하는 서비스와 인스턴스들이 늘어 남에 따라 … CloudTrail은 계속해서 모든 API 요청들에 대해 신뢰성 있는 기록을 수행… AWS CloudTrail AWS상의 모든 관리작업에 대한 로깅
  45. 45. AWS Config AWS리소스에 대한 인벤토리 관리와 구성정보 변경관리 및 통보(AWS SNS) 변경 관리 감사 컴플라이언스 보안 분석 Troubleshooting Discovery 보안 분석: 나는 안전한가요? 규정 감사: 어디에 증거가 있나요? 변경 관리: 이 변경에 대한 영향은? 문제 해결: 무엇이 변경되었나요?
  46. 46. AWS Config Rules • 변경된 내역에 대해 검증하는 규칙 설정 • AWS가 제공하는 내장된 규칙 사용 • AWS Lambda를 활용한 커스텀 규칙 지원 • 지속적인 진단수행을 자동화 • 컴플라이언스 시각과나 위험한 변경을 식별하기 위해 대쉬보드 제공
  47. 47. AWS Config Rules
  48. 48. AWS Config Rules
  49. 49. 필요에 따라 네트워크/보안 관련 다양한 솔루션들을 선택하실 수 있습니다. 인프라 보안 로깅 모니터링 계정 및 접근제어 구성 및 취약점 제어 데이터 보호 SaaS SaaS SaaS
  50. 50. 더 이상 보안은 클라우드 도입을 가로막는 걸림돌이 아닙니다!
  51. 51. 사례 연구 : 암호화 기반의 빅 데이터 분석 "나스닥 그룹은 클라우드 도입 이후 아마존 Redshift를 사용하기 때문에 매우 만족하고 있다. 현재, 매일 우리가 아마존 Redshift에 55 억 행 데이터가 처리 되고 있습니다.” -- Nate Simmons, Principal Architect http://aws.amazon.com/cn/solutions/case-studies/nasdaq-finqloud/ http://aws.amazon.com/solutions/case-studies/nasdaq-omx/ S3 EMR HSM 암호화된 데이터 S3에 저장 암호화된 데이터 EMR로 처리 HSM에서 온 암호화 키 계층 S3 암호화 클라이언트 EMR 이용시에만 암호 해독
  52. 52. AWS 보안 센터 다양한 보안 정보 및 문서를 제공하는 AWS 보안 포털: http://aws.amazon.com/security • 보안 프로세스 소개 • AWS 리스크 및 컴플라이언 • AWS 보안 베스트 프랙티스 보안 백서 보안 리소스 취약점 리포팅 침해 테스팅 신청 절차 수상한 이메일 신고 보안 게시판
  53. 53. 보안 리소스 및 블로그 보안 리소스, 교육, 도구들에 대한 광범위한 소개: http://aws.amazon.com/security/security-resources/ 개발자 정보 기고문 + 튜토리얼 보안 제품 백서 AWS보안 및 컴플라이언스와 관련된 최신 정보를 제공: http://blogs.aws.amazon.com/security/ AWS 보안 블로그 AWS 보안 리소스 https://aws-preview.aka.amazon.com/ko/blogs/korea/
  54. 54. 이제는 보안과 규제준수가 클라우드를 도입하는 중요한 이유가 되고 있습니다!
  55. 55. 감사합니다!
  56. 56. 여러분의 피드백을 기다립니다! https://www.awssummit.co.kr 모바일 페이지에 접속하셔서, 지금 세션 평가에 참여하시면, 행사 후 기념품을 드립니다. #AWSSummit 해시태그로 소셜 미디어에 여러분의 행사 소감을 올려주세요. 발표 자료 및 녹화 동영상은 AWS Korea 공식 소셜 채널로 곧 공유될 예정입니다.

×