More Related Content

Slideshows for you(20)

Viewers also liked(20)


Similar to AWS Summit Seoul 2015 - AWS를 통한 클라우드 보안 이해하기(20)

More from Amazon Web Services Korea(20)


Recently uploaded(20)

AWS Summit Seoul 2015 - AWS를 통한 클라우드 보안 이해하기

  1. SEOUL ©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
  2. ©2015,  Amazon  Web  Services,  Inc.  or  its  affiliates.  All  rights  reserved AWS  클라우드에서의 보안 이해 양승도 솔루션즈 아키텍트, 아마존 웹서비스 코리아
  3. Multi  level  security • 데이타 센터의 물리적인 보안 • 네트워크 보안 • 시스템 보안 • 데이타 보안 DATA 심층 방어
  4. 전통적인 방식 – Static,  Fixed  Systems DB1 DB2 App1 App2 Web1 Web2 SW1 SW2 LB1 LB2
  5. “Cloud  applications  have amorphous,  polymorphic   attack  surfaces.” -­ Jason  Chan   Director  of  Engineering,   Cloud  Security Netflix
  6. Monday Friday End  of  vacation  season
  7. Security  is  our  #1  priority
  8. This To  this
  9. Shared  Security  Responsibility
  12. Client-­side  Data   Encryption Server-­side  Data   Encryption Network  Traffic   Protection Platform,  Applications,  Identity  &  Access  Management Operating  System,  Network  &  Firewall  Configuration Customer  content Customers AWS와 고객이 보안에 대한 책임 분담 Customers  are   responsible  for   their  security  IN the  Cloud AWS  is   responsible  for   the  security  OF the  Cloud Compute Storage Database Networking AWS  Global   Infrastructure Regions Availability  Zones Edge   Locations AWS  Foundation  Services
  13. Client-­side  Data   Encryption Server-­side  Data   Encryption Network  Traffic   Protection Platform,  Applications,  Identity  &  Access  Management Operating  System,  Network  &  Firewall  Configuration Customer  content Customers 모든 고객은 동일한 AWS 보안 기초위에… Customers  are   responsible  for   their  security  IN the  Cloud Independent  validation  by  experts • Every  AWS  Region  is  in  scope • SOC  1  (SSAE  16  &  ISAE  3402)  Type  II • SOC  2  Type  II  and  public  SOC  3  report • ISO  27001  Certification • Certified  PCI  DSS  Level  1  Service  Provider   • FedRAMP Certification,  HIPAA  capable  
  14. Your  own   compliant   solutions • Culture  of  security  and   continual  improvement • Ongoing  audits  and   assurance • Protection  of  large-­scale   service  endpoints Your  own  ISO     certifications Your  own   external  audits   and  assurance • Achieve  PCI,  HIPAA  and   MPAA  compliance • Certify  against  ISO27001   with  a  reduced  scope • Have  key  controls  audited   or  publish  your  own   independent  attestations Compute Storage Database Networking AWS  Global   Infrastructure Regions Availability  Zones Edge   Locations AWS  Foundation  Services Customers 고객들 스스로 필요한 인증을 받을 수 있습니다!
  15. “Based  on  our  experience,  I  believe  that   we  can  be  even  more  secure  in  the  AWS   cloud than  in  our  own  data  center” Tom  Soderstrom – CTO  – NASA  JPL
  16. Security  is  familiar AWS  의 보안은 지금 수행하고 있는 것과 같은 익숙함을 제공하기 위해서 노력
  17. AWS  Marketplace:  익숙한 솔루션에 대한 One-­stop  shop Advanced   Threat   Analytics Application   Security Identity  and   Access  Mgmt Encryption  &   Key  Mgmt Server  and   Endpoint   Protection Network   Security Vulnerability     &  Pen  Testing
  18. AWS  보안은 더욱 더 나은 가시성 감사 기능 제어
  19. 더 나은 가시성 (NETWORK,  SYSTEM,  AUDIT)
  20. 현재의 네트워크 맵을 정확하게 그릴 수 있나요? 바로 지금 여러분의 운영환경은 어떻게 구성되어 있나요?
  23. You  are  making   API  calls... On  a  growing  set  of   services  … CloudTrail  is   continuously   recording  API   calls… And  delivering   log  files  to  you
  24. 보안 분석 Use  log  files  as  an  input  into  log  management  and  analysis  solutions  to  perform   security  analysis  and  to  detect  user  behavior  patterns. AWS  자원에 대한 변경사항을 추적 Track  creation,  modification,  and  deletion  of  AWS  resources  such  as  Amazon   EC2  instances,  Amazon  VPC  security  groups  and  Amazon  EBS  volumes. 운영문제를 해결 Quickly  identify  the  most  recent  changes  made  to  resources  in  your  environment. 규정준수 지원 Easier  to  demonstrate  compliance  with  internal  policies  and  regulatory  standards. CloudTrail 로 가능한 사용 사례
  25. Example(Logstash) Logstash:  AWS  CloudTrail Edition  -­ powered  by  Stratalux
  26. 더 나은 감사기능 (COMPLIANCE,  HISTORY,  LOG)
  28. Continuous  ChangeRecordingChanging   Resources AWS Config History Stream Snapshot  (ex.  2014-­11-­05)AWS Config
  29. 보안 분석:  Am  I  safe? 규제 감사:  Where  is  the  evidence? 변경 관리:  What  will  this  change  affect? 문제 해결:  What  has  changed? Config 로 가능한 사용 사례
  30. CloudWatch Logs 로 모든 것을 모니터링 Amazon  CloudWatch Logs:  EC2  인스턴스나 다른 자원에 대해서 시스템, 애플리케이션 및 커스텀 로그를 모니터링 할 수 있음. 예를들면; 웹 서버의 HTTP 로그 파일을 모니터링하고 에러(404 등)를 식벽하기 위해 CloudWatch Metrics의 필터를 사용하여 지정된 기간 내에 발생 횟수를 카운트 404 에러의 횟수가 사전에 설정된 임계치에 도달하게 되면 CloudWatch Alarms  가 통지를 할 수 있음. => 문제의 원인을 파악하기 위해 자동으로 티켓을 생성하도록 사용 가능
  31. 더 나은 제어 (DATA,  USER,  NETWORK)
  32. DATA 에 대한 더 나은 제어
  34. Region US-WEST (N. California) EU (Ireland) ASIA PAC (Tokyo) ASIA PAC (Singapore) US-WEST (Oregon) SOUTH AMERICA (Sao Paulo) US-EAST (Virginia) GOV CLOUD ASIA PAC (Sydney) 컴퓨팅과 스토리지의 위치를 고객이 직접 선택 가능 CHINA (Beijing) EU (Frankfurt)
  35. 퍼스트 클래스 보안 및 규정준수는 암호화로 시작됩니다 (그리고 끝나지 않습니다!)
  36. Managed  key  encryption Key  storage  with  AWS  CloudHSM Customer-­supplied  key  encryption DIY  on  Amazon  EC2 Create,  store  &  retrieve  keys  securely Rotate  keys  regularly Securely  audit  access  to  key Partner  enablement  of  crypto AWS  환경에서 암호화 옵션
  37. DIY AWS  Marketplace Partner  Solution AWS  CloudHSM AWS  Key Management   Service 키 생성 및 저장 장소 Your  network  or  in AWS Your  network  or  in AWS In  AWS,  on  an   HSM  that  you   control AWS 키가 사용되는 위치 Your network  or   your  EC2  instance Your network  or   your  EC2  instance AWS  or your   applications AWS  services  or   your  applications 키 사용을 제어하는 방법 Config  files, Vendor-­specific   management Vendor-­specific   management Customer  code  +     Safenet APIs Policy  you  define;;   enforced  in  AWS 성능/확장에 대한 책임 You You You AWS AWS 서비스와의 통합 Limited Limited Limited Yes 가격 모델 Variable Per  hour/per  year Per hour Per  key/usage 키 관리 옵션에 대한 비교
  38. AWS  KMS (Key  Management  Service)
  39. AWS  Key  Management  Service • 암호화 키의 생성, 제어 및 사용을 쉽게 할 수 있도록 지원하는 관리형 서비스 • Amazon  EBS,  Amazon  S3,  Amazon  RDS 및 Amazon   Redshift 와 같은 AWS 서비스와 AWS  SDK에 통합 • 규제 준수 활동에 도움을 줄 수 있는 감사 로그를 제공하기 위해 AWS  CloudTrail 과 통합
  40. AWS  Key  Management  Service Integrated  with  AWS  IAM  Console
  41. AWS  Key  Management  Service Integrated  with  Amazon  EBS
  42. AWS  Key  Management  Service Integrated  with  Amazon  S3
  43. AWS  Key  Management  Service Integrated  with  Amazon  Redshift
  44. USER 에 대한 더 나은 제어
  46. AWS 어카운트를 이용하여 누가 어떤 작업을 할 수 있는 지를 제어
  47. NETWORK 에 대한 더 나은 제어
  48. AWS  Cloud 내에 격리된 사설 네트워크를 생성 Availability  Zone  A Availability  Zone  B AWS  Virtual  Private  Cloud   • Provision  a  logically   isolated section  of  the   AWS  cloud • You  choose  a  private  IP   range for  your  VPC • Segment  this  into  subnets   to  deploy  your  compute   instances AWS  network  security • AWS  network  will  prevent   spoofing and  other   common  layer  2  attacks • You  cannot  sniff  anything   but  your  own  EC2  host   network  interface • Control  all  external  routing   and  connectivity
  49. 애플리케이션 아키텍쳐에 맞게 VPC를 서브넷으로 분리 Web App DBWeb
  50. 각 서브넷에 네트워크 액세서 제어 목록 (NACL) 사용 App DBWeb Web Allow Deny  all  traffic Allow Allow
  51. 각 EC2 인스턴스에 보안 그룹(Security  Group)  방화벽 사용 App DB Port   3306 Web Web Port  443 Port  443 Port   443 Port   443 Port  443
  52. 서브넷에 대한 라우팅 경로 제어(Internet  or  on-­premise) App DBWeb Web PUBLIC PRIVATE PRIVATE REPLICATE  ON-­PREM
  53. Application  Services 안전하게 VPC 간 리소스 공유 Digital   WebsitesBig  Data   Analytics Enterprise   Apps Route  traffic  between   VPCs  in  private  and   peer  specific  subnets   between  each  VPC Even  between  AWS   accounts Common  Services Security  Services AWS  VPC   Peering
  54. 기존 데이터 센터에 안전하게 연결 YOUR  AWS  ENVIRONMENT AWS   Direct Connect YOUR   PREMISES Digital   Websites Big  Data   Analytics Dev and   Test Enterprise   Apps AWS   Internet   VPN
  55. AWS  SECURITY  는 제공합니다 더 나은 가시성 더 나은 감사 기능 더 나은 제어
  56. 심층 방어 Data AWS  compliance   program Third-­party attestations Physical Security  groups VPC  configuration NetworkSecurity Web  application   firewalls Bastion  hosts Encryption   in-­transit Hardened  AMIs OS  and  app patch  mgmt. IAM  roles  for  EC2 IAM  credentials System  security Logical  access   controls User  authentication Encryption   at-­rest Data  security
  57. 더 이상 보안은 클라우드 도입을 가로막는 걸림돌이 아닙니다!
  58. 이제는 보안과 규제준수가 클라우드를 도입하는 중요한 이유가 되고 있습니다!
  60. SEOUL