SEOUL
©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved

©2015, Amazon Web Services, Inc. or its affiliates. All rights reserved
AWS 클라우드에서의 보안 이해
양승도
솔루션즈 아키텍트, 아마존 웹서비스 코리아

Multi level security
• 데이타 센터의 물리적인 보안
• 네트워크 보안
• 시스템 보안
• 데이타 보안
DATA
심층 방어

전통적인 방식 – Static, Fixed Systems
DB1 DB2
App1 App2
Web1 Web2
SW1 SW2
LB1 LB2

“Cloud applications have
amorphous, polymorphic
attack surfaces.”
-­ Jason Chan
Director of Engineering,
Cloud Security
Netflix

Monday Friday End of vacation season

Security is our #1 priority

This
To this

Shared Security Responsibility

WHAT NEEDS
TO BE DONE
TO KEEP THE
SYSTEM SAFE

WHAT
WE DO
WHAT YOU
HAVE TO DO

Client-­side Data
Encryption
Server-­side Data
Encryption
Network Traffic
Protection
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer content
Customers
AWS와 고객이 보안에 대한 책임 분담
Customers are
responsible for
their security IN
the Cloud
AWS is
responsible for
the security OF
the Cloud
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge
Locations
AWS Foundation Services

Client-­side Data
Encryption
Server-­side Data
Encryption
Network Traffic
Protection
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer content
Customers
모든 고객은 동일한 AWS 보안 기초위에…
Customers are
responsible for
their security IN
the Cloud
Independent validation by experts
• Every AWS Region is in scope
• SOC 1 (SSAE 16 & ISAE 3402) Type II
• SOC 2 Type II and public SOC 3 report
• ISO 27001 Certification
• Certified PCI DSS Level 1 Service Provider
• FedRAMP Certification, HIPAA capable

Your own
compliant
solutions
• Culture of security and
continual improvement
• Ongoing audits and
assurance
• Protection of large-­scale
service endpoints
Your own ISO
certifications
Your own
external audits
and assurance
• Achieve PCI, HIPAA and
MPAA compliance
• Certify against ISO27001
with a reduced scope
• Have key controls audited
or publish your own
independent attestations
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge
Locations
AWS Foundation Services
Customers
고객들 스스로 필요한 인증을 받을 수 있습니다!

“Based on our experience, I believe that
we can be even more secure in the AWS
cloud than in our own data center”
Tom Soderstrom – CTO – NASA JPL

Security is familiar
AWS 의 보안은
지금 수행하고 있는 것과 같은
익숙함을 제공하기 위해서 노력

AWS Marketplace: 익숙한 솔루션에 대한 One-­stop shop
Advanced
Threat
Analytics
Application
Security
Identity and
Access Mgmt
Encryption &
Key Mgmt
Server and
Endpoint
Protection
Network
Security
Vulnerability
& Pen Testing

AWS 보안은 더욱 더 나은
가시성
감사 기능
제어

더 나은 가시성
(NETWORK, SYSTEM, AUDIT)

현재의 네트워크 맵을 정확하게
그릴 수 있나요?
바로 지금 여러분의 운영환경은
어떻게 구성되어 있나요?

TRUSTED ADVISOR

AWS CLOUDTRAIL

You are making
API calls...
On a growing set of
services …
CloudTrail is
continuously
recording API
calls…
And delivering
log files to you

보안 분석
Use log files as an input into log management and analysis solutions to perform
security analysis and to detect user behavior patterns.
AWS 자원에 대한 변경사항을 추적
Track creation, modification, and deletion of AWS resources such as Amazon
EC2 instances, Amazon VPC security groups and Amazon EBS volumes.
운영문제를 해결
Quickly identify the most recent changes made to resources in your environment.
규정준수 지원
Easier to demonstrate compliance with internal policies and regulatory standards.
CloudTrail 로 가능한 사용 사례

Example(Logstash)
Logstash: AWS CloudTrail Edition -­ powered by Stratalux

더 나은 감사기능
(COMPLIANCE, HISTORY, LOG)

AWS CONFIG

Continuous ChangeRecordingChanging
Resources
AWS Config
History
Stream
Snapshot (ex. 2014-­11-­05)AWS Config

보안 분석: Am I safe?
규제 감사: Where is the evidence?
변경 관리: What will this change affect?
문제 해결: What has changed?
Config 로 가능한 사용 사례

CloudWatch Logs 로 모든 것을 모니터링
Amazon CloudWatch Logs: EC2 인스턴스나 다른 자원에
대해서 시스템, 애플리케이션 및 커스텀 로그를 모니터링
할 수 있음. 예를들면;
웹 서버의 HTTP 로그 파일을 모니터링하고 에러(404
등)를 식벽하기 위해 CloudWatch Metrics의 필터를
사용하여 지정된 기간 내에 발생 횟수를 카운트
404 에러의 횟수가 사전에 설정된 임계치에 도달하게 되면
CloudWatch Alarms 가 통지를 할 수 있음.
=> 문제의 원인을 파악하기 위해 자동으로 티켓을
생성하도록 사용 가능

더 나은 제어
(DATA, USER, NETWORK)

DATA
에 대한 더 나은 제어

YOUR DATA STAYS
WHERE YOU PUT IT

Region
US-WEST (N. California) EU (Ireland)
ASIA PAC
(Tokyo)
ASIA PAC
(Singapore)
US-WEST (Oregon)
SOUTH AMERICA (Sao Paulo)
US-EAST (Virginia)
GOV CLOUD
ASIA PAC
(Sydney)
컴퓨팅과 스토리지의 위치를 고객이 직접 선택 가능
CHINA (Beijing)
EU (Frankfurt)

퍼스트 클래스 보안 및 규정준수는
암호화로 시작됩니다
(그리고 끝나지 않습니다!)

Managed key encryption
Key storage with AWS CloudHSM
Customer-­supplied key encryption
DIY on Amazon EC2
Create, store & retrieve keys securely
Rotate keys regularly
Securely audit access to key
Partner enablement of crypto
AWS 환경에서 암호화 옵션

DIY
AWS Marketplace
Partner Solution
AWS CloudHSM
AWS Key
Management
Service
키 생성 및
저장 장소
Your network or in
AWS
Your network or in
AWS
In AWS, on an
HSM that you
control
AWS
키가 사용되는 위치 Your network or
your EC2 instance
Your network or
your EC2 instance
AWS or your
applications
AWS services or
your applications
키 사용을 제어하는
방법
Config files,
Vendor-­specific
management
Vendor-­specific
management
Customer code +
Safenet APIs
Policy you define;;
enforced in AWS
성능/확장에 대한
책임
You You You AWS
AWS 서비스와의
통합
Limited Limited Limited Yes
가격 모델 Variable Per hour/per year Per hour Per key/usage
키 관리 옵션에 대한 비교

AWS KMS
(Key Management Service)

AWS Key Management Service
• 암호화 키의 생성, 제어 및 사용을 쉽게 할 수 있도록
지원하는 관리형 서비스
• Amazon EBS, Amazon S3, Amazon RDS 및 Amazon
Redshift 와 같은 AWS 서비스와 AWS SDK에 통합
• 규제 준수 활동에 도움을 줄 수 있는 감사 로그를
제공하기 위해 AWS CloudTrail 과 통합

AWS Key Management Service
Integrated with AWS IAM Console

AWS Key Management Service
Integrated with Amazon EBS

AWS Key Management Service
Integrated with Amazon S3

AWS Key Management Service
Integrated with Amazon Redshift

USER
에 대한 더 나은 제어

LEAST PRIVILEGE PRINCIPLE

AWS 어카운트를 이용하여 누가 어떤 작업을
할 수 있는 지를 제어

NETWORK
에 대한 더 나은 제어

AWS Cloud 내에 격리된 사설 네트워크를 생성
Availability Zone A
Availability Zone B
AWS Virtual Private Cloud
• Provision a logically
isolated section of the
AWS cloud
• You choose a private IP
range for your VPC
• Segment this into subnets
to deploy your compute
instances
AWS network security
• AWS network will prevent
spoofing and other
common layer 2 attacks
• You cannot sniff anything
but your own EC2 host
network interface
• Control all external routing
and connectivity

애플리케이션 아키텍쳐에 맞게 VPC를 서브넷으로 분리
Web App
DBWeb

각 서브넷에 네트워크 액세서 제어 목록 (NACL) 사용
App
DBWeb
Web
Allow
Deny all traffic
Allow
Allow

각 EC2 인스턴스에 보안 그룹(Security Group) 방화벽 사용
App
DB
Port
3306
Web
Web
Port 443
Port 443
Port
443
Port
443
Port 443

서브넷에 대한 라우팅 경로 제어(Internet or on-­premise)
App
DBWeb
Web
PUBLIC
PRIVATE PRIVATE
REPLICATE ON-­PREM

Application Services
안전하게 VPC 간 리소스 공유
Digital
WebsitesBig Data
Analytics
Enterprise
Apps
Route traffic between
VPCs in private and
peer specific subnets
between each VPC
Even between AWS
accounts
Common Services
Security Services
AWS VPC
Peering

기존 데이터 센터에 안전하게 연결
YOUR AWS ENVIRONMENT
AWS
Direct
Connect
YOUR
PREMISES
Digital
Websites
Big Data
Analytics
Dev and
Test
Enterprise
Apps
AWS
Internet
VPN

AWS SECURITY 는 제공합니다
더 나은 가시성
더 나은 감사 기능
더 나은 제어

심층 방어
Data
AWS compliance
program
Third-­party
attestations
Physical
Security groups
VPC configuration
NetworkSecurity
Web application
firewalls
Bastion hosts
Encryption
in-­transit
Hardened AMIs
OS and app
patch mgmt.
IAM roles for EC2
IAM credentials
System security
Logical access
controls
User authentication
Encryption
at-­rest
Data security

더 이상 보안은
클라우드 도입을 가로막는
걸림돌이 아닙니다!

이제는 보안과 규제준수가
클라우드를 도입하는
중요한 이유가 되고 있습니다!

AWS.AMAZON.COM/SECURITY

SEOUL