4. 보안은 AWS의 최우선 순위 과제입니다!
고객층의 증가와 더불어 더 나은 서비스 제공을 위해 보안, 규제/감사,
거버넌스 관련 다양한 업데이트를 빠르게 진행
2007 2008 2009 2010 2011 2012 2013 2014 2015
48 61
82
159
280
514
722
269
(37%)보안, 거버넌스, 컴플라이언스, 감사 관련
신규 서비스 출시 및 업데이트
기타 신규 서비스 출시 및 업데이트
2015년에는 전년대비 40% 증가한, 722건의 새로운 서비스 및 기능을 출시
6. AWS와 고객이 보안에 대한 책임 분담
Client-side Data
Encryption
Server-side Data
Encryption
Network Traffic
Protection
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer content
Customers
Customers are
responsible for
their security IN
the Cloud
AWS is
responsible for
the security OF
the Cloud
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge
Locations
AWS Foundation Services
7. 모든 고객은 동일한 AWS 보안 기초위에…
Client-side Data
Encryption
Server-side Data
Encryption
Network Traffic
Protection
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer content
Customers
Customers are
responsible for
their security IN
the Cloud
Independent validation by experts
• Every AWS Region is in scope
• SOC 1 (SSAE 16 & ISAE 3402) Type II
• SOC 2 Type II and public SOC 3 report
• ISO 27001 Certification
• Certified PCI DSS Level 1 Service Provider
• FedRAMP Certification, HIPAA capable
10. Amazon VPC - 격리된 사설 네트워크가용영역A
가용영역B
AWS Virtual Private Cloud
• 논리적으로 분리된 일종의
가상 사설망을 제공
• VPC상에서 사설 IP대역을
선택
• 적절하게 서브넷팅하고
EC2 인스턴스를 배치
AWS network security
• AWS 는 IP Spoofing과 같은
레이어 2 공격 차단
• 소유하지 않은 EC2인스턴스에
대한 스니핑 불가
• 외부와의 모든 라우팅과
연결을 통제
11. Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet
Subnet: 10.1.10.0/24
EIP EIP
Amazon VPC - 격리된 사설 네트워크
12. AWS 방화벽 – 보안그룹 ( Security Group )
보안그룹
인스턴스 단위 적용
적용포인트 : 인바운드/아웃 바운
Protocol : 모든 인터넷 프로토콜
지원
IP/Port 에 대한 접속 허용/차단
Stateful 방화벽
보안그룹
13. AWS 방화벽 - Network ACL(NACL)
Availability Zone
‘A’
Availability Zone
‘B’
Network ACL
• 서브넷 단위 적용
• Stateless 방화벽
• DENY 규칙 적용 가능
14. 웹/어플
리케이
션 서버
DMZ 퍼블릭 서브넷
ssh
bastion
NAT
ELB사용자
관리자
인터넷
Amazon EC2
보안그룹
보안그룹
보안그룹
security group
frontend 프라이빗 서브넷
TCP:
8080
Amazon EC2
TCP:
80/443
backend 프라이빗 스브넷
security group
TCP: 1433;
3306
MySQL
db
TCP: Outbound
TCP: 22
단일 VPC 기반 보안 구성 예시
18. VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
…
Firewall
IDS/IPS
...
UTM
WEB
WAS …
DB
…
(10.0.0.0/16 : Local)
…
0.0.0.0/0 : UTM
10.0.0.0/16 : Local
0.0.0.0/0 : IGW
…
대상 subnet 내 트래픽이 UTM 인스턴스를
경유하도록 Route Table 설정
Network Security관련된 설정을 단일
UTM솔루션에서 관리
성능 병목점이나 Single Failure Point 여부
확인 필요
AWS VPC 제공 기능(pub/pri subnet, nat,
nacl, …) 활용이 제한적임
보안관제 - 2. 침입탐지 (UTM Gateway 유형)
19. VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
…
UTM
(Active
)
WEB
WAS …
DB
…
(10.0.0.0/16 : Local)
…
0.0.0.0/0 : Firewall
10.0.0.0/16 : Local
0.0.0.0/0 : IGW
…
UTM
(Stand
-by)
Conf. Sync.
Move EIP or
ENI
A-S형태로 구성 후 장애 발생 시
EIP나 ENI 를 Standby 인스턴스로
맵핑
A-S 가 단일 subnet을 벗어나 az간
구성이 가능한지, A-S 절체 시간이
얼마나 소요되는지 확인 필요
보안관제 - 2. 침입탐지 (UTM Gateway A-S 유형)
20. VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
UTM
(Standalone)
WEB
WAS … …
(10.0.0.0/16 : Local)
…
0.0.0.0/0 : Firewall
10.0.0.0/16 : Local
0.0.0.0/0 : IGW
…
WEB
WAS
10.0.2.0/24
UTM
(Standalone)
AZ 1 AZ 2
StandAlone 타입으로 az간 구성 후
ELB나 Route53으로 이중화 구성
관리대상 서버의 subnet이
참조하는 route table 셋팅을
UTM으로 해야함
or
보안관제 - 2. 침입탐지 (UTM Gateway A-A 유형)
22. VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
…
Firewall
IDS/IPS
AV/Malwar
e...
UTM
Manager
WAS
… Batch
…
10.0.0.0/16 : Local
0.0.0.0/0 : NAT
…
10.0.0.0/16 : Local
0.0.0.0/0 : IGW
…
A A
10.0.2.0/24
WEB
…
A
10.0.127.0/24
NAT
A
대상 인스턴스에 agent 설치 후
이를 관리
Scalability , Availability 장점
AWS Security Group, NACL과 UTM
F/W기능을 조합하여 관리하여야 함
보안관제 - 2. 침입탐지 (UTM Agent 유형 – Hosted IDS)
23. AZ 2AZ 1
• 고객 VPC 내 proxy형 WAF 설치 운영
• ELB 샌드위치 내 WAF 구성 (상단
external ELB는 Route53으로 필요시
대체하거나 UTM 복합 구성)
• WAF 리소스를 모니터링하여 Scaling
구성 대비 필요
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
WAF
(Standalone)
WEB
WAS … …
WEB
WAS
10.0.2.0/24
WAF
(Standalone)
or
보안관제 - 3. 웹 방화벽 (Gateway 유형1)
24. • Proxy형 WAF1의 변형으로 WAF 내
target 설정이 단일 IP 만 지원하는
솔루션
• WEB 서버를 WAF 타겟으로 하고
WEB/WAS 구간을 was bridge로
구성(internal ELB 구성도 OK)
• WAF 상단 구성은 ELB, Route53 또는
WEB 서버, UTM 선택 구성 가능AZ 2AZ 1
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
WAF
(Standalone)
WEB
… …WEB
10.0.2.0/24
WAF
(Standalone)
WAS
… …WAS
or
보안관제 - 3. 웹 방화벽 (Gateway 유형2)
25. • 직접 WAF 운용 부담없이 손쉬운
설정만으로 서비스 이용
• 웹서비스의 보안성을 손쉽게 높임
• 사용자 요청 데이타가 1차로 SaaS형
WAF시스템으로 유입되어 data
기밀성에 대해 일부 고객층 거부감
• SaaS WAF <-> Web Ser.간 network
환경 확인 필요 ( 같은 AWS Region
이면 OK )
WEB
WAS
WEB
WAS
www.example.
com
Name
Server
WAF
(monitor
&
filter)
SaaS형 WAF
User
nslookup
www.example.com
Safe
Traffic
보안관제 - 3. 웹 방화벽 (SaaS 유형)
26. WEB
WAS
WEB
WAS
www.a.com WAF on
CloudFront edges
users
Safe
Traffic
Edge
Location
Edge
Location
…
73 edges
WAF
WAF
hackers
Bad bots
legitimate
traffic
SQL
Injection,
XSS, ..
site
scripting
• CloudFront edge단에서
WAF가 monitor & filter처리
• 분산된 edge에서 처리되어
scaling에 대한 부담 없음
• SQL injection, XSS 룰셋 기본
제공
• CloudFront 사용이 전제됨
보안관제 - 3. 웹 방화벽 (CDN 유형)
27. 보안관제 - 네트워크 보안 제품 마켓플레이스 현황
Solution Company Product name Seoul Region Type
UTM Trend Micro Trend Micro Deep Security (Classic) OK Agent
UTM Sophos Sophos UTM 9 (Support for Auto Scaling BYOL) OK Gateway
UTM paloalto VM Series Next-Gen F/W OK Gateway
UTM Fortinet FortiGate-VM Limited (above c4) Gateway
UTM Check Point Check Point vSEC (PAYG) OK Gateway
UTM Barracuda Barracuda NextGen Firewall F-Series Limited (above c4) Gateway
WAF Fortinet FortiWeb-VM OK Gateway
WAF Penta Security CloudBric OK SaaS
WAF Penta Security Wapples OK Gateway
WAF Monitorapp Monitorapp OK Gateway
WAF Barracuda Barracuda WAF OK Gateway
WAF/DDoS Imperva Incapsular OK(from Tokyo) SaaS
WAF Imperva SecureSphere WAF AV1000 Gateway v11.0 OK Gateway
28. 보안관제 – DDoS 대응
• DDoS 대응을 위한 AWS Best Practices
• AWS Shield (DDoS 관제 서비스)
29. AWS Shield Standard
레이어 3/4 보호
자동 탐지 및 대응
가장 흔한 공격유형에 대한
방어 (SYN/UDP Floods,
Reflection Attacks, 등)
AWS 서비스에 밀결합
레이어 7 보호
레이어 7 디도스 공격 대응을
위해 AWS WAF 활용
셀프서비스 및 사용량 과금
30. AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호
31. 24x7 기반 DDoS 대응 팀 연계
• 중대하고 급박한 우선순위의 케이스에 대해 신속
하게 답변이 제공될 수 있도록 디도스 전문가와
직접 연결됨
• 복잡한 케이스를 AWS 및 아마존을 비롯한 기타
서비스들을 보호하고 있는 경험많은 AWS 디도스
대응팀(DRT)으로 바로 요청할 수 있음.
32. 보안관제 - 요약
Requirement AWS AWS Marketplace
Managed Security
Service Partner
방화벽
방화벽: NACL, Security Group
방화벽 로그: VPC Flow Logs
Hosted Agent, Gateway 형
TrendMicro Deep Security
Sophos UTM, PaloAlto NGFW,
CheckPoint vSEC, Barracuda NGFW,
FortiGate-VM, Junipher vSRX
CyberMethod, PCS,
MSP – 메가존,
GS네오텍, 베스핀
침입탐지
Ahnlab, SKinfosec
- 원격 관제
웹 방화벽
AWS WAF Gateway, WAF on CDN, SaaS 형
CloudBric, Wapples, WIWAF, Barracuda
WAF, SecureSphere WAF AV1000
웹 쉘
ShellMonitor, Anti-WebShell
DDoS 대응
DDoS Best Practice
AWS Shield
주로 SaaS 형
DDoS툴: Incapsula, aiProtect
DDoS툴 포함 관제: IndusGuard Premiu
m
34. Encryption - 전송중 / 저장시 암호화
자세한 정보가 담긴 백서,“Securing Data at Rest with Encryption”.
전송 중 암호화
HTTPS
SSL/TLS
SSH
VPN
Object
저장 시 암호화
Object
Database
Filesystem
Disk
35. AWS KMS - 암호화키 생성/보관/관리
Customer Master
Key(s)
Data Key 1
Amazon
S3
Object
Amazon
EBS
Volume
Amazon
Redshift
Cluster
Data Key 2 Data Key 3 Data Key 4
• 암호화키를 안전하게 생성/보관/관리 해주는 관리형
서비스
• 중앙 집중 암호화 키 관리:
EBS S3 Redshift
AWS
SDK
AWS CloudTrail
자세한 내용을 담고 있는 백서: KMS Cryptographic Details.
40. AWS IAM : 인증, 인가 그리고 인증 연계
User, Group 그리고 Role
Security credentials
• Login/Password
• Access/secret keys (APIs, CLI)
• MFA device(선택사항)
AWS 리소스 사용에 대한 유연한
인가 정책 구성
Account
Administrator
s
Developers Applications
Jim
Bob
Brad
Mark
Susan
Kevin
Monitor
Reporting
WAS
Batch
Groups Roles
Multi-factor
authentication
Service UsersConsole Users
41. AWS IAM 권한 구성 예시
• 특정 서비스의 특정
리소스에 대한 권한 제어
가능
• 사전 정의된 권한셋을
이용한 손쉬운 사용
• JSON 형태 정책문서
수정을 통한 다양한 확장
Dev/Ops
Sales/
Marketing
Amazon
EC2
Amazon
S3
S3 Read-
only access
granted
All
operations
granted
Authorizes every request from API and
Management Console
Authz
42. AWS Organizations
Organization
• AWS 계정들을 중앙에서 제어할 수 있는 통합된 조직
AWS account
• AWS 리소스를 사용하는 amazon 계정
• AWS Identity and Access Management (IAM) principals (users, roles)
• AWS Organizations의 최소 구성 요소
Master account
• 해당 organization 내 모든 AWS accounts의 사용비용을 지불하는 AWS account
• 해당 organization의 정책 및 권한을 관리하는 AWS account
Organizational unit (OU)
• 해당 organization 내 AWS accounts 및 다른 OUs들의 논리적인 집합
Administrative root
• 최상위 OU
Organization control policy (OCP)
• 특정 AWS accounts에게 적용된 권한 제어 문서
44. 접근제어 – 서버 접근 제어 (Bastion Host)
• 서블릭 서브넷 내 위치
• 관리용 SSH(또는 RDP) 접속
• 프라이빗 서브넷 내 인스턴스에 접속하기
위한 경유 서버
Availability Zone
Public Subnet
Internet Gateway
Internet
Bastion
Private Subnet
EC2
45. 접근제어 – 서버 접근 제어 (Agent 유형)
Manager
Server
users
Amazon
EC2
Agent 탑재
admin
1.신청
2.승인
3.토큰
4.접근
5.통제
46. 접근제어 – 서버 접근 제어 (Proxy 유형)
Proxy
Server
Users
Admin
1.정책설정
Amazon EC2
2. 접근
47. 접근제어 – DB 접근 제어 (Proxy 유형)
Users
Admin
1.정책설정
Amazon
RDS
Proxy
Server (or VDI)
Agent
2. 접근
49. 모든 작업은 API
콜로 처리됨...
사용하는 서비스와
인스턴스들이 늘어
남에 따라 …
CloudTrail은
계속해서 모든
API 요청들에
대해 신뢰성 있는
기록을 수행…
AWS CloudTrail
AWS상의 모든 관리작업에 대한 로깅
50. AWS Config
AWS 리소스에 대한 인벤토리 관리와 구성정보 변경관리 및 통보(AWS SNS)
변경 관리
감사
컴플라이언스
보안 분석 Troubleshooting Discovery
ConfigRules 의 custom rule 지원
특정 변경 이력의 실시간/주기적
감시/통보
• Lambda blueprint 내 관련 참조 소스
제공
• GitHub내 관련 Lambda 소스 공개