Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Security on AWS :: 이경수 솔루션즈아키텍트

4,976 views

Published on

삼성 제조 관계사를 위한 Cloud 정보 교류회 (3월 22일)

Published in: Technology
  • accessibility Books Library allowing access to top content, including thousands of title from favorite author, plus the ability to read or download a huge selection of books for your pc or smartphone within minutes.........ACCESS WEBSITE Over for All Ebooks ..... (Unlimited) ......................................................................................................................... Download FULL PDF EBOOK here { http://bit.ly/2m6jJ5M } .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • accessibility Books Library allowing access to top content, including thousands of title from favorite author, plus the ability to read or download a huge selection of books for your pc or smartphone within minutes ,Download or read Ebooks here ... ......................................................................................................................... Download FULL PDF EBOOK here { http://bit.ly/2m6jJ5M }
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THI5 BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ..................................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookeBOOK Crime, eeBOOK Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THI5 BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THI5 BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Security on AWS :: 이경수 솔루션즈아키텍트

  1. 1. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 이경수 | Solutions Architect 2017. 3. 22 Security on AWS 제조 계열사들을 위한 Cloud 정보 교류회
  2. 2. Security is our #1 priority
  3. 3. This To this
  4. 4. 보안은 AWS의 최우선 순위 과제입니다! 고객층의 증가와 더불어 더 나은 서비스 제공을 위해 보안, 규제/감사, 거버넌스 관련 다양한 업데이트를 빠르게 진행 2007 2008 2009 2010 2011 2012 2013 2014 2015 48 61 82 159 280 514 722 269 (37%)보안, 거버넌스, 컴플라이언스, 감사 관련 신규 서비스 출시 및 업데이트 기타 신규 서비스 출시 및 업데이트 2015년에는 전년대비 40% 증가한, 722건의 새로운 서비스 및 기능을 출시
  5. 5. Shared Security Responsibility
  6. 6. AWS와 고객이 보안에 대한 책임 분담 Client-side Data Encryption Server-side Data Encryption Network Traffic Protection Platform, Applications, Identity & Access Management Operating System, Network & Firewall Configuration Customer content Customers Customers are responsible for their security IN the Cloud AWS is responsible for the security OF the Cloud Compute Storage Database Networking AWS Global Infrastructure Regions Availability Zones Edge Locations AWS Foundation Services
  7. 7. 모든 고객은 동일한 AWS 보안 기초위에… Client-side Data Encryption Server-side Data Encryption Network Traffic Protection Platform, Applications, Identity & Access Management Operating System, Network & Firewall Configuration Customer content Customers Customers are responsible for their security IN the Cloud Independent validation by experts • Every AWS Region is in scope • SOC 1 (SSAE 16 & ISAE 3402) Type II • SOC 2 Type II and public SOC 3 report • ISO 27001 Certification • Certified PCI DSS Level 1 Service Provider • FedRAMP Certification, HIPAA capable
  8. 8. Agenda • 네트워크 구성 • 보안관제 • 암호화 • 접근통제 • 감사
  9. 9. 네트워크 구성 DMZ망, 서버/DB망, 관리망 네트워크 분리
  10. 10. Amazon VPC - 격리된 사설 네트워크가용영역A 가용영역B AWS Virtual Private Cloud • 논리적으로 분리된 일종의 가상 사설망을 제공 • VPC상에서 사설 IP대역을 선택 • 적절하게 서브넷팅하고 EC2 인스턴스를 배치 AWS network security • AWS 는 IP Spoofing과 같은 레이어 2 공격 차단 • 소유하지 않은 EC2인스턴스에 대한 스니핑 불가 • 외부와의 모든 라우팅과 연결을 통제
  11. 11. Route Table Destination Target 10.1.0.0/16 local 0.0.0.0/0 igw Availability Zone A Availability Zone B Subnet: 10.1.1.0/24 Internet Gateway VPC CIDR: 10.1.0.0 /16 Internet Subnet: 10.1.10.0/24 EIP EIP Amazon VPC - 격리된 사설 네트워크
  12. 12. AWS 방화벽 – 보안그룹 ( Security Group ) 보안그룹  인스턴스 단위 적용  적용포인트 : 인바운드/아웃 바운  Protocol : 모든 인터넷 프로토콜 지원  IP/Port 에 대한 접속 허용/차단  Stateful 방화벽 보안그룹
  13. 13. AWS 방화벽 - Network ACL(NACL) Availability Zone ‘A’ Availability Zone ‘B’ Network ACL • 서브넷 단위 적용 • Stateless 방화벽 • DENY 규칙 적용 가능
  14. 14. 웹/어플 리케이 션 서버 DMZ 퍼블릭 서브넷 ssh bastion NAT ELB사용자 관리자 인터넷 Amazon EC2 보안그룹 보안그룹 보안그룹 security group frontend 프라이빗 서브넷 TCP: 8080 Amazon EC2 TCP: 80/443 backend 프라이빗 스브넷 security group TCP: 1433; 3306 MySQL db TCP: Outbound TCP: 22 단일 VPC 기반 보안 구성 예시
  15. 15. Outbound Proxy Inbound WAF Web Application Outbound HTTP Inbound HTTP Inbound CloudFront 보안팀 운영팀 AWS API Endpoints API requests VPC peering을 활용한 복수 VPC기반 보안 구성
  16. 16. 보안 관제 방화벽 / 침입 탐지 / 웹 방화벽 / DDoS 대응
  17. 17. 라우팅 테이블 라우팅 테이블 인터넷 게이트웨이 가상 사설 게이트웨이 가상 라우터 VPC 10.1.0.0/16 보안관제 - 1. 방화벽 VPC 구성요소로 대응
  18. 18. VPC 10.0.0.0/16 Public Subnets Private Subnets 10.0.1.0/24 10.0.128.0/24 10.0.129.0/24 … Firewall IDS/IPS ... UTM WEB WAS … DB … (10.0.0.0/16 : Local) … 0.0.0.0/0 : UTM 10.0.0.0/16 : Local 0.0.0.0/0 : IGW … 대상 subnet 내 트래픽이 UTM 인스턴스를 경유하도록 Route Table 설정 Network Security관련된 설정을 단일 UTM솔루션에서 관리 성능 병목점이나 Single Failure Point 여부 확인 필요 AWS VPC 제공 기능(pub/pri subnet, nat, nacl, …) 활용이 제한적임 보안관제 - 2. 침입탐지 (UTM Gateway 유형)
  19. 19. VPC 10.0.0.0/16 Public Subnets Private Subnets 10.0.1.0/24 10.0.128.0/24 10.0.129.0/24 … UTM (Active ) WEB WAS … DB … (10.0.0.0/16 : Local) … 0.0.0.0/0 : Firewall 10.0.0.0/16 : Local 0.0.0.0/0 : IGW … UTM (Stand -by) Conf. Sync. Move EIP or ENI A-S형태로 구성 후 장애 발생 시 EIP나 ENI 를 Standby 인스턴스로 맵핑 A-S 가 단일 subnet을 벗어나 az간 구성이 가능한지, A-S 절체 시간이 얼마나 소요되는지 확인 필요 보안관제 - 2. 침입탐지 (UTM Gateway A-S 유형)
  20. 20. VPC 10.0.0.0/16 Public Subnets Private Subnets 10.0.1.0/24 10.0.128.0/24 10.0.129.0/24 UTM (Standalone) WEB WAS … … (10.0.0.0/16 : Local) … 0.0.0.0/0 : Firewall 10.0.0.0/16 : Local 0.0.0.0/0 : IGW … WEB WAS 10.0.2.0/24 UTM (Standalone) AZ 1 AZ 2 StandAlone 타입으로 az간 구성 후 ELB나 Route53으로 이중화 구성 관리대상 서버의 subnet이 참조하는 route table 셋팅을 UTM으로 해야함 or 보안관제 - 2. 침입탐지 (UTM Gateway A-A 유형)
  21. 21. YOUR AWS ENVIRONMENT AWS Direct Connect YOUR PREMISES Digital Websites Big Data Analytics Dev and Test Enterprise Apps AWS Internet VPN 보안관제 - 2. 침입탐지 (기존 UTM appliance 활용)
  22. 22. VPC 10.0.0.0/16 Public Subnets Private Subnets 10.0.1.0/24 10.0.128.0/24 10.0.129.0/24 … Firewall IDS/IPS AV/Malwar e... UTM Manager WAS … Batch … 10.0.0.0/16 : Local 0.0.0.0/0 : NAT … 10.0.0.0/16 : Local 0.0.0.0/0 : IGW … A A 10.0.2.0/24 WEB … A 10.0.127.0/24 NAT A 대상 인스턴스에 agent 설치 후 이를 관리 Scalability , Availability 장점 AWS Security Group, NACL과 UTM F/W기능을 조합하여 관리하여야 함 보안관제 - 2. 침입탐지 (UTM Agent 유형 – Hosted IDS)
  23. 23. AZ 2AZ 1 • 고객 VPC 내 proxy형 WAF 설치 운영 • ELB 샌드위치 내 WAF 구성 (상단 external ELB는 Route53으로 필요시 대체하거나 UTM 복합 구성) • WAF 리소스를 모니터링하여 Scaling 구성 대비 필요 VPC 10.0.0.0/16 Public Subnets Private Subnets 10.0.1.0/24 10.0.128.0/24 10.0.129.0/24 WAF (Standalone) WEB WAS … … WEB WAS 10.0.2.0/24 WAF (Standalone) or 보안관제 - 3. 웹 방화벽 (Gateway 유형1)
  24. 24. • Proxy형 WAF1의 변형으로 WAF 내 target 설정이 단일 IP 만 지원하는 솔루션 • WEB 서버를 WAF 타겟으로 하고 WEB/WAS 구간을 was bridge로 구성(internal ELB 구성도 OK) • WAF 상단 구성은 ELB, Route53 또는 WEB 서버, UTM 선택 구성 가능AZ 2AZ 1 VPC 10.0.0.0/16 Public Subnets Private Subnets 10.0.1.0/24 WAF (Standalone) WEB … …WEB 10.0.2.0/24 WAF (Standalone) WAS … …WAS or 보안관제 - 3. 웹 방화벽 (Gateway 유형2)
  25. 25. • 직접 WAF 운용 부담없이 손쉬운 설정만으로 서비스 이용 • 웹서비스의 보안성을 손쉽게 높임 • 사용자 요청 데이타가 1차로 SaaS형 WAF시스템으로 유입되어 data 기밀성에 대해 일부 고객층 거부감 • SaaS WAF <-> Web Ser.간 network 환경 확인 필요 ( 같은 AWS Region 이면 OK ) WEB WAS WEB WAS www.example. com Name Server WAF (monitor & filter) SaaS형 WAF User nslookup www.example.com Safe Traffic 보안관제 - 3. 웹 방화벽 (SaaS 유형)
  26. 26. WEB WAS WEB WAS www.a.com WAF on CloudFront edges users Safe Traffic Edge Location Edge Location … 73 edges WAF WAF hackers Bad bots legitimate traffic SQL Injection, XSS, .. site scripting • CloudFront edge단에서 WAF가 monitor & filter처리 • 분산된 edge에서 처리되어 scaling에 대한 부담 없음 • SQL injection, XSS 룰셋 기본 제공 • CloudFront 사용이 전제됨 보안관제 - 3. 웹 방화벽 (CDN 유형)
  27. 27. 보안관제 - 네트워크 보안 제품 마켓플레이스 현황 Solution Company Product name Seoul Region Type UTM Trend Micro Trend Micro Deep Security (Classic) OK Agent UTM Sophos Sophos UTM 9 (Support for Auto Scaling BYOL) OK Gateway UTM paloalto VM Series Next-Gen F/W OK Gateway UTM Fortinet FortiGate-VM Limited (above c4) Gateway UTM Check Point Check Point vSEC (PAYG) OK Gateway UTM Barracuda Barracuda NextGen Firewall F-Series Limited (above c4) Gateway WAF Fortinet FortiWeb-VM OK Gateway WAF Penta Security CloudBric OK SaaS WAF Penta Security Wapples OK Gateway WAF Monitorapp Monitorapp OK Gateway WAF Barracuda Barracuda WAF OK Gateway WAF/DDoS Imperva Incapsular OK(from Tokyo) SaaS WAF Imperva SecureSphere WAF AV1000 Gateway v11.0 OK Gateway
  28. 28. 보안관제 – DDoS 대응 • DDoS 대응을 위한 AWS Best Practices • AWS Shield (DDoS 관제 서비스)
  29. 29. AWS Shield Standard 레이어 3/4 보호  자동 탐지 및 대응  가장 흔한 공격유형에 대한 방어 (SYN/UDP Floods, Reflection Attacks, 등)  AWS 서비스에 밀결합 레이어 7 보호  레이어 7 디도스 공격 대응을 위해 AWS WAF 활용  셀프서비스 및 사용량 과금
  30. 30. AWS Shield Advanced 상시 모니터링 및 탐지 고도화된 L3/4 & L7 디도스 방어 공격 통보 및 리포팅24x7 기반 DDoS 대응 팀 연계 AWS 청구 보호
  31. 31. 24x7 기반 DDoS 대응 팀 연계 • 중대하고 급박한 우선순위의 케이스에 대해 신속 하게 답변이 제공될 수 있도록 디도스 전문가와 직접 연결됨 • 복잡한 케이스를 AWS 및 아마존을 비롯한 기타 서비스들을 보호하고 있는 경험많은 AWS 디도스 대응팀(DRT)으로 바로 요청할 수 있음.
  32. 32. 보안관제 - 요약 Requirement AWS AWS Marketplace Managed Security Service Partner 방화벽 방화벽: NACL, Security Group 방화벽 로그: VPC Flow Logs Hosted Agent, Gateway 형 TrendMicro Deep Security Sophos UTM, PaloAlto NGFW, CheckPoint vSEC, Barracuda NGFW, FortiGate-VM, Junipher vSRX CyberMethod, PCS, MSP – 메가존, GS네오텍, 베스핀 침입탐지 Ahnlab, SKinfosec - 원격 관제 웹 방화벽 AWS WAF Gateway, WAF on CDN, SaaS 형 CloudBric, Wapples, WIWAF, Barracuda WAF, SecureSphere WAF AV1000 웹 쉘 ShellMonitor, Anti-WebShell DDoS 대응 DDoS Best Practice AWS Shield 주로 SaaS 형 DDoS툴: Incapsula, aiProtect DDoS툴 포함 관제: IndusGuard Premiu m
  33. 33. 암호화 통신 암호화 / 키관리 및 블럭 암호화 / DB 암호화
  34. 34. Encryption - 전송중 / 저장시 암호화 자세한 정보가 담긴 백서,“Securing Data at Rest with Encryption”. 전송 중 암호화 HTTPS SSL/TLS SSH VPN Object 저장 시 암호화 Object Database Filesystem Disk
  35. 35. AWS KMS - 암호화키 생성/보관/관리 Customer Master Key(s) Data Key 1 Amazon S3 Object Amazon EBS Volume Amazon Redshift Cluster Data Key 2 Data Key 3 Data Key 4 • 암호화키를 안전하게 생성/보관/관리 해주는 관리형 서비스 • 중앙 집중 암호화 키 관리: EBS S3 Redshift AWS SDK AWS CloudTrail 자세한 내용을 담고 있는 백서: KMS Cryptographic Details.
  36. 36. AWS Key Management Service Integrated with Amazon EBS
  37. 37. 암호화 – DB 암호화 Amazon RDS TDE 사용 가능 각 DBMS별 TDE 사용 가능 or 3rd party solution (ex. D’Amo) DBMS on EC2
  38. 38. 암호화 – 통신 암호화 (Client-Server간, WAS-DB간) client Amazon RDS Amazon CloudFront Amazon S3 Elastic Load Balancing Amazon EC2 Amazon API Gateway HTTPS DB connection over SSL
  39. 39. 접근제어 사용자 접근 제어 / 서버 접근제어 / DB 접근제어
  40. 40. AWS IAM : 인증, 인가 그리고 인증 연계 User, Group 그리고 Role Security credentials • Login/Password • Access/secret keys (APIs, CLI) • MFA device(선택사항) AWS 리소스 사용에 대한 유연한 인가 정책 구성 Account Administrator s Developers Applications Jim Bob Brad Mark Susan Kevin Monitor Reporting WAS Batch Groups Roles Multi-factor authentication Service UsersConsole Users
  41. 41. AWS IAM 권한 구성 예시 • 특정 서비스의 특정 리소스에 대한 권한 제어 가능 • 사전 정의된 권한셋을 이용한 손쉬운 사용 • JSON 형태 정책문서 수정을 통한 다양한 확장 Dev/Ops Sales/ Marketing Amazon EC2 Amazon S3 S3 Read- only access granted All operations granted Authorizes every request from API and Management Console Authz
  42. 42. AWS Organizations Organization • AWS 계정들을 중앙에서 제어할 수 있는 통합된 조직 AWS account • AWS 리소스를 사용하는 amazon 계정 • AWS Identity and Access Management (IAM) principals (users, roles) • AWS Organizations의 최소 구성 요소 Master account • 해당 organization 내 모든 AWS accounts의 사용비용을 지불하는 AWS account • 해당 organization의 정책 및 권한을 관리하는 AWS account Organizational unit (OU) • 해당 organization 내 AWS accounts 및 다른 OUs들의 논리적인 집합 Administrative root • 최상위 OU Organization control policy (OCP) • 특정 AWS accounts에게 적용된 권한 제어 문서
  43. 43. Example A6 Development Test Production A8A1 A5 A4A3 A2 A9 A7 Security
  44. 44. 접근제어 – 서버 접근 제어 (Bastion Host) • 서블릭 서브넷 내 위치 • 관리용 SSH(또는 RDP) 접속 • 프라이빗 서브넷 내 인스턴스에 접속하기 위한 경유 서버 Availability Zone Public Subnet Internet Gateway Internet Bastion Private Subnet EC2
  45. 45. 접근제어 – 서버 접근 제어 (Agent 유형) Manager Server users Amazon EC2 Agent 탑재 admin 1.신청 2.승인 3.토큰 4.접근 5.통제
  46. 46. 접근제어 – 서버 접근 제어 (Proxy 유형) Proxy Server Users Admin 1.정책설정 Amazon EC2 2. 접근
  47. 47. 접근제어 – DB 접근 제어 (Proxy 유형) Users Admin 1.정책설정 Amazon RDS Proxy Server (or VDI) Agent 2. 접근
  48. 48. 감사(Security Audit) CloudTrail / Config / ConfigRules
  49. 49. 모든 작업은 API 콜로 처리됨... 사용하는 서비스와 인스턴스들이 늘어 남에 따라 … CloudTrail은 계속해서 모든 API 요청들에 대해 신뢰성 있는 기록을 수행… AWS CloudTrail AWS상의 모든 관리작업에 대한 로깅
  50. 50. AWS Config AWS 리소스에 대한 인벤토리 관리와 구성정보 변경관리 및 통보(AWS SNS) 변경 관리 감사 컴플라이언스 보안 분석 Troubleshooting Discovery ConfigRules 의 custom rule 지원  특정 변경 이력의 실시간/주기적 감시/통보 • Lambda blueprint 내 관련 참조 소스 제공 • GitHub내 관련 Lambda 소스 공개
  51. 51. AWS Config/Rules
  52. 52. AWS Config Rules
  53. 53. 네트워크 구성 보안관제 감사 • 암호화 • 접근통제  VPC MSSP, Marketplace CloudTrail, Config/Rules 통신/저장 데이타 암호화, KMS, DBMS 암호화 IAM, Organizations, Marketplace
  54. 54. WHAT WE DO WHAT YOU HAVE TO DO
  55. 55. 필요에 따라 네트워크/보안 관련 다양한 솔루션들을 선택하실 수 있습니다. 인프라 보안 로깅 모니터링 계정 및 접근제어 구성 및 취약점 제어 데이터 보호 SaaS SaaS SaaS
  56. 56. AWS에서 보안은 강점입니다! AWS IAM Amazon CloudWatch AWS CloudTrail AWS Config AWS CloudFormation AWS Trusted Advisor … + … VPC
  57. 57. kyungsol@amazon.com Thank you! 이경수 | 아마존웹서비스

×