20180124 naver labs aws network and security

1. AWS Network and Security
24. Jan. 2018
hello@hbsmith.io
1

2. 발표자 소개
• 한종원
• Python과 Cloud Infra, Lean/Agile 방법론 그리고 애플의 제품을 사랑.
• 2012년 석사 학위를 마치고, startup을 시작
(이때부터 AWS를 production level에서 사용)
• '의미가 있는 일을, 올바르게 하고 싶다.'
• 경력
• (현) DevOps 전문 스타트업 ‘HB Smith’ 대표
• 택시 O2O 서비스 스타트업 ‘Kanizsa Lab’의 backend server / infra devops 담당
• Cloud computing 전문 스타트업 'A2 company' co-founder (‘KINX’에 인수합병)
• NEXON 'MapleStory 국내 Live Team'에서 DBA, SA로 근무 (산업 기능 요원)
2
https://www.linkedin.com/in/addnull/
https://hbsmith.io
“Startup 경력 = AWS 사용 기간”

3. 목차
• 발표 대상: AWS를 처음 접하는 네트워크, 보안 관리자
• 발표 내용
• AWS 소개
• AWS Account
• VPC
• CloudTrail and GuardDuty
• WAF and Shield
3
(예상 발표 시간: 50분)

4. AWS 소개
4

5. AWS 소개
• ‘어디서부터
시작해야하는거지?’
5
2018년 1월 현재
90개가 넘는 서비스
매년 약 10개의
신규 서비스가 추가 됨

6. AWS 소개
• AWS 쓴다는 것은?
• LEGO 블럭처럼 여러 개의 AWS 서비스를 조합해서 나만의 Infra 구축
• 관리자가 할 일을 일부 또는 거의 전체를 위임
6
Troubleshooting
API
HA
DR
Automation
Scale Out
Scale Up
Backup
Migration
Failover

7. AWS 소개
7
자료출처 https://www.slideshare.net/awskorea/2017-awsome-day-online-1-aws-aws

8. AWS 소개
8
자료출처 https://www.slideshare.net/awskorea/2017-awsome-day-online-1-aws-aws

9. AWS 소개
• 조합의 예시
9
자료출처 https://www.slideshare.net/AmazonWebServices/deep-dive-on-aws-mobile-hub-for-enterprise-mobile-applications/

10. AWS 소개
10
자료출처 https://www.slideshare.net/awskorea/2017-awsome-day-online-1-aws-aws

11. AWS 소개
자료출처 http://www.hostingadvice.com/how-to/iaas-vs-paas-vs-saas/
• Abstraction level
• 음식점 피자:
돈만 있으면 OK!
• 배달 피자:
식탁과 돈 필요
• 냉동 피자:
전자렌지, 식탁, 돈 필요
• 홈피자:
집에서 AtoZ 모두 다 필요
11

12. AWS 소개
Software 통채로 대여
Platform 까지 대여
Infrastructure만 대여
Cloud 안 씁니다..
• Abstraction level
• 음식점 피자:
• 배달 피자:
• 냉동 피자:
• 홈피자:
12
자료출처 http://www.hostingadvice.com/how-to/iaas-vs-paas-vs-saas/

13. AWS 소개
• Abstraction level
• 음식점 피자:
• 배달 피자:
• 냉동 피자:
• 홈피자:
13
자료출처 http://www.hostingadvice.com/how-to/iaas-vs-paas-vs-saas/
Software 통채로 대여
Platform 까지 대여
Infrastructure만 대여
Cloud 안 씁니다..

14. AWS 소개
14
“직접 설치와 관리” “위임”

15. AWS 소개
• Region & Availability Zone
• 18 Regions (city)
• 49 AZ (data center)
15

16. AWS Account
16

17. AWS Account
• 권한(Authorization) 관리 관점에서 크게 2가지로 나뉨
• Root User
• 이메일 주소
• 모든 권한을 가짐
• IAM Users
• 특정 root user에 귀속된 계정
• root user의 권한 중에 일부만 가짐
• 즉, 일부 AWS service 에 대해서만 권한을 부여 가능
17
인감증명서
사원증, 운전면허증

18. AWS Account
18
자료출처 http://jayendrapatil.com/tag/iam/

19. AWS Account
• 인증(Authentication)은 접근 방식에 따라 크게 2가지로 나뉨
• Web management console (웹브라우저)
• Programmatic access (REST API, SDK, CLI, 3rd-party SW)
19

20. AWS Account
• 인증(Authentication)은 접근 방식에 따라 크게 2가지로 나뉨
• Web management console (웹브라우저)
• Passwords
• 옵션으로 MFA 설정 (6자리 숫자)
20
Root/IAM user 당 오직 1개

21. AWS Account
• 인증(Authentication)은 접근 방식에 따라 크게 2가지로 나뉨
• Programmatic access (REST API, SDK, CLI, 3rd-party SW)
• Access/Secret Keys
21
Root/IAM user 에 여러 개 생성 가능

22. VPC
22

23. VPC
• VPC는 infrastructure의 뼈대
• public/private subnet
• public/private route table
• internet gateway
• NAT gateway
• VPN gateway
• VPC는 network traffic 흐름과
instance(EC2, RDS 등)의 위치를 결정
23
VPC = 가상의 IDC

24. VPC
• 예시
24

25. VPC
• 보안 관점에서 VPC
• Security groups
EC2 단위의 방화벽 역할
(in/out-bound allow rule only)
• NACL
subnet 단위의 방화벽 역할
(in/outbound allow/deny rules)
• Flow logs
subnet 안의 IP traffic을 CloudWatch로 기록 (GuardDuty와 연동 가능)
25

26. CloudTrail and GuardDuty
26

27. CloudTrail and GuardDuty
• CloudTrail
• AWS service 와 resource 에 대한
모든 API 대상 audit
(user, account, IP address, time)
• Audit log를 S3 와 CloudWatch로
전달 가능
• 특정 event에 대해서 workflow
정의 가능
27

28. CloudTrail and GuardDuty
• GuardDuty
• CloudTrail 와 VPC Flow logs 의
데이터 기반으로 위협 감지 시스템
• 2017년 11월 re:Invent 행사에서
최초 공개
• 다수의 3rd party 와 연동 가능
• Alert Logic / Evident.io /
Palo Alto Networks / Rapid7 /
Redlock / Splunk /
Sumo Logic / Trend Micro
28

29. WAF and Shield
29

30. WAF and Shield
• WAF: CloudFront 와 ALB 의 web request 를 제어
30

31. WAF and Shield
• WAF: CloudFront 와 ALB 의 web request 를 제어
• 복수 개의 condition 에 대한
rule를 생성
(옵션으로 rate limit 설정)
• 복수 개의 rule 에 대한
action(allow, block, count)을
web ACL로 추가
31

32. WAF and Shield
• Shield: DDoS 방어 시스템. 2가지 tier로 나뉨
• standard tier: 무료이며 기본적으로 활성화된 상태.
WAF와 함께 직접 관리 (WAF 사용 부분은 과금)
• advanced tier: application-layer traffic 모니터링 등의 추가 기능.
WAF를 무료로 쓸 수 있음.
32

33. Wrap Up
33

34. Wrap Up
• 발표 대상: AWS를 처음 접하는 네트워크, 보안 관리자
• 발표 내용
• AWS 소개
• AWS Account
• VPC
• CloudTrail and GuardDuty
• WAF and Shield
34
authentication and authorization
network configuration
audit and anomaly detection
DDoS protection

35. 감사합니다
hello@hbsmith.io
010-9166-6855
35